美国商务部工业和安全局 (BIS) 今天[2021年11月4日]发布了一项最终规则, 将四家从事违反美国国家安全或外交政策利益的活动的外国公司添加到实体名单中。这四个实体分别位于以色列、俄罗斯和新加坡。
关于NSO Group详情查看往期文章:取证报告之如何发现NSO集团的Pegasus间谍软件
NSO Group 和 Candiru(以色列)被添加到实体名单中,其依据是这些实体开发并向外国政府提供间谍软件,这些软件使用这些工具恶意针对政府官员、记者、商人、活动家、学者和大使馆工作人员。这些工具还使外国政府能够进行跨国镇压,这是威权政府针对其主权边界以外的持不同政见者、记者和活动家以压制异议的做法。这种做法威胁到以规则为基础的国际秩序。
Positive Technologies(俄罗斯)和Computer Security Initiative Consultancy PTE. LTD. (新加坡) 被添加到实体名单中,因为他们确定他们交易用于未经授权访问信息系统的网络工具,威胁到全球个人和组织的隐私和安全。
美国商务部长 Gina M. Raimondo 发表了以下声明:“美国致力于积极使用出口管制来追究那些开发、交易或使用技术进行威胁公民社会成员网络安全的恶意活动的公司的责任,异见人士、政府官员和国内外组织。”
最终用户审查委员会 (ERC) 由商务部担任主席,包括国防部、国务院、能源部以及适当的财政部,确定这四个实体的行为引起了足够的关注,将它们置于根据出口管理条例 (EAR) § 744.11(b) 的实体清单。
实体清单是 BIS 使用的一种工具,用于将受 EAR 约束的物品的出口、再出口和国内转移限制在合理认为涉及、已经涉及或造成重大影响的个人(个人、组织、公司)参与或参与违反美国国家安全或外交政策利益的活动的风险。对于在此最终规则中添加到实体列表的四个实体,BIS 强加了适用于受 EAR 约束的所有项目的许可要求。此外,对于出口、再出口或转移(国内)到本规则中添加到实体列表的实体,没有许可证例外。BIS 对这些实体实行拒绝推定的许可审查政策。
今天的行动是拜登-哈里斯政府将人权置于美国外交政策中心的努力的一部分,包括努力阻止用于镇压的数字工具的扩散。这项工作旨在提高公民的数字安全、打击网络威胁和减轻非法监视,并遵循 美国商务部最近发布的临时最终规则,该规则对某些可用于恶意网络活动。
BreachQuest 首席技术官杰克威廉姆斯告诉 ZDNet,实体列表中的每一个新增内容就其本身而言都很有趣,但在他看来,最重要的是 NSO 集团。
威廉姆斯解释说,虽然国家统计局试图将其软件用于合法目的,但很明显,它已被反复用于针对记者、活动家和政府官员。
“不仅仅是针对这些人让 NSO 陷入困境,而是那些对美国不友好的实体使用 NSO 工具来瞄准友好的记者、活动家等。这从来都不是一个成功的商业计划,”威廉姆斯说,并补充说COSEINC 和 Positive Technologies “也许在学术上更有趣。”
“虽然 Positive Technologies(一家俄罗斯公司)出现在这份名单上并不令人意外,但 COSEINC(一家新加坡公司)是。在今天之前,COSEINC 基本上在公众视线下飞行,尽管 Motherboard/VICE 的 Joseph Cox 先前的报道指出该公司在 2018 年成为零日供应商。似乎发现 COSEINC 出售漏洞或与外国情报组织或网络犯罪分子合作,从而在实体名单上获得了这样的称号。”
Vectra 的首席技术官 Oliver Tavakoli 表示,考虑到向世界各国政府提供攻击性网络能力的阴暗业务总是会导致这些公司对什么构成“适当使用”技术以及是否可以信任他们的客户会遵守写入合同的约束精神——通常以模糊的术语表达,指的是“威胁”和“安全”。
塔瓦科利说:“很明显,大多数政府无视这些限制,做他们认为符合政府及其现任领导人的自身利益的事情,尽管这些公司可以声称合理的否认。”