特洛伊盾牌行动
作者: 李一南
从外围对手机的破解刺探到进入平台拿捏掌控核心数据,警方一步步突入国际犯罪组织的通联网络,终使企图通过加密手机软件(简称APP)隐匿犯罪行的黑暗地带逐渐暴露在阳光之下。
定制黑莓手机
2012年开始,澳大利亚联邦警察在多起案件中发现,抓获的犯罪团伙成员使用的是特别定制款的黑莓手机。随后几年,越来越多的加密手机出现,黑帮用以抢夺地盘、策划谋杀、贩卖毒品,且能远程消除犯罪证据,令警方无比头疼、沮丧。从特制的通联工具与独有的通联方式来看,有充分理由怀疑这些手机和有组织犯罪有关。
经侦查和收网发现,手机属于一个叫做“幽灵安全”技术平台的终端设备,每部手机的购买和使用费是每月2000~2500美元。澳大利亚联邦警察立即着手进行渗透,但该平台是匿名用户认证的登录方式,如果平台知道了手机持有人被抓获,或者持机人主动点击了手机里的销毁码,那么警方就无能为力了。澳大利亚联邦警察随后向美国联邦调查局请求协助,结果两国警方沮丧地发现,没有执法部门能核实,哪怕是一名“幽灵安全”平台用户的真实身份。
“幽灵安全”
“幽灵安全”互联网公司在加拿大境内创办,首席执行官是一名网络天才:文森特·拉莫斯,他为了获得高额佣金,伙同公司高管打着“提供加密通联服务”的幌子,私下里为高级毒贩和其他有组织犯罪头目提供安全隐秘的通讯服务。
“幽灵安全”向国际犯罪集团出售特殊的通联加密服务,终端为专门定制的黑莓智能手机,后台是加密网络平台,手机具备发送、接收加密信息的功能。在这个完整的加密通联闭环内,拉莫斯标榜“不受解密、窃听或合法的第三方记录请求的影响”。
跨国贩毒集团使用这些定制手机,大肆向全球批发分销可卡因、海洛因以及安非他命(冰毒)等毒品,美国、澳大利亚、墨西哥、加拿大、泰国和欧洲成为重灾区。为了吃透犯罪集团使用的是什么通联工具与技术平台,美国联邦调查局、澳大利亚联邦警察和加拿大皇家骑警决定联合侦办。三国警方派出卧底探员装扮成毒贩,从手机的终端开始,逐渐揭开了黑灰产业链的冰山一角。
“幽灵安全”平台靠着以下几个步骤帮助犯罪集团进行通联。
第一步:定制黑莓手机。2016年10月,黑莓手机所属的加拿大母公司停止研发和生产智能手机,并授权印尼新成立的合资公司使用其软件和服务,黑莓品牌手机蜕变为第三方企业产品,为定制打开了方便之门。
第二步:屏蔽侦控。当“幽灵安全”公司收到黑莓手机后,其技术团队移除手机架构中可外接通联的硬件和软件,包括话筒、全球定位系统导航、摄像头、互联网和短信服务功能。
第三步:加密。“幽灵安全”平台技术团队在手机上安装加密软件和远程擦除系统,躲避警方获取证据。改装后的手机只能运行特定的双向电子加密邮件,如果用户被执法部门抓获,其携带的黑莓手机被缴获,则可以指令启动远程删除或清除终端内容,避免任何有罪证据落入警方手中。
第四步:逃避数据溯源。为避开警方侦控,平台专门在巴拿马等地部署虚拟专用网络服务器,同时使用虚拟代理服务器伪装物理位置。
第五步:逃避资金溯源。偏爱使用比特币以及其他数字货币交易,以保护用户隐私为名洗钱和掩盖非法收益,每一部手机捆绑2000~3000美元/半年的会员费。美国警方估计,“幽灵安全”公司通过其提供的设备与服务,聚敛了超过千万美元的非法收益,这些收益被注入到多个空壳公司,并通过比特币和其他加密货币予以洗白。
第六步:闭环销售。新用户要想加入网络,须被已入会的老客户推荐加入。警方发现,这家公司卖了2万多部手机,竟然有一半在澳大利亚使用。经查,绝大多数用户都是中高级头目。美国和其他几个国家的跨国有组织犯罪组织里恶贯满盈的高级头目也是用户。例如,墨西哥的“锡那罗亚”卡特尔贩毒赌博集团,其头目欧文·汉森现已被判入狱21年;澳大利亚“地狱天使”犯罪集团,其利用“幽灵安全”策划了多宗杀人案。正是基于在封闭的罪犯圈子里使用定制的智能手机这一特殊的标志性行为,警方认定所有“幽灵安全”的用户都是严重犯罪行为的参与者,都有追究刑事责任的必要。
2018年3月初,澳大利亚警方突击搜查了一艘货轮,在这艘从美国驶来的货轮船舱里发现了大量经过伪装的可卡因,从而为给拉莫斯定罪收集到了第一步证据。随后,在澳大利亚、加拿大、巴拿马、泰国等警方合作下,美国联邦调查局在华盛顿逮捕了文森特·拉莫斯,起用了污点证人,检方以“阴谋分发毒品,专门支持、帮助有组织犯罪组织者指使、操控他人从事犯罪”的重罪起诉拉莫斯。为换取轻判,拉莫斯供述使用平台至少分发了450公斤可卡因,所获赃款存入了银行、购买了大量豪车房产、加密货币、金币。
擒贼先擒王
“幽灵安全”专案第一次将技术支持平台的上下人等、资产设备一网打尽,这是各国警方一直想而做不到的事。该案动用了250名探员,在3个国家搜查了25处房产,抓获了150人,缴获了1000部手机,直接让犯罪企业倒闭。由于这一案件太有代表性,联合国毒品和犯罪问题办公室将“幽灵安全”平台涉嫌技术帮助、支持跨国犯罪一案收录进了“20年来六起真实犯罪大案”。
在欧美,打击这种帮助实施犯罪的技术公司高管是没有先例的。为完整地打掉这一巨大的犯罪网络,警方采取了诸多创新的打法:一是警方采取企业化的方式去接触和打击跨国有组织犯罪,用了挖人、投资、安插、营销、争夺客户的办法。二是用查证经济犯罪的办法去搜集证据和扣押财产,对整个公司及其领导层进行人员、技术两个方面的侦查,不仅抓捕骨干成员、捕获其技术,还关闭其硬件设施,包括150多个域名,从而打掉整个全球犯罪的通联网络。三是在法律适用上,绕开美国法律中允许在线服务提供商对因第三方在其系统上生成或发布的内容引起的所有索赔免除民事责任的第230条款,适用打击有组织犯罪中贩毒类“组织者”的条款(RICO),以有组织犯罪起诉,侦办的牵头单位是有组织犯罪禁毒执法特别工作组。四是以“擒贼先擒王”的模式,先抓捕平台高层管理人员、技术人员,从而一举掌控整个平台。五是对非法行为进行全面地侦控调查,如有针对性地派出卧底探员进行渗透,甚至获取到核心证据。六是高度重视收网行动的一致性和保密性,不仅对犯罪行为取证,还同时拆除、固定整个技术基础设施,对涉案财物采取了全面扣缴,做到了战果最大化。
2018年“幽灵安全”公司管理层被起诉后,接着美国联邦调查局就发现,大部分“幽灵安全”用户又转到了同质性的其他加密平台,例如“天空环球”和“钩端聊天”。“天空环球”公司定制的手机不仅有黑莓,还在苹果、谷歌、诺基亚等智能手机上动手脚,屏蔽了话筒、摄像和全球定位系统功能,用加密APP来实现闭环式的信息交互,从而敢于为各种犯罪集团提供服务,而欧洲国家无法对其发起调查。
“啤酒杯内头脑风暴”
探员们开始反思,总是在犯罪集团屁股后头“追”是徒劳的,怎样取得主动成了一个重要课题。2018年的某一天,侦办“幽灵安全”平台案的澳美两国探员喝着啤酒闲聊,大家突发灵感:不如咱们设计一个带“后门”的手机APP吧!经过评估,这次“啤酒杯内头脑风暴”的成果纳入到了新的专案行动计划,由澳大利亚联邦警察和美国联邦调查局联手实施。
在因证据不足而未取得突破的“天空环球”专案里,警方发现这家公司的加密平台有两个重要项目:主营业务是售卖加工定制的手机与配套的“天空环球”APP,同时还在秘密自主开发下一代设备。警方认为,这个新设备就是“特洛伊木马”。美国联邦调查局于是深入挖掘“幽灵安全”平台的全部情况,随后发现了一名高价值程序员,此人同时为“幽灵安全”和“天空环球”平台编程。于是,与其达成辩护交易,秘密将其发展为线人。警方随后将此人的价值进一步放大,假手线人向“新手持加密设备项目”大规模注资,使其顺势成为项目股东。警方称,仅是薪酬就支付了12万美元,差旅费5.9万美元。
这匹“特洛伊木马”就是一款所谓的下一代安全定制的加密手机,叫做ΛNØM,是事关整个行动成败的关键一环。
黑帮分子说,这款“下一代手机”就是由犯罪分子设计,专为犯罪服务的:没有GPS定位、电邮或互联网浏览器,只能通过预装的同名加密聊天软件实现通联,连其广告语都是确保隐私权,是一款纯加密信息工具。
线人向警方交出了“幽灵安全”和“天空环球”两个平台分销手机的渠道,把下一代设备推荐给自己的分销网络,警方随后跟进,复制了上述公司的营销模式,还是定制手机——配套APP——有限销售——闭环管理的套路。手机只在黑市上卖,软件则按月收费,只能在定制手机上运行,也只能在安装了该款软件的同质手机间才能实现交流。这款手机像种子一样植入到有组织犯罪的社区里,在犯罪分子圈里开始流通起来,而警方能看到每一部手机的销售渠道和最后的持有人。用户群的逐渐成长壮大,说明犯罪分子对这款APP未加质疑。
而令犯罪分子没想到的是,这款软件有一个后门——这才是那次“啤酒杯内头脑风暴”的风暴之眼。这一招把整个跨国犯罪集团的通联整得形同一张白纸,变得无密可保了。
2018年10月,为期三年、代号“特洛伊盾牌”的刺探行动秘密启动。
木马屠城
线人与警方的技术团队一起在ΛNØM 手机APP里藏入了一个解码密钥——软件使用者发出的消息,在抵达对端用户的同时,已被悄悄地复制并发送到警方控制的服务器上,警方能用密钥解码进行破译。从技术上讲,每条消息事实上会被秘密发送到一台称为“网络机器人”(iBOT)的服务器上,这台服务器部署在美国境外,它在去掉ΛNØM层的加密后,将再为警方重新加密信息。之后,消息被发送到另外一台服务器上,其内容能够被探员们解密和阅览。
警方已经获得相应的侦查法律许可。为ΛNØM分发数据的三个服务器最初位于大洋洲的两个国家,因为澳大利亚警方设法先于美国同行获得了监控犯罪网络对话内容的法律许可,ΛNØM的手机APP设定发送信息的服务器便置于澳大利亚司法管辖之下。尽管只是监控消息,但一下子就把警方的视野从澳大利亚扩展到了全球。
美国联邦调查局的加州圣迭戈支部作为核心,为直接控制通联APP的后台,抽调了100余名探员和分析师、80余名翻译,根据任务设定和所侦控犯罪集团的通联动向,向参加行动的各国提供线索支持。此次国际合作行动有美国、澳大利亚、荷兰、新西兰等10余个国家和地区的执法机构及国际组织参与。
第一步,推出贝塔(Beta)测试版。警方在澳大利亚和新西兰的黑市发出50台手机进行验证。澳大利亚联邦警察通过监控,发现已成功渗透到两个最大的犯罪组织,信息复制系统工作正常,通联信息100%与犯罪有关。于是,警方对使用APP的每个人都赋予一个ID,“一人一档”进行跟进。
第二步,整合语音数据。线人将发送消息的网络扩展到澳大利亚之外,美国联邦调查局开始介入。经过谈判,美国联邦调查局在某第三国部署了一台专用网络机器人服务器,专门收集被秘密发送的语音对话。2019年10月开始,这台服务器在每周一、三、五定时向美国联邦调查局发送语音数据,内容主要是犯罪团伙使用ΛNØM终端进行交谈的语音副本,这些数据直接进入美国联邦调查局控制的系统内。该第三国警方已获得了法庭开具的监听许可,美国联邦调查局通过援引共同法律援助条约(MLAT),同步获得了解密数据。
在手机销售稳步增长时,发生了一件意外的事。2020年,法国和荷兰警方联手摧毁了“密聊”APP,这导致ΛNØM的销售迅速增加,紧接着2021年随着同质的“天空环球”APP被查禁关闭,ΛNØM的销量开始坐上了火箭。在警方收网前,该种手机的销量翻了三倍,已有1.2万台智能手机被销售给有组织犯罪的各个链条,警方掌握的人数已经突破九千大关。而每部手机的售价达1700美元(人民币约1.08万元),附带半年的加密信息网络订阅费。当然,这些购机费、月服务费等,都进了警方的腰包。
截至2021年5月,ΛNØM的用户(均为犯罪团伙人员)遍布100多个国家,短消息达到2700万条;涉及300余个有组织犯罪团伙;发现40万张照片,主要是毒品、枪支的交易,还有特别重要的航运走私入境计划。
比利时警方通过ΛNØM数据分析,在2020年缴获了藏匿在“金枪鱼罐头”中的613公斤可卡因,随后循线追踪到了厄瓜多尔的毒品源头,抓获嫌疑人并扣押了一个准备运往比利时安特卫普的集装箱,又从中缴获了1523公斤可卡因。最后可卡因的缴获数升至28吨。在拦截到可卡因将经货轮运到西班牙的对话后,2022年5月12日,西班牙警方在挖空的菠萝里缴获了1595公斤可卡因。经追查毒品源头,又在哥斯达黎加抓到一个毒贩,发现其拥有一条街的资产,价值约7000万美元。