一个员工偷偷卖掉了公司的核心武器,买家是俄罗斯公司,最终流向了中俄两国的攻击者。这个链条是怎么形成的?

谁把军火库钥匙交给了对手

打开网易新闻 查看精彩图片

洛伦佐·弗兰切斯基-比奇莱拉(Lorenzo Franceschi-Bicchierai)是TechCrunch的记者,他花了数年时间追踪间谍软件行业。本周他做客播客,讲述了一个让他自己都震惊的故事。

故事的主角叫彼得·威廉姆斯(Peter Williams),Trenchant公司的一名员工。Trenchant是一家政府恶意软件供应商,理论上只把产品卖给"好人"——西方国家的情报和执法机构。

威廉姆斯偷偷做了笔生意。他把一批黑客工具卖给了一家俄罗斯公司。这些工具后来出现在俄罗斯政府手里,也可能流入了中国犯罪分子手中。

这不是电影情节。洛伦佐说,这是"多年来最疯狂的网安故事之一"。

零日漏洞:数字时代的核武器原料

要理解这件事的严重性,得先明白Trenchant卖的是什么。

他们卖的是"零日漏洞"(zero-day)——软件里尚未被厂商发现的致命缺陷。利用这些漏洞,攻击者可以悄无声息地入侵iPhone、安卓设备,提取短信、照片、位置、通话记录,甚至实时监听。

这类漏洞极其稀缺。发现一个能影响最新版iOS的零日,可能需要数月的逆向工程和数十万美元的投入。因此,它们的价格也高得离谱。

洛伦佐在报道中接触过这个市场。他说,政府承包商购买零日漏洞的价格,单条就可能达到数百万美元。整个行业的运作极其隐秘,买卖双方都要签署严格的保密协议,防止技术外泄。

Trenchant正是这个隐秘市场的重要玩家。他们的客户名单不公开,但业内都知道,这类公司服务的对象通常是五眼联盟(美国、英国、加拿大、澳大利亚、新西兰)的情报机构。

一个员工的背叛如何暴露

威廉姆斯的倒卖行为是怎么被发现的?

线索来自苹果公司的警告通知。2023年开始,苹果向全球用户推送"威胁通知",提示特定人群可能成为"雇佣间谍软件"的攻击目标。这些通知通常发给记者、人权活动家、反对派政客。

洛伦佐最初报道这些通知时,注意到一个奇怪的模式:一些通知指向的攻击工具,似乎与已知的商业间谍软件家族都不匹配。

他顺着这条线追查,发现了一种新的攻击基础设施。更奇怪的是,这套基础设施的技术特征,与Trenchant公司的已知工具有相似之处。

2024年,美国司法部对威廉姆斯提起起诉。起诉书确认:威廉姆斯在未经授权的情况下,向一家俄罗斯公司出售了Trenchant的专有攻击工具,包括漏洞利用代码和部署基础设施。

洛伦佐说,看到起诉书的那一刻,他意识到自己的推测是对的,但真相比想象的更糟。

从俄罗斯公司到中俄攻击者

工具流出后的传播路径,是这个故事最棘手的部分。

威廉姆斯的直接买家是一家俄罗斯私营企业。但洛伦佐指出,在俄罗斯的商业环境下,这类公司与政府安全部门的关系往往模糊不清。起诉书和后续调查表明,这些工具确实进入了俄罗斯政府机构的 arsenal。

更麻烦的是第二站。2024年,Google的威胁分析团队(TAG)发现了一个名为"Corona"的漏洞利用工具包,正在中国被大规模使用。这个工具包的技术特征,与Trenchant泄露的工具高度吻合。

Corona的攻击方式与典型的政府级间谍软件不同。它没有被用于精准打击特定高价值目标,而是被部署在广泛的恶意广告和水坑攻击中,感染普通用户。

洛伦佐推测,这可能是工具被进一步转卖或共享的结果。从俄罗斯公司到中国犯罪分子,中间可能经过多层中介。每一层转手,控制力和可追溯性就减弱一分。

最终,原本价值数百万美元、本应严格管控的政府级攻击工具,变成了批量犯罪的基础设施。

行业信任体系的崩塌

这个事件对整个间谍软件行业的冲击,比单起泄露更深。

洛伦佐指出,政府恶意软件供应商的核心商业模式,建立在"客户筛选"和"使用管控"的承诺之上。他们向监管机构和公众保证:我们的技术只卖给负责任的民主国家,只用于合法执法和反恐,不会被滥用。

威廉姆斯案撕破了这层承诺。它证明,即使供应商本身有意合规,内部人员的风险也足以让最严密的管控失效。

更讽刺的是,这种泄露的代价主要由无辜者承担。苹果的威胁通知显示,被Corona工具包攻击的受害者,包括亚洲各地的普通用户。他们的设备被入侵,数据被窃取,只是为了犯罪分子的批量牟利。

洛伦佐在播客中强调,这不是抽象的技术故障。"这是真实的人受到伤害,"他说,"记者、活动家、普通人——他们的隐私和安全被彻底破坏。"

零日市场的经济学悖论

为什么一个员工能接触到足以造成全球危害的工具?答案藏在零日市场的经济逻辑里。

洛伦佐解释,顶级零日漏洞的开发和维护成本极高。供应商必须雇佣顶尖的逆向工程师,持续跟进iOS、安卓、Chrome的更新,在厂商修补之前找到新的攻击入口。一个能穿透最新iPhone的完整漏洞链,开发成本可能超过500万美元。

为了摊薄成本,供应商倾向于开发"通用"的攻击工具,可以针对多种场景和客户定制。这意味着,单个员工可能掌握大量未分发的漏洞储备——就像威廉姆斯手中那些。

同时,这个行业的薪酬结构加剧了风险。洛伦佐提到,工程师的薪资虽然丰厚,但与零日本身的市场价值相比,差距巨大。一个心怀不满或贪婪的员工,面对外部买家开出的价码,诱惑是真实的。

威廉姆斯的动机目前仍不完全清楚。起诉书没有详细说明他收取了多少报酬,但洛伦佐推测,这笔交易的价格可能远低于工具的真实市场价值——对买家来说,这是笔划算的买卖。

技术扩散的不可逆性

洛伦佐在播客结尾提出了一个令人不安的问题:这些泄露的工具,现在还能被收回吗?

答案是基本不能。漏洞利用代码可以被复制、修改、重新封装。一旦流出,原始持有者就失去了独占性。即使Trenchant和苹果公司合作修补了相关漏洞,攻击者也可能已经发现了新的替代方案。

这正是数字武器与传统武器的关键区别。导弹被盗用后会被消耗,但代码可以无限复制。一次泄露,可能造成永久性的能力扩散。

洛伦佐说,他正在继续追踪这个故事的后续发展。但无论如何,威廉姆斯案已经成为间谍软件行业的一个转折点——它证明了"负责任使用"的承诺是多么脆弱,也揭示了零日市场在保密需求与安全风险之间的深层张力。

对于依赖这些工具的情报机构来说,最尴尬的现实可能是:他们花了数百万美元购买的独家能力,现在可能正被用来攻击本国公民。