大型科技公司对美国财政部制裁的反应不一

2025年5月，美国政府因运营一家云服务提供商而对一名中国公民实施制裁，该服务提供商与大多数向联邦调查局（FBI）举报的虚拟货币投资诈骗网站有关。但一份新报告发现，该被告仍在运营大量美国科技公司的现有账户，包括Facebook 、 Github 、 PayPal和Twitter/X 。

5 月 29 日，美国财政部宣布对菲律宾公司 Funnull Technology Inc. 实施经济制裁，该公司被控为数十万个参与被称为“杀猪”的虚拟货币投资骗局的网站提供基础设施。2025 年 1 月，KrebsOnSecurity 详细介绍了 Funnull 是如何被设计成一个内容交付网络，以满足那些试图通过美国云提供商路由流量的外国网络犯罪分子的需求。

美国财政部还对Funnull的涉嫌运营者——一位名叫刘“史蒂夫”·立志（音译）的40岁中国公民——进行了制裁。美国政府表示，Funnull直接促成了金融诈骗，导致美国人损失超过2亿美元，而且该公司的业务与大多数向联邦调查局（FBI）举报的生猪屠宰诈骗案有关。

美国公司或个人与受美国财政部制裁的人进行交易通常属于非法行为。然而，正如李志先生的案例所表明的那样，仅仅因为某人受到制裁并不一定意味着大型科技公司会暂停其在线账户。

政府称，立志出生于 1984 年 11 月 13 日，曾用过“ XXL4 ”和“好立志”这两个昵称。然而，史蒂夫·刘 17 年前在领英上开设的账户（名字是“刘立志”）一直拥有数百名粉丝（立志的领英个人资料有助于确认他的生日），直到最近：该账户于今天早上被删除，而就在几个小时前，KrebsOnSecurity 向领英寻求评论。

LinkedIn 发言人在一封电子邮件回复中表示，该公司的“ 禁止国家政策”规定 LinkedIn“不会向受美国政府制裁的个人和公司出售、授权、支持或以其他方式提供其高级帐户或其他付费产品和服务”。LinkedIn 拒绝透露涉事个人资料是高级帐户还是免费帐户。

立志先生还以刘立志的名义和“ @nicelizhi ”的用户名运营着一个PayPal账户，该用户名也是美国财政部制裁名单上列出的昵称。PayPal尚未回应置评请求。一个名为“Lizhi”的Twitter/X账户已有15年历史，链接到立志先生的个人域名，目前仍然活跃，尽管关注者不多，并且多年来没有发布任何内容。

这些账户和许多其他账户都被安全公司Silent Push标记，该公司在过去一年中一直在跟踪 Funnull 的运营，并指责亚马逊和微软等美国云提供商未能更快地切断与该公司的联系。

在今天发布的一份报告中，Silent Push 发现李志仍在运营多个 Facebook 账户和群组，其中包括一个名为“刘立志”的私人 Facebook 账户。另一个明显与李志相关的活跃 Facebook 账户是一个名为“ EnjoyGanzhou ”的中国赣州旅游页面，该页面已被美国财政部列入制裁名单。

Silent Push 高级威胁研究员扎克·爱德华兹 (Zach Edwards)表示：“这家伙是托管大多数针对美国民众的诈骗活动的基础设施的技术管理员，他托管的网站已经造成了数亿美元的损失。绝大多数大型科技公司竟然没有采取任何措施切断与此人的联系，这真是太不可思议了。”

美国联邦调查局表示，去年共收到近15万起涉及数字资产的投诉，损失金额达93亿美元，较上年增长66%。投资诈骗是加密货币相关犯罪中最大的犯罪类型，损失金额达58亿美元。

Meta 发言人在一份声明中表示，公司不断采取措施履行其法律义务，但制裁法律复杂多样。

声明中写道：“制裁通常具有针对性，并不总是禁止人们在我们的平台上活动。具体活动是否受到制裁或 Meta 条款和政策的限制，取决于具体情况。”

记者尝试通过立志先生的Hotmail和Gmail邮箱联系他，但邮件被退回，无法送达。同样，他运营了14年的YouTube频道最近似乎也被关闭了。

然而，任何有兴趣查看或使用李志先生的 146 个计算机代码存储库的人都可以毫不费力地找到他的活跃 GitHub 帐户，其中包括以财政部制裁中提到的 NiceLizhi 和 XXL4 昵称注册的帐户。

荔枝先生还运营着一个名为NexaMerchant的开源电商平台的 GitHub 页面，该平台自称是一个与众多美国金融机构合作的支付网关。有趣的是，该页面的“关注者”页面显示了几个看似荔枝先生的账户。该账户的所有关注者都被标记为“已暂停”，但访问这些个人页面时并不会显示该暂停信息。

GitHub 在回应相关问题时表示，它已制定流程来识别用户和客户是否属于特别指定国民或其他被拒绝或屏蔽的人员，但会锁定这些账户，而不是删除它们。根据其政策，GitHub 会确保用户和客户不会受到超出法律要求的影响。

该政策指出：“这包括保持公共存储库（包括开源项目的存储库）的开放和可访问性，以支持受制裁地区开发者之间的个人交流。这也意味着 GitHub 将倡导受制裁地区的开发者享有更多平台访问权限，并充分访问全球开源社区。”

Edwards 表示，GitHub 有处理受制裁账户的流程，这很好，但该流程似乎并没有以透明的方式传达风险，并指出锁定账户上的唯一指示是“此存储库已被所有者存档。它不是只读的。”

爱德华兹说：“这是一个奇怪的信息，它没有传达出‘这是一个受制裁的实体，不要分叉此代码或在生产环境中使用它’的信息。”

马克·拉施曾任联邦网络犯罪检察官，现担任纽约市安全咨询公司Unit 221B 的法律顾问。拉施表示，当美国财政部外国资产控制办公室 (OFAC) 对某个个人或实体实施制裁时，任何企业或组织与受制裁方进行交易都将被视为非法。

拉施表示，金融机构拥有非常成熟的系统来切断与受到 OFAC 制裁的人相关的账户，但科技公司可能不那么积极主动——尤其是对于免费账户。

“银行已经建立了查询[美国政府制裁名单]中受制裁实体的方法，但科技公司在这方面做得并不好，尤其是对于那些只需点击一下即可注册的服务，”拉施说道。“这对涉事科技公司来说可能是一种风险和责任，但仅限于OFAC愿意执行的范围内。”

2024年7月，Funnull收购了polyfill[.]io域名。该域名长期以来是一个合法开源项目的所在地，旨在帮助网站确保使用旧版浏览器的设备仍能以较新的格式呈现内容。Polyfill域名易手后，至少有38.4万个网站遭遇了供应链攻击，导致访问者被重定向至恶意网站。美国财政部称，Funnull使用该代码将用户重定向至诈骗网站和在线赌博网站，其中一些网站与中国犯罪分子洗钱活动有关。

美国政府表示，Funnull 使用域名生成算法 (DGA)（为网站生成大量相似但独特的名称的程序）在其购买的 IP 地址上为网站提供域名，并且向网络犯罪分子出售网页设计模板。

财政部在一份声明中表示：“这些服务不仅使网络犯罪分子更容易冒充值得信赖的品牌来创建诈骗网站，而且还允许他们在合法提供商试图关闭网站时快速更改为不同的域名和 IP 地址。”

与此同时，爱德华兹表示，制裁实施后，Funnull 似乎正在改变其业务的几乎所有方面。

“以前他们可能用60个DGA域名来隐藏和反弹流量，但现在我们看到的要多得多，”他说。“他们正试图让自己的基础设施更难追踪，也更复杂，所以目前他们不会就此罢休，只是在改变做法。而且，应该有更多的组织对他们施加压力。”

原文： https://krebsonsecurity.com/2025/07/big-techs-mixed-response-to-u-s-treasury-sanctions/