Ранее в этом году разработчик был шокирован сообщением, появившимся на его личном телефоне: «Apple обнаружила целевую атаку шпионского ПО наемников на ваш iPhone».
«Я был в панике», — рассказал TechCrunch Джей Гибсон, попросивший не использовать его настоящее имя из-за опасений возмездия.
Гибсон, который до недавнего времени разрабатывал технологии слежки для западного производителя хакерских инструментов для правительства Trenchant, может быть первым задокументированным случаем, когда человек, создающий эксплойты и шпионское ПО, сам стал мишенью для шпионского ПО.
«Что, чёрт возьми, происходит? Я действительно не знал, что и думать», — сказал Гибсон, добавив, что в тот день, 5 марта, он выключил телефон и убрал его. «Я сразу же пошёл покупать новый. Позвонил отцу. Это был полный бардак. Это был полный бардак».
В Trenchant Гибсон работал над разработкой уязвимостей нулевого дня для iOS, то есть над поиском уязвимости и разработка инструментов, способных их эксплуатировать, которые неизвестны производителю уязвимого оборудования или программного обеспечения, например Apple.
«У меня смешанные чувства: я чувствую, насколько это жалко, и одновременно испытываю сильный страх, потому что, как только ситуация достигает такого уровня, никогда не знаешь, что произойдет», — рассказал он TechCrunch.
Однако бывший сотрудник Trenchant, возможно, не единственный разработчик эксплойтов, подвергшийся атаке шпионского ПО. По словам трёх источников, непосредственно знакомых с этими случаями, за последние несколько месяцев Apple уведомила и других разработчиков шпионского ПО и эксплойтов о том, что они стали жертвами атак шпионского ПО.
Apple не ответила на запрос TechCrunch о комментарии.
Связаться с нами
Есть ли у вас дополнительная информация о предполагаемой утечке хакерских инструментов Trenchant? Или об истории этого разработчика? С нерабочего устройства вы можете связаться с Лоренцо Франчески-Биккьераи по безопасному номеру Signal +1 917 257 1382, через Telegram, Keybase и Wire @lorenzofb или по электронной почте.
Атака на iPhone Гибсона показывает, что распространение уязвимостей нулевого дня и шпионского ПО начинает привлекать все большее количество жертв.
Создатели шпионского ПО и уязвимостей нулевого дня традиционно утверждали, что их инструменты используются только проверенными государственными заказчиками против преступников и террористов. Однако за последнее десятилетие исследователи из группы по защите цифровых прав Citizen Lab при Университете Торонто, Amnesty International и других организаций выявили десятки случаев, когда правительства использовали эти инструменты для преследования диссидентов, журналистов, правозащитников и политических оппонентов по всему миру.
Наиболее публичные случаи нападений хакеров на исследователей безопасности произошли в 2021 и 2023 годах, когда были пойманы хакеры из правительства Северной Кореи, которые атаковали исследователей безопасности, занимавшихся исследованием и разработкой уязвимостей.
Подозреваемый в расследовании утечки
Через два дня после получения уведомления Apple об угрозе Гибсон обратился к эксперту-криминалисту, имеющему большой опыт расследования атак шпионского ПО. После первоначального анализа телефона Гибсона эксперт не обнаружил никаких признаков заражения, но всё же рекомендовал провести более глубокий анализ телефона разработчика эксплойта.
Для проведения судебно-медицинской экспертизы пришлось бы отправить эксперту полную резервную копию устройства, что, по словам Гибсона, его не устроило.
«Последние случаи становятся всё сложнее с точки зрения криминалистики, и по некоторым из них мы вообще ничего не находим. Возможно, атака не была полностью запущена после начальных этапов, мы этого не знаем», — сообщил эксперт TechCrunch.
Без проведения полной криминалистической экспертизы телефона Гибсона, в идеале такой, в ходе которой следователи обнаружат следы шпионского ПО и установят, кто его создал, невозможно узнать, почему он стал мишенью или кто именно на него нацелился.
Однако Гибсон сообщил TechCrunch, что, по его мнению, уведомление об угрозах, полученное им от Apple, связано с обстоятельствами его ухода из Trenchant, где, по его утверждению, компания сделала его козлом отпущения за опасную утечку внутренних инструментов.
Apple рассылает уведомления об угрозах специально в тех случаях, когда у неё есть доказательства того, что человек подвергся атаке шпионского ПО, разработанного наёмниками. Подобные технологии слежки часто незаметно и удалённо внедряются в телефон пользователя без его ведома, используя уязвимости в программном обеспечении телефона. Стоимость таких эксплойтов может составлять миллионы долларов, а их разработка может занять месяцы. Правоохранительные органы и спецслужбы, как правило, имеют право внедрять шпионское ПО на жертву, а не сами создатели.
Сара Банда, представитель материнской компании Trenchant L3Harris, отказалась комментировать эту историю, когда TechCrunch связался с ней перед публикацией.
По его словам, за месяц до получения уведомления об угрозе от Apple, когда Гибсон еще работал в Trenchant, его пригласили в лондонский офис компании на мероприятие по сплочению коллектива.
Когда 3 февраля Гибсон прибыл на место, его сразу же вызвали в переговорную, чтобы поговорить по видеосвязи с Питером Уильямсом, тогдашним генеральным директором Trenchant, которого в компании называли «Дуги». (В 2018 году оборонный подрядчик L3Harris приобрел производителей устройств нулевого дня Azimuth и Linchpin Labs, два родственных стартапа, которые в результате слияния стали называться Trenchant.)
Уильямс сообщил Гибсону, что компания подозревает его в двойной занятости и поэтому отстраняет его от работы. Все рабочие устройства Гибсона будут конфискованы и проанализированы в рамках внутреннего расследования обвинений. Связаться с Уильямсом для получения комментариев не удалось.
«Я был в шоке. Я не знал, как реагировать, потому что не мог поверить своим ушам», — сказал Гибсон, объяснив, что после этого сотрудник Trenchant IT пошёл к нему в квартиру, чтобы забрать оборудование, выданное компанией.
Примерно через две недели, по словам Гибсона, Уильямс позвонил ему и сообщил, что после расследования компания увольняет его, и предложила мировое соглашение и компенсацию. По словам Гибсона, Уильямс отказался объяснить, что показала экспертиза его устройств, и, по сути, сказал ему, что у него нет иного выбора, кроме как подписать соглашение и уйти из компании.
Чувствуя, что у него нет альтернативы, Гибсон согласился на предложение и подписал контракт.
Гибсон рассказал TechCrunch, что позже услышал от бывших коллег, что Тренчант подозревал, что он раскрыл информацию о некоторых неизвестных уязвимостях в браузере Google Chrome, инструментах, разработанных Тренчантом. Однако Гибсон и трое его бывших коллег сообщили TechCrunch, что у него не было доступа к уязвимостям нулевого дня Chrome Тренчанта, поскольку он был членом команды, занимающейся исключительно разработкой уязвимостей нулевого дня для iOS и шпионского ПО. По словам источников, команды Тренчанта имеют строго ограниченный доступ только к инструментам, связанным с платформами, над которыми они работают.
«Я знаю, что был козлом отпущения. Я не был виновен. Всё очень просто, — сказал Гибсон. — Я не сделал абсолютно ничего, кроме того, что вкалывал на них как проклятый».
История с обвинениями против Гибсона и его последующим отстранением и увольнением была независимо подтверждена тремя бывшими сотрудниками Trenchant, имеющими необходимую информацию.
Двое других бывших сотрудников Trenchant заявили, что им известны подробности поездки Гибсона в Лондон и они осведомлены о подозрениях в утечке конфиденциальных корпоративных инструментов.
Все они попросили не называть их имен, но считают, что Тренчант ошибся.
Источник: techcrunch.com
