Разработчик шпионского ПО стал жертвой атаки: дело Гибсона

Недавно один разработчик был поражен сообщением, появившимся на его личном телефоне: "Apple обнаружила целенаправленную атаку с использованием коммерческого шпионского ПО на ваш iPhone".

"Я запаниковал", - рассказал TechCrunch Джей Гибсон (имя изменено по его просьбе из-за опасений мести).

Гибсон, который до недавнего времени занимался разработкой технологий наблюдения для Trenchant, производителя шпионских инструментов для правительственных структур западных стран, возможно, стал первым задокументированным случаем, когда человек, создающий эксплойты и шпионское ПО, сам стал объектом такой атаки.

"Какого черта происходит? Я действительно не знал, что и думать", - сказал Гибсон, добавив, что в тот день, 5 марта, он выключил телефон и убрал его. "Я тут же купил новый телефон. Позвонил отцу. Это был хаос. Огромный хаос".

В Trenchant Гибсон занимался разработкой "zero-day" для iOS, то есть поиском уязвимостей и созданием инструментов для их эксплуатации, которые неизвестны поставщику аппаратного или программного обеспечения, такому как Apple.

"У меня смешанные чувства: насколько это жалко и насколько я испытываю сильный страх, потому что, когда дело доходит до такого уровня, никогда не знаешь, что произойдет", - поделился он с TechCrunch.

Но бывший сотрудник Trenchant может быть не единственным разработчиком эксплойтов, ставшим целью атаки шпионского ПО. По словам трех источников, располагающих прямой информацией об этих случаях, за последние несколько месяцев были и другие разработчики шпионского ПО и эксплойтов, получившие уведомления от Apple об атаке.

Apple не ответила на запрос TechCrunch о комментарии.

Таргетирование iPhone Гибсона демонстрирует, что распространение "zero-day" и шпионского ПО начинает затрагивать все больше категорий жертв.

Создатели шпионского ПО и "zero-day" исторически утверждали, что их инструменты используются только проверенными правительственными заказчиками против преступников и террористов. Однако за последнее десятилетие исследователи из группы цифровых прав Университета Торонто Citizen Lab, Amnesty International и других организаций выявили десятки случаев, когда правительства использовали эти инструменты для преследования диссидентов, журналистов, правозащитников и политических оппонентов по всему миру.

Наиболее близкие публичные случаи преследования исследователей безопасности хакерами произошли в 2021 и 2023 годах, когда хакеры, предположительно связанные с правительством Северной Кореи, были замечены в атаках на исследователей безопасности, работающих в области исследования и разработки уязвимостей.

Подозреваемый в расследовании утечки

Через два дня после получения уведомления об угрозе от Apple, Гибсон обратился к эксперту по криминалистике, имеющему обширный опыт расследования атак с использованием шпионского ПО. После первоначального анализа телефона Гибсона эксперт не обнаружил признаков заражения, но все же рекомендовал более глубокий криминалистический анализ.

Криминалистический анализ подразумевал бы отправку эксперту полной резервной копии устройства, на что Гибсон сказал, что не готов.

"Последние случаи становятся все труднее для криминалистического анализа, и по некоторым мы ничего не находим. Возможно также, что атака фактически не была полностью осуществлена после начальных этапов, мы не знаем", - сообщил эксперт TechCrunch.

Без полного криминалистического анализа телефона Гибсона, в идеале такого, где следователи нашли бы следы шпионского ПО и его создателя, невозможно понять, почему он стал мишенью и кто за этим стоял.

Однако Гибсон сообщил TechCrunch, что считает уведомление об угрозе от Apple связанным с обстоятельствами его ухода из Trenchant, где, по его словам, компания сделала его козлом отпущения за компрометирующую утечку внутренних инструментов.

Apple рассылает уведомления об угрозах, когда имеет доказательства того, что человек стал целью атаки с использованием коммерческого шпионского ПО. Этот тип технологий наблюдения часто незаметно и удаленно устанавливается на телефон жертвы без ее ведома путем эксплуатации уязвимостей в программном обеспечении телефона – эксплойты, которые могут стоить миллионы долларов и на разработку которых уходят месяцы. Правоохранительные и разведывательные органы обычно имеют законные основания для развертывания шпионского ПО на целевых объектах, а не сами создатели шпионского ПО.

Сара Банда, представитель материнской компании Trenchant L3Harris, отказалась от комментариев по этой истории, когда с ней связался TechCrunch перед публикацией.

За месяц до получения уведомления от Apple, когда Гибсон еще работал в Trenchant, он рассказал, что был приглашен в лондонский офис компании на мероприятие по тимбилдингу.

Когда Гибсон прибыл 3 февраля, его немедленно вызвали в переговорную комнату для видеозвонка с Питером Уильямсом, тогдашним генеральным менеджером Trenchant, известным в компании как "Дуги". (В 2018 году оборонный подрядчик L3Harris приобрел разработчиков "zero-day" Azimuth и Linchpin Labs, двух родственных стартапов, которые объединились, образовав Trenchant).

Уильямс сообщил Гибсону, что компания подозревает его в двойной занятости и поэтому отстраняет его от работы. Все рабочие устройства Гибсона будут конфискованы и проанализированы в рамках внутреннего расследования по данным обвинениям. Связаться с Уильямсом для комментариев не удалось.

"Я был в шоке. Я не знал, как реагировать, потому что не мог поверить в то, что слышал", - сказал Гибсон, пояснив, что сотрудник IT-отдела Trenchant затем отправился к нему домой, чтобы забрать выданное компанией оборудование.

Примерно через две недели, по словам Гибсона, Уильямс позвонил и сообщил, что по результатам расследования компания увольняет его и предлагает ему соглашение об урегулировании и выплату. Гибсон сказал, что Уильямс отказался объяснить, что показал криминалистический анализ его устройств, и фактически заявил, что у него нет выбора, кроме как подписать соглашение и покинуть компанию.

Чувствуя, что у него нет альтернативы, Гибсон согласился на предложение и подписал документы.

Гибсон рассказал TechCrunch, что позже услышал от бывших коллег, что Trenchant подозревал его в утечке неизвестных уязвимостей в браузере Google Chrome, над которыми работала компания. Однако Гибсон и трое его бывших коллег сообщили TechCrunch, что у него не было доступа к Chrome "zero-day" Trenchant, поскольку он входил в команду, специализировавшуюся исключительно на "zero-day" для iOS и шпионском ПО. По словам этих людей, команды Trenchant имели строго изолированный доступ к инструментам, связанным с платформами, над которыми они работали.

"Я знаю, что меня сделали козлом отпущения. Я не был виноват. Все просто", - сказал Гибсон. "Я ничего не сделал, кроме как вкалывал для них".

История обвинений против Гибсона, его последующего отстранения и увольнения была независимо подтверждена тремя бывшими сотрудниками Trenchant, осведомленными об этом.

Два других бывших сотрудника Trenchant заявили, что им были известны детали поездки Гибсона в Лондон и предполагаемые утечки конфиденциальных инструментов компании.

Все они попросили не называть их имен, но считают, что Trenchant ошибался.