美国科技巨头对财政部制裁的复杂应对

2025年5月，美国政府制裁了一名中国公民，其运营的云服务提供商与联邦调查局（FBI）报告的大多数虚拟货币投资诈骗网站有关。但最新报告发现，被指控者仍在美国多家科技公司（包括Facebook、Github、PayPal和Twitter/X）运营大量已建立的账户。

5月29日，美国财政部宣布对Funnull Technology Inc.实施经济制裁，这家总部位于菲律宾的公司被指控为数十万个涉及虚拟货币投资诈骗（称为“杀猪盘”）的网站提供基础设施。2025年1月，KrebsOnSecurity详细介绍了Funnull如何作为一个内容分发网络（CDN），为寻求通过美国云提供商路由流量的外国网络犯罪分子提供服务。

财政部还制裁了Funnull的所谓运营者、40岁的中国公民刘立智（Liu “Steve” Lizhi）。政府称Funnull直接促成了导致美国人超过2亿美元经济损失的金融骗局，且该公司运营与FBI报告的大多数杀猪盘诈骗有关。

美国公司或个人与财政部制裁对象交易通常是非法的。然而，正如刘立智的案例所表明的，仅仅因为某人被制裁并不意味着大型科技公司会暂停其在线账户。

政府称刘立智出生于1984年11月13日，使用昵称“XXL4”和“Nice Lizhi”。尽管如此，Steve Liu在LinkedIn上拥有17年历史的账户（名为“Liulizhi”）直到最近仍有数百名关注者（刘立智的LinkedIn个人资料确认了他的生日）：该账户于今早删除，就在KrebsOnSecurity向LinkedIn寻求评论几小时后。

在KrebsOnSecurity向LinkedIn寻求评论后，刘立智的LinkedIn账户在过去24小时内被暂停。

在电子邮件回复中，LinkedIn发言人表示，公司的“禁止国家政策”规定，LinkedIn“不向受美国政府制裁的个人和公司出售、许可、支持或以其他方式提供其高级账户或其他付费产品和服务”。LinkedIn拒绝说明相关个人资料是高级账户还是免费账户。

刘立智还以Liu Lizhi的名字和用户名“@nicelizhi”（财政部制裁中列出的另一个昵称）维护着一个有效的PayPal账户。一个名为“Lizhi”、链接到刘立智个人域的15年历史的Twitter/X账户仍然活跃，尽管关注者很少且多年未发布。

这些账户及许多其他账户被安全公司Silent Push标记，该公司过去一年一直在跟踪Funnull的运营，并呼吁亚马逊和微软等美国云提供商更快切断与该公司的联系。

刘立智的PayPal账户。

在今日发布的报告中，Silent Push发现刘立智仍运营多个Facebook账户和群组，包括一个以Liu Lizhi为名的私人Facebook账户。另一个明确与刘立智相关的Facebook账户是中国赣州的旅游页面“EnjoyGanzhou”，该页面在财政部制裁中被点名。

“这个人是托管大多数针对美国人的诈骗网站基础设施的技术管理员，基于他托管的网站，已造成数亿美元损失，”Silent Push高级威胁研究员Zach Edwards说。“令人难以置信的是，绝大多数大型科技公司没有采取任何措施切断与这个人的联系。”

FBI称去年收到近15万起涉及数字资产的投诉，损失93亿美元——较前一年增长66%。投资诈骗是报告最多的加密相关犯罪，损失58亿美元。

在一份声明中，Meta发言人表示，公司持续采取措施履行法律义务，但制裁法律复杂多样。他们解释说，制裁通常具有针对性，并不总是禁止人们在其平台上存在。尽管如此，Meta确认已因违反政策删除该账户、取消页面发布，并移除与该用户相关的群组和活动。

通过刘立智在Hotmail和Gmail的主要电子邮件地址联系尝试均退回为无法投递。同样，他14年历史的YouTube频道似乎最近已被删除。

然而，任何有兴趣查看或使用刘立智146个计算机代码仓库的人都可以轻松找到他的GitHub账户，包括以财政部制裁中提到的NiceLizhi和XXL4昵称注册的账户。

刘立智（使用昵称XXL4，财政部制裁中列出的别名）使用的多个GitHub个人资料之一。

刘立智还运营一个名为NexaMerchant的开源电子商务平台的GitHub页面，该平台自称是与多家美国金融机构合作的支付网关。有趣的是，该个人资料的“关注者”页面显示其他几个似乎是刘立智的账户。所有账户关注者均标记为“已暂停”，尽管访问这些个人资料时不会显示暂停消息。

针对问题，GitHub表示有一个流程来识别用户和客户是否为特别指定国民（SDN）或其他被拒绝或封锁方，但会锁定这些账户而不是删除它们。根据其政策，GitHub确保用户和客户不受超出法律要求的影响。

XXL4 GitHub账户的所有关注者账户似乎都是刘立智的，已被GitHub暂停，但其代码仍可访问。

“这包括保持公共仓库（包括开源项目）可用和可访问，以支持涉及受制裁地区开发者的个人通信，”政策规定。“这也意味着GitHub将倡导受制裁地区的开发者享受更大的平台访问权限和全球开源社区的完全访问权限。”

Edwards表示，GitHub有处理受制裁账户的流程很好，但该流程似乎没有以透明的方式传达风险，指出锁定账户上的唯一指示是消息“此仓库已被所有者存档。它不是只读的。”

“这是一个奇怪的消息，没有传达‘这是一个受制裁实体，不要分叉此代码或在生产环境中使用它’，”Edwards说。

Mark Rasch是一名前联邦网络犯罪检察官，现为纽约市安全咨询公司Unit 221B的顾问。Rasch表示，当财政部外国资产控制办公室（OFAC）制裁个人或实体时，企业或组织与受制裁方交易就变得非法。

Rasch表示，金融机构拥有非常成熟的系统来切断与受OFAC制裁人员的账户联系，但科技公司可能远不那么主动——尤其是免费账户。

“银行有既定的方式检查[美国政府制裁名单]中的受制裁实体，但科技公司不一定做得很好，特别是对于只需点击注册的服务，”Rasch说。“这对涉及的科技公司来说是潜在的风险和责任，但仅限于OFAC愿意执行的程度。”

刘立智运营多个Facebook账户和群组，包括这个用于OFAC制裁中指定实体的账户：中国赣州的“Enjoy Ganzhou”旅游页面。图片：Silent Push。

2024年7月，Funnull购买了域名polyfill[.]io，这是一个长期合法的开源项目的家园，允许网站确保使用旧版浏览器的设备仍能以新格式呈现内容。Polyfill域名易主后，至少384,000个网站陷入供应链攻击，将访问者重定向到恶意网站。根据财政部，Funnull使用该代码将人们重定向到诈骗网站和在线赌博网站，其中一些与中国犯罪洗钱活动有关。

美国政府称Funnull为其购买的IP地址上的网站提供域名，使用域名生成算法（DGA）——为网站生成大量相似但唯一名称的程序——并向网络犯罪分子出售网页设计模板。

“这些服务不仅使网络犯罪分子在创建诈骗网站时更容易冒充可信品牌，还允许他们在合法提供商试图关闭网站时快速切换到不同域名和IP地址，”财政部声明称。

与此同时，Edwards表示，Funnull似乎在制裁后转变其业务的几乎所有方面。

“尽管之前他们可能使用60个DGA域名隐藏和反弹流量，我们现在看到远多于此，”他说。“他们正试图使其基础设施更难跟踪和更复杂，所以目前他们不会消失，而更多只是改变所做之事。更多组织应该对他们施加压力。”

更新，美国东部时间下午2:48：添加了Meta的回应，确认已关闭与刘立智相关的账户和群组。

更新，7月7日下午6:56美国东部时间：在书面声明中，PayPal表示持续努力打击和防止其服务的非法使用。

“我们在全球投入大量资源用于金融犯罪合规，并主动向全球执法官员提交案件并协助他们识别、调查和阻止非法活动，”声明称。