美国科技巨头对财政部制裁的复杂应对

2025年5月，美国政府制裁了一名中国公民，其运营的云服务提供商与向FBI报告的大多数虚拟货币投资诈骗网站有关。但最新报告发现，被指控者仍在美国科技公司（包括Facebook、GitHub、PayPal和Twitter/X）运营着大量已建立的账户。

5月29日，美国财政部宣布对Funnull Technology Inc.实施经济制裁，这家总部位于菲律宾的公司被指控为数十万个涉及虚拟货币投资诈骗（称为“杀猪盘”）的网站提供基础设施。2025年1月，KrebsOnSecurity详细介绍了Funnull如何作为一个内容交付网络，为寻求通过美国云提供商路由流量的外国网络犯罪分子提供服务。

财政部还制裁了Funnull的 alleged operator，40岁的中国公民刘立智（Liu “Steve” Lizhi）。政府表示，Funnull直接促进了导致美国人超过2亿美元经济损失的金融计划，且该公司的运营与向FBI报告的大多数杀猪盘诈骗有关。

美国公司或个人与财政部制裁的人交易通常是非法的。然而，正如刘立智的案例所示，仅仅因为某人被制裁，并不一定意味着大型科技公司会暂停其在线账户。

政府表示，刘立智出生于1984年11月13日，使用昵称“XXL4”和“Nice Lizhi”。尽管如此，刘立智在LinkedIn上17年的账户（名为“Liulizhi”）直到最近仍有数百名关注者（刘立智的LinkedIn个人资料 helpful 确认了他的生日）：该账户于今早删除，就在KrebsOnSecurity寻求LinkedIn评论几小时后。

刘立智的LinkedIn账户在KrebsOnSecurity寻求LinkedIn评论后的24小时内被暂停。

在电子邮件回复中，LinkedIn发言人表示，公司的“禁止国家政策”规定，LinkedIn“不向受美国政府制裁的个人和公司出售、许可、支持或以其他方式提供其高级账户或其他付费产品和服务”。LinkedIn拒绝说明相关个人资料是高级账户还是免费账户。

刘立智还以刘立智的名义和用户名“@nicelizhi”（财政部制裁中列出的另一个昵称）维护着一个有效的PayPal账户。一个名为“Lizhi”的15年Twitter/X账户，链接到刘立智的个人域名，仍然活跃，尽管关注者很少且多年未发帖。

这些账户和许多其他账户被安全公司Silent Push标记，该公司过去一年一直在跟踪Funnull的运营，并呼吁亚马逊和微软等美国云提供商更快地切断与该公司的联系。

刘立智的PayPal账户。

在今天发布的报告中，Silent Push发现刘立智仍运营着许多Facebook账户和群组，包括一个以刘立智名义的私人Facebook账户。另一个与刘立智明确相关的Facebook账户是中国赣州的旅游页面“EnjoyGanzhou”，该页面在财政部制裁中被点名。

“这个人是托管大多数针对美国人的诈骗网站基础设施的技术管理员，基于他托管的网站，已经损失了数亿美元，”Silent Push的高级威胁研究员Zach Edwards说。“令人疯狂的是，绝大多数大型科技公司没有采取任何措施切断与这个人的联系。”

FBI表示，去年收到了近15万起涉及数字资产和93亿美元损失的投诉——比前一年增加了66%。投资诈骗是报告最多的加密相关犯罪，损失58亿美元。

在一份声明中，Meta发言人表示，公司不断采取措施履行法律义务，但制裁法律复杂多样。他们解释说，制裁通常是针对性的，并不总是禁止人们在其平台上存在。尽管如此，Meta确认已删除该账户，取消发布页面，并删除因违反政策而与用户相关的群组和活动。

通过刘立智在Hotmail和Gmail的主要电子邮件地址联系他的尝试被退回为无法投递。同样，他14年的YouTube频道似乎最近被下架。

然而，任何有兴趣查看或使用刘立智146个计算机代码仓库的人都可以轻松找到他的GitHub账户，包括以财政部制裁中提到的NiceLizhi和XXL4昵称注册的账户。

刘立智（使用昵称XXL4，财政部制裁中列出的别名）使用的多个GitHub个人资料之一。

刘立智还运营着一个名为NexaMerchant的开源电子商务平台的GitHub页面，该平台自称是与许多美国金融机构合作的支付网关。有趣的是，该个人资料的“关注者”页面显示了其他几个似乎是刘立智的账户。所有账户的关注者都被标记为“已暂停”，尽管当访问这些个人资料时，暂停消息并不显示。

针对问题，GitHub表示有一个流程来识别用户和客户是否为特别指定国民或其他被拒绝或封锁的方，但会锁定这些账户而不是删除它们。根据其政策，GitHub确保用户和客户不受超出法律要求的影响。

“这包括保持公共仓库（包括开源项目的仓库）可用和可访问，以支持涉及制裁地区开发者的个人通信，”政策规定。“这也意味着GitHub将倡导制裁地区的开发者享受更大的平台访问权限和全球开源社区的完全访问权限。”

Edwards表示，GitHub有一个处理制裁账户的流程很好，但该流程似乎没有以透明的方式传达风险，指出锁定账户上的唯一指示是消息“此仓库已被所有者存档。它不是只读的。”

“这是一个奇怪的消息，没有传达‘这是一个受制裁实体，不要分叉此代码或在生产环境中使用它’，”Edwards说。

Mark Rasch是一名前联邦网络犯罪检察官，现为纽约市安全咨询公司Unit 221B的顾问。Rasch表示，当财政部外国资产控制办公室（OFAC）制裁一个人或实体时，企业或组织与受制裁方交易就变得非法。

Rasch表示，金融机构有非常成熟的系统来切断与受OFAC制裁的人相关的账户，但科技公司可能远不那么主动——尤其是对于免费账户。

“银行有 established ways 检查[美国政府制裁名单]中的受制裁实体，但科技公司不一定在这方面做得好，特别是对于你可以点击注册的服务，”Rasch说。“这对涉及的科技公司来说是一个潜在的风险和责任，但仅限于OFAC愿意执行的程度。”

刘立智运营着许多Facebook账户和群组，包括这个用于OFAC制裁中指定的实体：中国赣州的“Enjoy Ganzhou”旅游页面。图片：Silent Push。

2024年7月，Funnull购买了域名polyfill[.]io，这是一个长期合法的开源项目的家，允许网站确保使用旧版浏览器的设备仍能以新格式呈现内容。在Polyfill域名易手后，至少384,000个网站陷入供应链攻击，将访问者重定向到恶意网站。根据财政部，Funnull使用该代码将人们重定向到诈骗网站和在线赌博网站，其中一些与中国犯罪洗钱操作有关。

美国政府表示，Funnull为其购买的IP地址上的网站提供域名，使用域名生成算法（DGAs）——为网站生成大量相似但唯一名称的程序——并向网络犯罪分子出售网页设计模板。

“这些服务不仅使网络犯罪分子在创建诈骗网站时更容易冒充可信品牌，还允许他们在合法提供商试图关闭网站时快速切换到不同的域名和IP地址，”财政部声明中写道。

与此同时，Edwards表示，Funnull似乎在制裁后改变了其业务的几乎所有方面。

“而以前他们可能使用60个DGA域名来隐藏和反弹流量，我们现在看到 far more，”他说。“他们正试图使他们的基础设施更难跟踪和更复杂，所以目前他们不会消失，而只是改变他们正在做的事情。更多组织应该对他们施加压力。”

更新，美国东部时间下午2:48：添加了Meta的回应，确认已关闭与刘立智相关的账户和群组。

更新，7月7日美国东部时间下午6:56：在书面声明中，PayPal表示不断努力打击和防止其服务的非法使用。

“我们在全球投入大量资源用于金融犯罪合规，并主动向全球执法官员提交案件并协助他们识别、调查和阻止非法活动，”声明中写道。