揭秘英国私营情报机构
——“摇铃猫”
2022-06-24周伟
周 伟
互联网时代,随着网络及社交媒体的不断发展,开源情报越来越得到情报部门的重视。曾任美国防情报局局长的迈克尔·弗林曾表示,秘密来源过去贡献了90%的宝贵情报。社交媒体出现后,情报正好相反:90%的有价值情报来自公开来源,所有人均可获得。
开源情报工作不仅得到政府情报部门的重视,通过开源情报工具获取对当前某一重大事件的内幕信息也成为了一些私营组织的核心工作。英国私营情报机构“摇铃猫”因其在近年来的数起重大突发事件中(如对西方所称的发生在叙利亚化学武器袭击的分析、马航MH-17航班事件调查以及斯克里帕尔中毒案调查等)出色的开源情报调查而闻名于世。作为私营情报机构,“摇铃猫”的开源情报调查值得我们进行深入的探究。
“摇铃猫”总体情况评介
“摇铃猫”的创始人艾略特·希金斯在2011年还是英国一个名不见经传的记者。当所谓的“阿拉伯之春”运动席卷中东之时,希金斯格外关注该事件的相关进展情况。2013年9月以来,希金斯通过分析在线视频、同时使用Google地球、街景等新科技手段调查叙利亚化学武器袭击事件,推断出这些袭击与阿萨德政府有关。此后,其通过所掌握的开源情报工具对社交媒体中零散信息进行详实分析,提前得出了同各国情报机构相同的调查结论,并将调查方式和方法在名为BrownMoses的博客上公布,因此名声大振。随之而来的是网络上出现了希金斯的众多关注者和效仿者,他们互相学习并提供开源调查工具,而希金斯则借此吸纳了部门优秀的开源情报工作者,试图筹建一个在线调查中心。2014年7月,希金斯在英国创办了“摇铃猫”,其公开宣称,该组织将成为“为人民服务的情报机构”。为了便于管理以及财务工作的需要,2015年希金斯在英国将“摇铃猫”注册为私人担保有限公司,作为非盈利实体运营。随着与荷兰部分组织合作的加强,2018年7月11日,希金斯及其团队在荷兰阿姆斯特丹成立“摇铃猫”基金会。
据“摇铃猫”官网介绍,成立于2014年的“摇铃猫”是一家由来自20余个国家的研究人员和调查人员以及公民记者组成的独立的国际新闻调查机构。2018年在荷兰成立的“摇铃猫”基金会由董事会、监事会以及三个团队组成(调查团队、培训团队、财务及行政团队)。共有全职员工18人,此外全球各地还有30余名撰稿人参与其中。据该组织报告称,其未来还将成立筹款以及合作伙伴关系团队、研究与发展(包括技术与创新)团队以及营销与沟通团队。18名全职员工中,既有对化学武器研究透彻的专家(哈米什·戈登)、曾在美国家地理空间情报局工作过的图像情报专家(克里斯·比格斯),也有独立记者(彼得·朱克斯)和计算机专家(马拉奇·布朗)等。这些成员专业且专注,非常善于通过寻找社交媒体上的蛛丝马迹和详实的开源情报分析,得出令人信服的结论。
美国防情报局局长的迈克尔·弗林
“摇铃猫”网站
“摇铃猫”目前的活动主要分为两个部分,即开源调查以及培训活动。此外,“摇铃猫”主要通过来自社会的无偿资助以及培训活动获得的收入维持机构的运转。一是开源调查。“摇铃猫”的开源调查主要集中在武装冲突(叙利亚危机、也门冲突、乌克兰顿巴斯冲突等)、环境问题以及美国和欧洲的极右运动问题。世界各地的“摇铃猫”成员从不同的媒体和信息渠道识别公开信息并收集数据。之后,对确定的数据进行归档、分析和核实。随后在“摇铃猫”内部平台网络中共享所获得的数据,并由相关领域专家和志愿者共同验证其真实性。最后,经过验证的数据被公布在“摇铃猫”网站上。二是培训活动。“摇铃猫”通过组织研讨会的形式进行线上和线下的培训。此外,“摇铃猫”还向感兴趣者提供付费的现场培训,主要教授IVA方法(调查、核实、放大)。
“摇铃猫”情报调查活动
根据笔者统计,截至2022年3月20日,“摇铃猫”发布在其官网的调查文章共计692篇。其中涉及俄罗斯的共计151篇、叙利亚135篇、马航MH-17航班客机坠毁事件86篇、叙利亚“化学武器袭击”52篇、斯克里帕尔中毒事件46篇、“伊斯兰国”恐怖组织45篇、伊朗29篇以及其他79篇。通过以上统计可以看出,“摇铃猫”情报调查活动主要聚焦在2013年8·21叙利亚“化学武器袭击”事件、2014年马航MH-17坠毁事件、2018年斯克里帕尔中毒事件、2020年伊朗误击客机事件等。
谷歌地球
8·21叙利亚“化学武器袭击”事件主要是指西方媒体宣称的2013年8月21日发生在叙利亚首都大马士革东部郊区的“化学武器袭击”事件。美国政府声称此次袭击事件共导致包括426名儿童在内的1429名平民遇害。“摇铃猫”通过开源情报分析,认为在叙利亚大马士革东部郊区确实发生了化学武器袭击事件,且有毒化学物质是氯气。
2014年马航MH-17坠毁事件是指2014年7月17日,马来西亚航空一架波音777客机在乌克兰靠近俄罗斯边界上空失事并坠毁。机上283名乘客和15名机组人员全部遇难。2016年9月28日,联合调查组发布调查报告,认为击落马航MH-17客机的山毛榉防空导弹来自俄罗斯。这与“摇铃猫”此前通过开源情报分析的结论一致。
2018年斯克里帕尔中毒事件是指2018年3月4日,俄罗斯前情报人员谢尔盖·斯克里帕尔及其女儿在英国索尔兹伯里遭神经毒剂袭击并失去意识。两名俄罗斯人彼得罗夫和博希罗夫成为主要怀疑对象。“摇铃猫”通过开源情报调查揭示了这两名俄罗斯人并非其所称的健身教练而是俄情报人员,并证明两人赴英国是在执行暗杀任务,此外“摇铃猫”还查出该事件还存在第三名任务成员费多托夫。
2020年伊朗误击客机事件指的是2020年1月8日,原计划飞往基辅的乌克兰民航客机,从伊朗霍梅尼国际机场起飞不久后坠落,机上176人全部遇难。伊朗在其组织的调查报告中表示,其防空部门由于人为失误将民航客机当做美国发射的巡航导弹并将其击落。在伊朗官方报告发布之前,最先揭秘这一事件真相的是“摇铃猫”的分析人员及其发布的报告。
“摇铃猫”主要利用卫星图像、社交媒体、在线数据库等开源信息来进行情报调查活动。其主要通过对社交媒体上的视频图像以及照片等信息进行数据分析,使用相应的开源情报分析工具获取地理位置信息、准确的时间信息以及相关人员和武器装备信息,从而调查和核实事件真相。
“摇铃猫”在进行开源情报活动时,使用了大量便捷有效的分析工具。一是获取位置信息的工具。谷歌地球(GoogleEarth)和维基卫星地图(Wikimapia)两款产品囊括了用户标注的卫星图像,对核查外拍视频出处的地理类信息非常有用。二是确定时间信息的工具。SunCalc软件,可以模拟太阳在地球上不同时间和地点上空移动。若视频中出现带有影子的画面,那么用户可借助SunCalc软件进一步确认日照方向、太阳高度角等可以推算出具体年月信息的内容,从而便于确定视频拍摄较为准确的时间窗口。三是确定人员身份信息的工具。手机号码可使用Telegram电话号码检查器查询。住址信息查询可使用GetContact软件(电话地址簿中的联系人记录)或其他泄露的黑市数据库中进行检索。在Rospasport上可付费进行护照信息(护照数据、外国护照、登记地址、业主照片)查询。使用互联网上已泄露的航空公司航班数据库可进行航班信息查询。
在对马航MH-17坠毁事件进行调查时,“摇铃猫”通过社交媒体、YouTube视频、谷歌地图上信息定位事件发生地点,甚至通过阴影来测算时间,以确定导弹发射器运输经过某地的具体时间是否与导弹发射时间相吻合。在事件发生的第二天,“摇铃猫”即公开了调查结果,马航MH-17航班是被俄罗斯的山毛榉防空导弹击落,并梳理了导弹发射器运输的时间线和路线图。相比之下,美国情报部门是在事件发生后五天才公布了同样结论的报告,足以看出开源情报的重要性。
2014年马航MH-17坠毁事件
在对伊朗误击客机事件调查时,“摇铃猫”分析了大量互联网和社交媒体上的开源信息,试图寻找证据驳斥伊朗此前宣称的飞机失事原因是引擎故障这一论点。“摇铃猫”创始人希金斯分析了大量网民上传的机翼碎片图片。这些图片清晰地显示着机翼碎片分布了多个黑点,可能是导弹飞散的弹片造成的。此外,通过社交媒体上网民上传的一张自称是在事件发生现场附近一条沟渠中拍到的一个圆锥形的机械部件的照片,希金斯经过比对分析发现该物体是道尔M-1防空导弹部件,而伊朗曾在阅兵中公开展示了这一导弹。与此同时,“摇铃猫”通过分析EXIF数据,确定照片拍摄地确为德黑兰,即事件的发生地。之后社交媒体上出现一段疑似导弹击落客机的视频。希金斯仔细查看了该视频,并详细分析了视频中出现的每一栋建筑物、街道标志物以及道路。其通过卫星地图确认这些建筑位于伊朗德黑兰机场附近帕兰的一个社区。再通过谷歌街景将该社区的建筑和街道进行比对,希金斯还在视频中发现和之前导弹照片一样的沟渠,基本可确认这就是失事客机被导弹击中的瞬间。之后,希金斯使用可提供实时航班飞行状况的软件FlightRader24绘制出失事客机完整的飞行轨迹,确认了飞机失事的地点和时间同视频的一致性。
在对斯克里帕尔中毒事件进行调查时,“摇铃猫”通过互联网上泄露的俄罗斯航班清单数据库(其中甚至包括机上人员的登机细节信息)查找事件的两名嫌疑人彼得罗夫和博希罗夫从莫斯科飞往伦敦的航班信息。此外,希金斯通过中间人巴布什卡以支付100美元的代价获取了俄罗斯黑市上关于名为彼得罗夫和博希罗夫的个人信息数据。通过比对分析4个同名同姓的护照信息,希金斯及其团队发现其中一人与众不同,其档案资料中标注“不提供任何信息”的印章以及手写的“绝密”字样。在印章下还有一串类似电话号码的数字。希金斯团队由此怀疑这可能同俄罗斯联邦对外情报总局有关。其顺着这条线索继续深度挖掘,通过对社交媒体上关于远东军事指挥学院(俄罗斯联邦对外情报总局训练情报人员的院校)相关图片信息的寻找和分析,希金斯团队发现博希罗夫的照片以及一篇介绍远东军事指挥学院校友阿纳托利·切皮加上校获得俄罗斯联邦英雄奖的文章。希金斯团队通过在黑市购买切皮加上校的照片确认博希罗夫就是切皮加上校,即博希罗夫是俄罗斯联邦对外情报总局的成员,这表明俄情报机构参与了斯克里帕尔中毒事件。
通过互联网检索,希金斯团队意外发现彼得罗夫同俄罗斯军医亚历山大·米什金为同一人,曾参与神经毒剂的研制。此外,希金斯团队还发现了第三名嫌疑人信息,45岁的谢尔盖·费多托夫的乘客记录。他从俄罗斯起飞的航班比两名嫌疑人提前几个小时起飞,降落在希思罗机场,而不是盖特威克机场。谢尔盖·费多托夫在帕丁顿车站附近的一家酒店待了两天时间,中间并未离开房间且花了相当长的时间在智能手机上。其在伦敦与一个来自莫斯科的号码联系了11次。因为该号码缺乏正常的用户身份细节和元数据足迹,这意味着它可能是一个特殊的未注册号码,只有俄罗斯安全部门才能使用。此外,希金斯通过开源手段还发现谢尔盖·费多托夫同博希罗夫在事件发生前通话数次。希金斯综合其他开源信息判定费多托夫是该事件的第三名嫌疑人,其为彼得罗夫和博希罗夫提供帮助。
希金斯《我们是摇铃猫》一书
情报调查活动整体特点
“摇铃猫”开源情报调查大多使用网络上的公开且免费的信息,通过整合分析,能够较为清晰的得出结论。“摇铃猫”开源情报调查的另一大特点是其高成效。该组织通过对社交媒体进行大范围的监控,及时获取突发事件的一手音视频资料,通过分析比对并加以核查,迅速得出结论,其速度甚至超过传统意义上的某些情报组织。
“摇铃猫”组织的成员来自世界各地,大多数成员选择加入的重要原因是出于对国际事件的关注和浓厚的兴趣。因而该组织聚焦国际热点问题,无论是在2013年叙利亚使用化学武器调查、2014年马航MH-17坠毁事件以及2022年俄乌冲突调查中都是当年国际社会的热点问题。这其中,马航MH-17坠毁事件、斯克里帕尔中毒事件以及俄乌冲突调查等均与俄罗斯息息相关。分析人员充分利用俄罗斯境内大范围的信息泄露,为其开源情报调查提供了极佳的途径。
“摇铃猫”的资金来源主要分为两个部分,通过组织培训获得的收入、来自社会的捐赠以及国际组织和基金会的捐助。这其中,以众筹的方式获得活动资金是其鲜明的特色。众筹的模式具有方便灵活,不拘一格的显著特点,非常符合私营情报机构的定位。
启 示
“摇铃猫”出色的情报保障工作尝试折射出西方国家在依托社交媒体等实施开源数据挖掘与利用方面已走在前列,这也使我们深刻认识到,我们有必要重新审视开源情报的地位和作用,创新开源情报搜集工作的思路和方法。未来我们应充分发挥社交媒体作用,采用人工智能等新兴技术开展数据搜集和建模分析,积极进行综合研判和趋势预测,为决策层提供优质的开源情报产品。此外,我们也应深刻汲取互联网信息泄露等经验教训,对相关私营情报机构加以防范,提高信息保护意识。
