加拿大间谍机构使用首例此类授权令清理受僵尸网络感染的设备

加拿大间谍服务机构获得了法官的许可，以访问位于加拿大境内的受感染服务器、家庭路由器和 IoT 设备，并清除了两个由外国运营的僵尸网络。

联邦法院于 6 月 15 日发布了该裁决的公开版本。这是加拿大安全情报局（CSIS）首次以这种方式使用其威胁削减授权令权力。

该授权令允许 CSIS 修改、降级和销毁受感染机器上的僵尸网络数据，并将这些设备从网络中切断。

目标是在加拿大的服务器、小型办公室和家庭办公室（SOHO）路由器以及物联网设备：Ring 门铃、安防摄像头、电视和其他支持 Wi-Fi 的电器。

法官 Catherine Kane 于 2024 年 5 月 1 日批准了该授权令，于同年 8 月续签，并于 2026 年 2 月发布了保密理由。该授权令在公众视野之外保持了两年多，直到本月发布了删节版。

CSIS 需要此命令，因为没有它，清理工作很可能构成犯罪。根据《刑法典》，访问他人的设备并擦除数据属于计算机恶作剧，因此该服务机构在接触机器之前需要法官的批准。

法院认定对加拿大的威胁已明确确立且迫在眉睫，所采取的措施是必要、合理且相称的。法院强调此次行动针对的是设备，而非个人：不寻求用户身份，不拦截内容，任何附带收集的个人数据均被销毁。

这两个僵尸网络运行着标准的中继剧本。一个命令层发布指令；一层受感染的设备中继流量。通过路由经过被劫持的加拿大硬件，外国国家可以看起来像普通连接、家庭工作者或 ISP 客户，同时探测关键基础设施、政府和军事网络。

受感染门铃的所有者最终看起来要对并非他们发送的流量负责。法院指出能源部门是目标之一，并警告称对手可以指挥僵尸网络探测并可能破坏加拿大基础设施。

公开裁决确定了“什么”：两个外国对手，对加拿大安全的威胁，法院认定已明确证实。它隐去的是“谁”。时间和手法与 2024 年初的特定时刻相符，但披露该裁决的 The Bureau 表示，无法从删节的理由中判断加拿大的两个僵尸网络是来自中国、俄罗斯，还是各一个。外国国家背景是一个结论。国旗被删节了。

相同策略，不同权力机构

那个时刻是美国一系列法院命令的僵尸网络清理行动。在 2023 年 12 月的一次行动中，FBI 使用僵尸网络自身的命令通道从数百台美国 SOHO 路由器中删除了 KV-botnet 恶意软件，这些路由器大多是已停产的 Cisco 和 NetGear 设备，与中国关联的 Volt Typhoon 正利用它们隐藏其在美国通信、能源、水和交通系统内预先植入的访问权限，以备可能发生的危机。

数周后，它对另一个由俄罗斯 GRU（APT28 组织）转变为间谍中继的 Ubiquiti 路由器网络执行了几乎相同的操作。

加拿大的网络中心此前已加入盟国关于国家行为者滥用 SOHO 和 IoT 设备的警告。两次都是相同的法院命令模式：被忽视的消费级设备、国家行为者、法官批准远程消毒。

区别在于谁持有授权令。美国的行动是执法部门——FBI 和 DOJ——在搜查和扣押权力下行事。而加拿大的是情报机构使用威胁削减措施——CSIS 主动瓦解威胁而非仅收集情报的权力——该权力多年前写入《CSIS 法》，并在 2019 年生效的《2017 年国家安全法》中进行了修订。CSIS 此前从未像这样使用过它。

归根结底还是老旧路由器

对防御者的教训是老生常谈的。僵尸网络以无人维护的设备为食：仍连接在网络中的停产路由器、从未进行过最后一次固件更新的 IoT 套件、任何使用默认凭证且管理面板面向互联网的设备。

政府的清理行动无法解决这个问题。在美国的行动中，恶意软件被移除了，但弱点依然存在，重启或恢复出厂设置可能会撤销修复并重新打开被再次感染的大门。淘汰过时的硬件并锁定保留的设备是所有者——而非为他们善后的机构——的责任。

公开裁决未解决的一个遗留问题：据 The Bureau 称，申请依赖于 CSIS 在未获得授权令的情况下收集的 IP 地址，而就在数周前，加拿大最高法院在 R. v. Bykovets 案中裁定 IP 地址承载着合理的隐私期望。

这是否符合 CSIS 的收集权限，以及被消毒设备的所有者是否被告知，这些问题仍然悬而未决。