美国商务部(Department of Commerce,DoC)旗下的工业及安全局(Bureau of Industry and Security,BIS)于周三(11/3)公告,将4家安全企业列入《实体名单》(Entity List),禁止美国个人及企业与这4家安全企业交易,它们分别是以色列的NSO Group及Candiru,以及俄罗斯的Positive Technologies与新加坡的Computer Security Initiative Consultancy。
BIS指责NSO Group及Candiru开发及供应间谍软件给外国政府,利用这些工具来监控政府官员、记者、商业人士、活动家、学者或大使馆的工作人员,让外国政府得以跨国进行镇压,对国际秩序造成威胁。
至于Positive Technologies及Computer Security Initiative Consultancy,则被指控销售各种网络工具,以用来非法访问信息系统,威胁到全球用户及组织的隐私及安全。
在遭到BIS制裁的4家安全企业中,最知名的是NSO Group,该公司所打造的Pegasus间谍软件可渗透Android与iOS设备,加拿大多伦多大学的公民实验室(Citizen Lab)的调查显示,全球有36个组织在45个国家利用Pegasus监控各种对象,非营利组织禁忌故事(Forbidden Stories)更取得了一份疑似NSO Group客户的攻击名单,存放了5万笔攻击目标的电话资料。
另一家以色列企业Candiru虽然不若NSO Group高调,但也被微软与公民实验室发现打造了强大的间谍软件DevilsTongue,该间谍软件串联了多个零时差漏洞,且除了可搜集受害者的资料之外,还能窃取受害者凭证。
俄罗斯的Positive Technologies先前即曾被美国总统拜登(Joe Biden)点名,不过Positive Technologies却是微软、IBM及VMware的合作伙伴,被纳入《实体名单》之后,这些美国企业除非取得政府许可,否则将无法再使用该公司的服务。
这份新的《实体名单》呼应了美国商务部上个月有关安全的新出口规定,要求美国企业不得将可用于恶意行动的黑客或安全工具,出口至特定国家。