Šī gada sākumā kādu izstrādātāju šokēja ziņojums, kas parādījās viņa personīgajā tālrunī: “Apple atklāja mērķtiecīgu algotņu spiegprogrammatūras uzbrukumu jūsu iPhone tālrunim.”
“Es biju panikā,” sarunā ar TechCrunch sacīja Džejs Gibsons, kurš lūdza nelietot viņa īsto vārdu, baidoties no atriebības.
Gibsons, kurš vēl nesen izstrādāja novērošanas tehnoloģijas Rietumu valdības uzlaušanas rīku ražotājam Trenchant, iespējams, ir pirmais dokumentētais gadījums, kad kāds, kurš veido ļaunprātīgas darbības un spiegprogrammatūru, ir pret sevi vērsts ar spiegprogrammatūru.
“Kas, pie velna, notiek? Es tiešām nezināju, ko par to domāt,” sacīja Gibsons, piebilstot, ka tajā dienā, 5. martā, viņš izslēdza savu tālruni un nolika to malā. “Es nekavējoties devos pirkt jaunu tālruni. Es piezvanīju savam tētim. Tas bija haoss. Tas bija milzīgs haoss.”
Uzņēmumā Trenchant Gibsons strādāja pie iOS nulles dienu izstrādes, kas nozīmē atrašanu ievainojamības un tādu rīku izstrāde, kas spēj tās izmantot un kas nav zināmi pārdevējam, kurš ražo ietekmēto aparatūru vai programmatūru, piemēram, Apple.
“Man ir jauktas jūtas par to, cik tas ir nožēlojami, un pēc tam ļoti bail, jo, tiklīdz lietas sasniedz šo līmeni, jūs nekad nezināt, kas notiks,” viņš teica TechCrunch.
Taču bijušais Trenchant darbinieks, iespējams, nav vienīgais spiegprogrammatūras mērķis. Saskaņā ar trim avotiem, kuriem ir tiešas zināšanas par šiem gadījumiem, pēdējo dažu mēnešu laikā ir bijuši arī citi spiegprogrammatūras un ļaunprātīgas izmantošanas izstrādātāji, kuri ir saņēmuši paziņojumus no Apple, brīdinot, ka pret viņiem ir vērsta spiegprogrammatūra.
Apple neatbildēja uz TechCrunch komentāru pieprasījumu.
Sazinieties ar mums
Vai jums ir vairāk informācijas par iespējamo Trenchant hakeru rīku noplūdi? Vai par šī izstrādātāja stāstu? No ierīces, kas nedarbojas, varat droši sazināties ar Lorenzo Franceschi-Bicchierai, izmantojot signālu pa tālruni +1 917 257 1382 vai izmantojot Telegram, Keybase un Wire @lorenzofb vai e-pastu.
Gibsona iPhone mērķēšana liecina, ka nulles dienu un spiegprogrammatūras izplatība sāk ievilināt vairāk upuru veidu.
Spiegprogrammatūra un nulles dienas ražotāji vēsturiski ir apgalvojuši, ka viņu rīkus izvieto tikai pārbaudīti valdības klienti pret noziedzniekiem un teroristiem. Taču pēdējo desmit gadu laikā Toronto Universitātes digitālo tiesību grupas Citizen Lab, Amnesty Worldwide un citu organizāciju pētnieki ir atklājuši desmitiem gadījumu kur valdības izmantoja šos rīkus, lai mērķētu pret disidentiem, žurnālistiem, cilvēktiesību aizstāvjiem un politiskajiem konkurentiem visā pasaulē.
Tuvākie publiskie gadījumi, kad drošības pētnieki ir bijuši hakeru mērķi, notika gadā 2021. gads un 2023. gadskad Ziemeļkorejas valdības hakeri tika pieķerti, vēršoties pret drošības pētniekiem, kas strādā ievainojamības izpētē un attīstībā.
Aizdomās turamais noplūdes izmeklēšanā
Divas dienas pēc Apple paziņojuma par draudiem saņemšanas Gibsons sazinājās ar tiesu medicīnas ekspertu ar lielu pieredzi spiegprogrammatūras uzbrukumu izmeklēšanā. Pēc Gibsona tālruņa sākotnējās analīzes eksperts nekonstatēja nekādas infekcijas pazīmes, wager tomēr ieteica veikt padziļinātu izmantotā izstrādātāja tālruņa kriminālistikas analīzi.
Kriminālistikas analīze prasīja ekspertam nosūtīt pilnīgu ierīces dublējumu, ko Gibsons teica, ka viņš nav apmierināts.
“Pēdējie gadījumi tiesu ekspertīzē kļūst arvien sarežģītāki, un dažos gadījumos mēs neko neatrodam. Var arī būt, ka uzbrukums faktiski nebija pilnībā nosūtīts pēc sākotnējās stadijas, mēs nezinām,” eksperts teica TechCrunch.
Bez pilnīgas Gibsona tālruņa kriminālistikas analīzes, ideālā gadījumā tādas, kurā izmeklētāji atrada spiegprogrammatūras pēdas un to, kas to ir izveidojis, nav iespējams noskaidrot, kāpēc pret viņu tika vērsta mērķauditorija vai kas viņu mērķējis.
Taču Gibsons teica TechCrunch, ka viņš uzskata, ka paziņojums par draudiem, ko viņš saņēma no Apple, ir saistīts ar viņa aiziešanas no Trenčanta apstākļiem, kur viņš apgalvo, ka uzņēmums viņu ir norādījis par grēkāzi par kaitīgu iekšējo rīku noplūdi.
Apple izsūta paziņojumus par draudiem īpaši gadījumos, kad ir pierādījumi, ka pret kādu personu ir vērsts algotņu spiegprogrammatūras uzbrukums. Šāda veida novērošanas tehnoloģija bieži tiek nemanāmi un attālināti ievietota kāda cilvēka tālrunī, viņam nezinot, izmantojot tālruņa programmatūras ievainojamības, kuras var būt vērtas miljoniem dolāru un kuru izstrāde var aizņemt vairākus mēnešus. Tiesībaizsardzības un izlūkošanas aģentūrām parasti ir likumīgas pilnvaras izvietot spiegprogrammatūru mērķos, nevis pašiem spiegprogrammatūru veidotājiem.
Sāra Banda, Trenchant mātesuzņēmuma L3Harris pārstāve, atteicās komentēt šo stāstu, kad TechCrunch viņu pirms publicēšanas sasniedza.
Mēnesi pirms tam, kad viņš saņēma Apple paziņojumu par draudiem, kad Gibsons vēl strādāja Trenčantā, viņš teica, ka ir uzaicināts doties uz uzņēmuma Londonas biroju uz komandas saliedēšanas pasākumu.
Kad Gibsons ieradās 3. februārī, viņš nekavējoties tika izsaukts sanāksmju telpā, lai, izmantojot videozvanu, sarunātos ar Pīteru Viljamsu, Trenčanta toreizējo ģenerālmenedžeri, kurš uzņēmumā bija pazīstams kā “Dūgija”. (2018. gadā aizsardzības darbuzņēmējs L3Harris iegūta nulles dienas ražotāji Azimuth un Linchpin Labs, divi māsu jaunuzņēmumi kas apvienojās un kļuva par Trenčantu.)
Viljamss sacīja Gibsonam, ka uzņēmumam ir aizdomas, ka viņš ir divreiz nodarbināts, un tādējādi viņu atstādināja. Visas Gibsona darba ierīces tiks konfiscētas un analizētas apsūdzību iekšējās izmeklēšanas ietvaros. Viljamsu nevarēja sazināties, lai sniegtu komentārus.
“Es biju šokā. Es īsti nezināju, kā reaģēt, jo īsti nevarēju noticēt tam, ko dzirdu,” sacīja Gibsons, kurš paskaidroja, ka Trenchant IT darbinieks pēc tam devās uz savu dzīvokli, lai paņemtu uzņēmuma izdoto aprīkojumu.
Aptuveni divas nedēļas vēlāk Gibsons sacīja, ka Viljamss piezvanīja un pastāstīja, ka pēc izmeklēšanas uzņēmums viņu atlaiž un piedāvāja viņam izlīguma līgumu un samaksu. Gibsons sacīja, ka Viljamss atteicās paskaidrot, kas tika atklāts viņa ierīču tiesu ekspertīzē, un būtībā viņam teica, ka viņam nav citas izvēles, kā vien parakstīt līgumu un aiziet no uzņēmuma.
Juzdams, ka viņam nav alternatīvas, Gibsons sacīja, ka piekrīt piedāvājumam un parakstīja līgumu.
Gibsons pastāstīja TechCrunch, ka vēlāk dzirdējis no bijušajiem kolēģiem, ka Trenčantam ir aizdomas, ka viņš ir nopludinājis dažas nezināmas ievainojamības Google pārlūkprogrammā Chrome — Trenchant izstrādātajos rīkos. Tomēr Gibsons un trīs viņa bijušie kolēģi teica TechCrunch, ka viņam nav piekļuves Trenchant Chrome nulles dienām, jo viņš bija daļa no komandas, kas izstrādā tikai iOS nulles dienas un spiegprogrammatūru. Cilvēki sacīja, ka Trenchant komandām ir tikai stingri sadalīta piekļuve rīkiem, kas saistīti ar platformām, kurās tās strādā.
“Es zinu, ka biju grēkāzis. Es nebiju vainīgs. Tas ir ļoti vienkārši,” sacīja Gibsons. “Es nedarīju neko citu, kā tikai strādāju viņu labā.”
Stāstu par apsūdzībām pret Gibsonu un viņa sekojošo atstādināšanu un atlaišanu neatkarīgi apstiprināja trīs bijušie Trenčanta darbinieki ar zināšanām.
Divi citi bijušie Trenchant darbinieki sacīja, ka zina sīkāku informāciju par Gibsona ceļojumu uz Londonu un ir informēti par aizdomām par jutīgu uzņēmuma rīku noplūdi.
Viņi visi lūdza neminēt viņu vārdus, taču uzskata, ka Trenčants kļūdījās.
