从外围对手机的破解刺探到进入平台拿捏掌控核心数据,警方一步步突入国际犯罪组织的通联网络,终使企图通过加密手机软件(简称APP)隐匿犯罪行的黑暗地带逐渐暴露在阳光之下。
定制黑莓手机
2012年开始,澳大利亚联邦警察在多起案件中发现,抓获的犯罪团伙成员使用的是特别定制款的黑莓手机。随后几年,越来越多的加密手机出现,黑帮用以抢夺地盘、策划谋杀、贩卖毒品,且能远程消除犯罪证据,令警方无比头疼、沮丧。从特制的通联工具与独有的通联方式来看,有充分理由怀疑这些手机和有组织犯罪有关。
经侦查和收网发现,手机属于一个叫做“幽灵安全”技术平台的终端设备,每部手机的购买和使用费是每月2000~2500美元。澳大利亚联邦警察立即着手进行渗透,但该平台是匿名用户认证的登录方式,如果平台知道了手机持有人被抓获,或者持机人主动点击了手机里的销毁码,那么警方就无能为力了。澳大利亚联邦警察随后向美国联邦调查局请求协助,结果两国警方沮丧地发现,没有执法部门能核实,哪怕是一名“幽灵安全”平台用户的真实身份。
“幽灵安全”
“幽灵安全”互联网公司在加拿大境内创办,首席执行官是一名网络天才:文森特·拉莫斯,他为了获得高额佣金,伙同公司高管打着“提供加密通联服务”的幌子,私下里为高级毒贩和其他有组织犯罪头目提供安全隐秘的通讯服务。
“幽灵安全”向国际犯罪集团出售特殊的通联加密服务,终端为专门定制的黑莓智能手机,后台是加密网络平台,手机具备发送、接收加密信息的功能。在这个完整的加密通联闭环内,拉莫斯标榜“不受解密、窃听或合法的第三方记录请求的影响”。
跨国贩毒集团使用这些定制手机,大肆向全球批发分销可卡因、海洛因以及安非他命(冰毒)等毒品,美国、澳大利亚、墨西哥、加拿大、泰国和欧洲成为重灾区。为了吃透犯罪集团使用的是什么通联工具与技术平台,美国联邦调查局、澳大利亚联邦警察和加拿大皇家骑警决定联合侦办。三国警方派出卧底探员装扮成毒贩,从手机的终端开始,逐渐揭开了黑灰产业链的冰山一角。
“幽灵安全”平台靠着以下几个步骤帮助犯罪集团进行通联。
第一步:定制黑莓手机。2016年10月,黑莓手机所属的加拿大母公司停止研发和生产智能手机,并授权印尼新成立的合资公司使用其软件和服务,黑莓品牌手机蜕变为第三方企业产品,为定制打开了方便之门。
第二步:屏蔽侦控。当“幽灵安全”公司收到黑莓手机后,其技术团队移除手机架构中可外接通联的硬件和软件,包括话筒、全球定位系统导航、摄像头、互联网和短信服务功能。
第三步:加密。“幽灵安全”平台技术团队在手机上安装加密软件和远程擦除系统,躲避警方获取证据。改装后的手机只能运行特定的双向电子加密邮件,如果用户被执法部门抓获,其携带的黑莓手机被缴获,则可以指令启动远程删除或清除终端内容,避免任何有罪证据落入警方手中。
第四步:逃避數据溯源。为避开警方侦控,平台专门在巴拿马等地部署虚拟专用网络服务器,同时使用虚拟代理服务器伪装物理位置。
第五步:逃避资金溯源。偏爱使用比特币以及其他数字货币交易,以保护用户隐私为名洗钱和掩盖非法收益,每一部手机捆绑2000~3000美元/半年的会员费。美国警方估计,“幽灵安全”公司通过其提供的设备与服务,聚敛了超过千万美元的非法收益,这些收益被注入到多个空壳公司,并通过比特币和其他加密货币予以洗白。
第六步:闭环销售。新用户要想加入网络,须被已入会的老客户推荐加入。警方发现,这家公司卖了2万多部手机,竟然有一半在澳大利亚使用。经查,绝大多数用户都是中高级头目。美国和其他几个国家的跨国有组织犯罪组织里恶贯满盈的高级头目也是用户。例如,墨西哥的“锡那罗亚”卡特尔贩毒赌博集团,其头目欧文·汉森现已被判入狱21年;澳大利亚“地狱天使”犯罪集团,其利用“幽灵安全”策划了多宗杀人案。正是基于在封闭的罪犯圈子里使用定制的智能手机这一特殊的标志性行为,警方认定所有“幽灵安全”的用户都是严重犯罪行为的参与者,都有追究刑事责任的必要。
2018年3月初,澳大利亚警方突击搜查了一艘货轮,在这艘从美国驶来的货轮船舱里发现了大量经过伪装的可卡因,从而为给拉莫斯定罪收集到了第一步证据。随后,在澳大利亚、加拿大、巴拿马、泰国等警方合作下,美国联邦调查局在华盛顿逮捕了文森特·拉莫斯,起用了污点证人,检方以“阴谋分发毒品,专门支持、帮助有组织犯罪组织者指使、操控他人从事犯罪”的重罪起诉拉莫斯。为换取轻判,拉莫斯供述使用平台至少分发了450公斤可卡因,所获赃款存入了银行、购买了大量豪车房产、加密货币、金币。
擒贼先擒王
“幽灵安全”专案第一次将技术支持平台的上下人等、资产设备一网打尽,这是各国警方一直想而做不到的事。该案动用了250名探员,在3个国家搜查了25处房产,抓获了150人,缴获了1000部手机,直接让犯罪企业倒闭。由于这一案件太有代表性,联合国毒品和犯罪问题办公室将“幽灵安全”平台涉嫌技术帮助、支持跨国犯罪一案收录进了“20年来六起真实犯罪大案”。
在欧美,打击这种帮助实施犯罪的技术公司高管是没有先例的。为完整地打掉这一巨大的犯罪网络,警方采取了诸多创新的打法:一是警方采取企业化的方式去接触和打击跨国有组织犯罪,用了挖人、投资、安插、营销、争夺客户的办法。二是用查证经济犯罪的办法去搜集证据和扣押财产,对整个公司及其领导层进行人员、技术两个方面的侦查,不仅抓捕骨干成员、捕获其技术,还关闭其硬件设施,包括150多个域名,从而打掉整个全球犯罪的通联网络。三是在法律适用上,绕开美国法律中允许在线服务提供商对因第三方在其系统上生成或发布的内容引起的所有索赔免除民事责任的第230条款,适用打击有组织犯罪中贩毒类“组织者”的条款(RICO),以有组织犯罪起诉,侦办的牵头单位是有组织犯罪禁毒执法特别工作组。四是以“擒贼先擒王”的模式,先抓捕平台高层管理人员、技术人员,从而一举掌控整个平台。五是对非法行为进行全面地侦控调查,如有针对性地派出卧底探员进行渗透,甚至获取到核心证据。六是高度重视收网行动的一致性和保密性,不仅对犯罪行为取证,还同时拆除、固定整个技术基础设施,对涉案财物采取了全面扣缴,做到了战果最大化。
2018年“幽灵安全”公司管理层被起诉后,接着美国联邦调查局就发现,大部分“幽灵安全”用户又转到了同质性的其他加密平台,例如“天空环球”和“钩端聊天”。“天空环球”公司定制的手机不仅有黑莓,还在苹果、谷歌、诺基亚等智能手机上动手脚,屏蔽了话筒、摄像和全球定位系统功能,用加密APP来实现闭环式的信息交互,从而敢于为各种犯罪集团提供服务,而欧洲国家无法对其发起调查。
“啤酒杯内头脑风暴”
探员们开始反思,总是在犯罪集团屁股后头“追”是徒劳的,怎样取得主动成了一个重要课题。2018年的某一天,侦办“幽灵安全”平台案的澳美两国探员喝着啤酒闲聊,大家突发灵感:不如咱们设计一个带“后门”的手机APP吧!经过评估,这次“啤酒杯内头脑风暴”的成果纳入到了新的专案行动计划,由澳大利亚联邦警察和美国联邦调查局联手实施。
在因证据不足而未取得突破的“天空环球”专案里,警方发现这家公司的加密平台有两个重要项目:主营业务是售卖加工定制的手机与配套的“天空环球”APP,同时还在秘密自主开发下一代设备。警方认为,这个新设备就是“特洛伊木马”。美国联邦调查局于是深入挖掘“幽灵安全”平台的全部情况,随后发现了一名高价值程序员,此人同时为“幽灵安全”和“天空环球”平台编程。于是,与其达成辩护交易,秘密将其发展为线人。警方随后将此人的价值进一步放大,假手线人向“新手持加密设备项目”大规模注资,使其顺势成为项目股东。警方称,仅是薪酬就支付了12万美元,差旅费5.9万美元。
这匹“特洛伊木马”就是一款所谓的下一代安全定制的加密手机,叫做ΛNØM,是事关整个行动成败的关键一环。
黑帮分子说,这款“下一代手机”就是由犯罪分子设计,专为犯罪服务的:没有GPS定位、电邮或互联网浏览器,只能通过预装的同名加密聊天软件实现通联,连其广告语都是确保隐私权,是一款纯加密信息工具。
线人向警方交出了“幽灵安全”和“天空环球”两个平台分销手机的渠道,把下一代设备推荐给自己的分销网络,警方随后跟进,复制了上述公司的营销模式,还是定制手机——配套APP——有限销售——闭环管理的套路。手机只在黑市上卖,软件则按月收费,只能在定制手机上运行,也只能在安装了该款软件的同质手机间才能实现交流。这款手机像种子一样植入到有组织犯罪的社区里,在犯罪分子圈里开始流通起来,而警方能看到每一部手机的销售渠道和最后的持有人。用户群的逐渐成长壮大,说明犯罪分子对这款APP未加质疑。
而令犯罪分子没想到的是,这款软件有一个后门——这才是那次“啤酒杯内头脑风暴”的风暴之眼。这一招把整个跨国犯罪集团的通联整得形同一张白纸,变得无密可保了。
2018年10月,为期三年、代号“特洛伊盾牌”的刺探行动秘密启动。
木马屠城
线人与警方的技术团队一起在ΛNØM 手机APP里藏入了一个解码密钥——软件使用者发出的消息,在抵达对端用户的同时,已被悄悄地复制并发送到警方控制的服务器上,警方能用密钥解码进行破译。从技术上讲,每条消息事实上会被秘密发送到一台称为“网络机器人”(iBOT)的服务器上,这台服务器部署在美国境外,它在去掉ΛNØM层的加密后,将再为警方重新加密信息。之后,消息被发送到另外一台服务器上,其内容能够被探员们解密和阅览。
警方已经获得相应的侦查法律许可。为ΛNØM分发数据的三个服务器最初位于大洋洲的两个国家,因为澳大利亚警方设法先于美国同行获得了监控犯罪网络对话内容的法律许可,ΛNØM的手机APP设定发送信息的服务器便置于澳大利亚司法管辖之下。尽管只是监控消息,但一下子就把警方的视野从澳大利亚扩展到了全球。
美国联邦调查局的加州圣迭戈支部作为核心,为直接控制通联APP的后台,抽调了100余名探员和分析师、80余名翻译,根据任务设定和所侦控犯罪集团的通联动向,向参加行动的各国提供线索支持。此次国际合作行动有美国、澳大利亚、荷兰、新西兰等10余个国家和地区的执法机构及国際组织参与。
第一步,推出贝塔(Beta)测试版。警方在澳大利亚和新西兰的黑市发出50台手机进行验证。澳大利亚联邦警察通过监控,发现已成功渗透到两个最大的犯罪组织,信息复制系统工作正常,通联信息100%与犯罪有关。于是,警方对使用APP的每个人都赋予一个ID,“一人一档”进行跟进。
第二步,整合语音数据。线人将发送消息的网络扩展到澳大利亚之外,美国联邦调查局开始介入。经过谈判,美国联邦调查局在某第三国部署了一台专用网络机器人服务器,专门收集被秘密发送的语音对话。2019年10月开始,这台服务器在每周一、三、五定时向美国联邦调查局发送语音数据,内容主要是犯罪团伙使用ΛNØM终端进行交谈的语音副本,这些数据直接进入美国联邦调查局控制的系统内。该第三国警方已获得了法庭开具的监听许可,美国联邦调查局通过援引共同法律援助条约(MLAT),同步获得了解密数据。
在手机销售稳步增长时,发生了一件意外的事。2020年,法国和荷兰警方联手摧毁了“密聊”APP,这导致ΛNØM的销售迅速增加,紧接着2021年随着同质的“天空环球”APP被查禁关闭,ΛNØM的销量开始坐上了火箭。在警方收网前,该种手机的销量翻了三倍,已有1.2万台智能手机被销售给有组织犯罪的各个链条,警方掌握的人数已经突破九千大关。而每部手机的售价达1700美元(人民币约1.08万元),附带半年的加密信息网络订阅费。当然,这些购机费、月服务费等,都进了警方的腰包。
截至2021年5月,ΛNØM的用户(均为犯罪团伙人员)遍布100多个国家,短消息达到2700万条;涉及300余个有组织犯罪团伙;发现40万张照片,主要是毒品、枪支的交易,还有特别重要的航运走私入境计划。
比利时警方通过ΛNØM数据分析,在2020年缴获了藏匿在“金枪鱼罐头”中的613公斤可卡因,随后循线追踪到了厄瓜多尔的毒品源头,抓获嫌疑人并扣押了一个准备运往比利时安特卫普的集装箱,又从中缴获了1523公斤可卡因。最后可卡因的缴获数升至28吨。在拦截到可卡因将经货轮运到西班牙的对话后,2022年5月12日,西班牙警方在挖空的菠萝里缴获了1595公斤可卡因。经追查毒品源头,又在哥斯达黎加抓到一个毒贩,发现其拥有一条街的资产,价值约7000万美元。
根据《2018年澳大利亚通讯与其他立法修正案(协助与获取)法案》,澳大利亚联邦警察和参与行动的多国警方获取了侦控分析ΛNØM手机APP的司法管辖权。2021年初,鉴于一些伙伴国家的司法管辖权即将到期,各国警方研究决定,在赋权到期前启动收网行动,为“特洛伊之盾”行动画上句号。
这项史无前例的钓鱼执法取得的战绩令人惊叹。由于时区的因素,澳大利亚首先发起行动,先后派出4000余名警察开展两次夜间行动,共抓捕700余名嫌疑人,缴获1400万英镑、4500万澳元、3.7吨毒品,阻止了一起谋杀五口之家的阴谋。随后几个小时,欧洲刑警和美国警方采取行动,欧洲媒体称警方“大批抓捕”并缴获“数千公斤可卡因和甲基苯丙胺(冰毒),数百支枪支和数百万欧元”。
全球大规模的抓捕,让犯罪集团的头头们惶惶不可终日。通过侦控ΛNØM对话,警方发现犯罪集团的头头们都在怀疑是对头帮派给警方告的密,从而引发多起黑帮火并和帮派复仇案件。直到2021年6月初,他们才通过媒体知道,自己所依赖的、用于加密通联躲避侦控的,所谓加密设备及其平台,原来是几个国家的警察聯手做的“局”。
剑指平台
近年来,随着互联网技术的飞速发展和警方侦控手段的增强,犯罪集团特别是跨国犯罪集团被迫纷纷找寻能够加密的小众信息平台进行通联协调。这些小众平台号称其设备“提供强劲的数据加密工具”,通常靠口头信用、熟人推介在犯罪集团成员之间传播。当警方缴获了这些设备后,里面的数据可被远程遥控删除。而警方也是利用这一点推广ΛNØM,将“特洛伊木马”送到了犯罪集团的手上。
这次行动中,警方开启了“自主开发+主导平台”的企业经营模式——通过发售已固化的加密设备,获得了主动,直接控制了全球数百个犯罪集团、1.2万部终端的动向。警方收集短消息和语音数据后分析形成线索,把线索分发给伙伴警局,全球的执法部门便可以抓人、缴毒、扣钱。基于ΛNØM获取的情报,全世界的警方已经开展了超过800次抓捕行动,抓获上千人,缴获毒品32吨、枪支250支、豪车55台及1.48亿美元。最终,负责运维的3人和分销ΛNØM终端的14名犯罪嫌疑人,以诈骗操纵和贿赂组织罪被起诉;凡是购买ΛNØM设备的组织或个人,都将以“试图隐秘地策划和实施犯罪”的罪名被起诉,所有嫌疑人将面临至少是“贩毒、洗钱、违反枪支管理法律和暴力犯罪”等罪名的起诉。此外,警方还深挖出了6名美国司法人员“内鬼”。美国联邦调查局还将继续利用行动产生的数据,对有组织犯罪集团的通联及协同犯罪施加长远及全方位的影响。
警方坦陈,“国际犯罪集团会通过这次行动意识到警方也在持续进化自己的能力”,而且过一段时间,国际犯罪集团肯定会重整旗鼓卷土重来,犯罪团伙肯定会对其行为进行调整,为此澳大利亚联邦警察和美国联邦调查局将继续沿用这一做法——建立一个小平台和一些大点的平台继续“钓鱼”,成片、网状地侵蚀犯罪集团之间的信任,持续不断拆除他们的通联壁垒,获取宝贵的行动性信息,确保警方能够具备足够的技术能力干扰犯罪集团行动。
“特洛伊盾牌行动已经打碎了任何犯罪团伙妄图使用加密设备来隐匿犯罪行为的信心。犯罪分子利用加密信息躲避警方侦控的好日子已经结束,他们在网络空间里将不再感到安全,我们希望全球犯罪分子都会对警方心存恐惧,他们可能会想,妈呀,可能就是警察在运作那个平台!
【作者简介】李一南,男,现任四川省公安厅刑事侦查局副局长,三级警监警衔。入警以来获三等功4次、二等功2次,所在赴科索沃第四批维和警队获公安部集体一等功。2006年以来先后参加维和任务、北京奥运安保,赴国际刑警组织技术合作及警务交流随团翻译,赴印尼国家警察学院参加高级执法人员进修。2015年以来落实推进“情报导侦”战略,扁平化指挥提级侦办跨国(境)、跨省重大涉枪、侵财类案件百余起。2009年以来在《啄木鸟》《现代世界警察》《四川公安》和相关内参刊发案例纪实、考察报告多篇,译文50余万字。
(鸣谢:“红军”“一声长叹”“依然”专业指点)
(责任编辑:张敏娇)