美国科技巨头对财政部制裁的混合响应

2025年5月，美国政府制裁了一名中国公民，其运营的云服务提供商与大多数向FBI报告的虚拟货币投资诈骗网站有关。但最新报告发现，被指控者仍在美国科技公司（包括Facebook、GitHub、PayPal和Twitter/X）运营大量已建立的账户。

5月29日，美国财政部宣布对Funnull Technology Inc.实施经济制裁，这家总部位于菲律宾的公司被指控为数十万个涉及虚拟货币投资诈骗（称为“杀猪盘”）的网站提供基础设施。2025年1月，KrebsOnSecurity详细介绍了Funnull如何设计为一个内容交付网络（CDN），迎合外国网络犯罪分子寻求通过美国云提供商路由流量。

财政部还制裁了Funnull的 alleged 运营商、40岁的中国公民刘立智（Liu “Steve” Lizhi）。政府表示，Funnull直接促进了导致美国人超过2亿美元经济损失的金融计划，且该公司运营与大多数向FBI报告的杀猪盘诈骗有关。

美国公司或个人与财政部制裁对象交易通常是非法的。然而，正如刘立智的案例所示，仅仅因为某人被制裁并不意味着大型科技公司会暂停其在线账户。

政府表示，刘立智出生于1984年11月13日，使用昵称“XXL4”和“Nice Lizhi”。尽管如此，Steve Liu在LinkedIn上17年历史的账户（名为“Liulizhi”）直到最近仍有数百名关注者（刘立智的LinkedIn个人资料有帮助地确认了他的生日）：该账户于今早删除，就在KrebsOnSecurity寻求LinkedIn评论几小时后。

刘立智的LinkedIn账户在过去24小时内被暂停，此前KrebsOnSecurity寻求LinkedIn评论。

在电子邮件回复中，LinkedIn发言人表示，公司的“禁止国家政策”规定，LinkedIn“不向受美国政府制裁的个人和公司销售、许可、支持或以其他方式提供其高级账户或其他付费产品和服务”。LinkedIn拒绝说明相关个人资料是高级账户还是免费账户。

刘立智还以Liu Lizhi名称和用户名“@nicelizhi”（财政部制裁中列出的另一个昵称）维护一个有效的PayPal账户。一个15年历史的Twitter/X账户名为“Lizhi”，链接到刘立智的个人域名，仍然活跃，尽管关注者很少且多年未发帖。

这些账户和许多其他账户被安全公司Silent Push标记，该公司过去一年一直在跟踪Funnull的运营，并呼吁亚马逊和微软等美国云提供商更快切断与公司的联系。

刘立智的PayPal账户。

在今天发布的报告中，Silent Push发现刘立智仍运营众多Facebook账户和群组，包括一个以Liu Lizhi名称的私人Facebook账户。另一个明显与刘立智相关的Facebook账户是中国赣州的旅游页面“EnjoyGanzhou”，该页面在财政部制裁中被命名。

“这个人是托管针对美国人的大多数诈骗网站基础设施的技术管理员，基于他托管的网站，已经损失了数亿美元，”Silent Push高级威胁研究员Zach Edwards说。“令人疯狂的是，绝大多数大型科技公司没有采取任何措施切断与这个人的联系。”

FBI表示，去年收到近15万起涉及数字资产的投诉，损失93亿美元——比前一年增加66%。投资诈骗是报告最多的加密相关犯罪，损失58亿美元。

在声明中，Meta发言人表示，公司持续采取措施履行法律义务，但制裁法律复杂多样。他们解释说，制裁通常是针对性的，并不总是禁止人们在其平台上存在。尽管如此，Meta确认已删除该账户、取消发布页面，并删除因违反政策而与用户相关的群组和事件。

通过刘立智在Hotmail和Gmail的主要电子邮件地址联系尝试被退回为无法投递。同样，他14年历史的YouTube频道似乎最近被取下。

然而，任何有兴趣查看或使用刘立智146个计算机代码仓库的人都可以轻松找到他的GitHub账户，包括以财政部制裁中提到的NiceLizhi和XXL4昵称注册的账户。

刘立智（使用昵称XXL4，财政部制裁中列出的别名）使用的多个GitHub个人资料之一。

刘立智还运营一个名为NexaMerchant的开源电子商务平台的GitHub页面，该平台自称为与众多美国金融机构合作的支付网关。有趣的是，此个人资料的“关注者”页面显示其他几个似乎是刘立智的账户。所有账户的关注者都被标记为“已暂停”，尽管访问这些单独个人资料时不显示该暂停消息。

回应问题时，GitHub表示有一个流程来识别用户和客户是否为特别指定国民（SDN）或其他被拒绝或封锁方，但会锁定这些账户而不是删除它们。根据其政策，GitHub确保用户和客户不受超出法律要求的影响。

“这包括保持公共仓库（包括开源项目）可用和可访问，以支持涉及制裁区域开发者的个人通信，”政策规定。“这也意味着GitHub将倡导制裁区域的开发者享受更大的平台访问权限和全球开源社区的完全访问。”

Edwards表示，GitHub有处理制裁账户的流程很好，但该流程似乎没有以透明方式沟通风险，指出锁定账户上的唯一指示是消息“此仓库已被所有者归档。它不是只读的。”

“这是一个奇怪的消息，没有沟通‘这是一个制裁实体，不要分叉此代码或在生产环境中使用它’，”Edwards说。

Mark Rasch是一名前联邦网络犯罪检察官，现为纽约市安全咨询公司Unit 221B的顾问。Rasch表示，当财政部外国资产控制办公室（OFAC）制裁个人或实体时，企业或组织与制裁方交易变得非法。

Rasch表示，金融机构有非常成熟的系统来切断与受OFAC制裁人员相关的账户，但科技公司可能远不那么主动——尤其是免费账户。

“银行有 established 方式检查[美国政府制裁列表]中的制裁实体，但科技公司不一定做得很好，特别是对于可以点击注册的服务，”Rasch说。“这对涉及的科技公司来说是潜在风险和责任，但仅限于OFAC愿意执行的程度。”

刘立智运营众多Facebook账户和群组，包括这个用于OFAC制裁中指定实体的账户：中国赣州的“Enjoy Ganzhou”旅游页面。图片：Silent Push。

2024年7月，Funnull购买了域名polyfill[.]io，这是一个长期合法的开源项目的家，允许网站确保使用旧版浏览器的设备仍能以新格式渲染内容。Polyfill域名易手后，至少384,000个网站陷入供应链攻击，将访问者重定向到恶意网站。根据财政部，Funnull使用代码将人们重定向到诈骗网站和在线赌博网站，其中一些与中国犯罪洗钱操作有关。

美国政府表示，Funnull在其购买的IP地址上为网站提供域名，使用域名生成算法（DGA）——为网站生成大量相似但唯一名称的程序——并向网络犯罪分子销售网页设计模板。

“这些服务不仅使网络犯罪分子在创建诈骗网站时更容易冒充可信品牌，还允许他们在合法提供商尝试关闭网站时快速切换到不同域名和IP地址，”财政部声明写道。

与此同时，Edwards表示，Funnull似乎在制裁后改变其业务的几乎所有方面。

“而之前他们可能使用60个DGA域名来隐藏和反弹流量，我们现在看到 far more，”他说。“他们正试图使基础设施更难跟踪和更复杂，所以目前他们不会消失，而只是改变所做事情。更多组织应该对他们施加压力。”

更新，美国东部时间下午2:48：添加了Meta的回应，确认已关闭与刘立智先生相关的账户和群组。

更新，7月7日下午6:56美国东部时间：在书面声明中，PayPal表示持续努力打击和防止其服务的非法使用。

“我们在全球投入大量资源用于金融犯罪合规，并主动向全球执法官员提交案件并协助他们识别、调查和停止非法活动，”声明写道。