No início deste ano, um desenvolvedor ficou chocado ao ver uma mensagem em seu telefone pessoal que dizia: “A Apple detectou um ataque de spyware direcionado ao seu iPhone”.
“Eu estava em pânico”, disse Jay Gibson, que pediu que seu nome verdadeiro não fosse divulgado por medo de retaliação, ao TechCrunch.
Gibson, que até recentemente estava desenvolvendo tecnologia de vigilância para a Trenchint, fabricante de ferramentas de hacking do governo ocidental, pode ser o primeiro caso documentado de alguém que cria explorações e spyware e se torna alvo de spyware.
“O que diabos está acontecendo? Eu realmente não sabia o que pensar”, disse Gibson, acrescentando que desligou o celular e o guardou naquele dia, 5 de março. “Fui imediatamente comprar um celular novo. Liguei para meu pai. Estava uma bagunça. Foi uma bagunça enorme.”
Na Trenchant, Gibson trabalhou no desenvolvimento iOS. dia zerosignifica encontrar O desenvolvimento de vulnerabilidades e ferramentas que podem explorá-las e que são desconhecidas pela Apple e outros fornecedores de hardware e software afetados.
“Tenho sentimentos confusos sobre o quão patético isso é e estou extremamente assustado, porque quando as coisas chegam a esse nível, você nunca sabe o que vai acontecer”, disse ele ao TechCrunch.
Mas os ex-funcionários da Trenchant podem não ser os únicos desenvolvedores de exploits alvo de spyware. Nos últimos meses, outros desenvolvedores de spyware e exploits também receberam avisos da Apple avisando-os de que foram alvo de spyware, de acordo com três fontes com conhecimento direto dos incidentes.
A Apple não respondeu ao pedido de comentário do TechCrunch.
investigação
Você tem mais informações sobre o suposto vazamento das ferramentas de hacking do Torrentin? Ou esta é a história do desenvolvedor? Você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança a partir de qualquer dispositivo que não seja de trabalho via Signal (+1 917 257 1382) ou Telegram, Keybase e Wire @lorenzofb. por e-mail.
A segmentação do iPhone de Gibson mostra que a prevalência do zero-day e do spyware está atraindo mais tipos de vítimas.
Os fabricantes de spyware e de dia zero sustentam há muito tempo que suas ferramentas só são implantadas por clientes governamentais avaliados contra criminosos e terroristas. Mas ao longo da última década, investigadores do Grupo de Direitos Digitais da Universidade de Toronto laboratório cidadão, anistia internacionale outras organizaçõesencontrado dezenas de casos Onde os governos usam essas ferramentas para atingir dissidente, jornalista, defensor dos direitos humanose inimigo político em todo o mundo.
O incidente público mais próximo em que um pesquisador de segurança foi alvo de hackers foi 2021 e 2023quando hackers do governo norte-coreano foram presos após atacarem pesquisadores de segurança que trabalhavam em pesquisa e desenvolvimento de vulnerabilidades.
Suspeito em investigação de vazamento
Dois dias depois de receber a notificação de ameaça da Apple, Gibson contatou um especialista forense com vasta experiência na investigação de ataques de spyware. Depois de realizar uma análise inicial do telefone de Gibson, os especialistas não encontraram sinais de infecção, mas ainda assim recomendaram uma análise forense mais aprofundada do telefone do desenvolvedor do exploit.
A análise forense exigiria o envio de um backup completo do dispositivo aos especialistas, o que Gibson disse não estar satisfeito.
“Os casos recentes tornaram-se mais rigorosos do ponto de vista forense e alguns não encontram nada. Também é possível que o ataque não tenha sido transmitido completamente após os estágios iniciais, mas não sabemos”, disse o especialista ao TechCrunch.
Sem uma análise forense completa do celular do Sr. Gibson, de preferência aquele em que os investigadores descobriram vestígios de spyware e o autor do spyware, será impossível saber por que ele foi o alvo ou quem o atacou.
No entanto, Gibson disse ao TechCrunch que acredita que a notificação de ameaça que recebeu da Apple está relacionada à forma como ele deixou a Trenchint, alegando que a empresa o nomeou bode expiatório por um vazamento prejudicial de ferramentas internas.
maçã Enviar fora ameaça notificação Isto aplica-se em particular quando há provas de que uma pessoa foi visada. ataque de spyware mercenário. Este tipo de tecnologia de vigilância é implantada de forma invisível num telemóvel remotamente, sem o conhecimento de alguém, muitas vezes através da exploração de vulnerabilidades no software do telefone. vale milhões de dólares O desenvolvimento pode levar vários meses. Normalmente, as agências de aplicação da lei e de inteligência têm autoridade legal para implantar spyware nos alvos, e não nos próprios criadores do spyware.
Sara Banda, porta-voz da L3Harris, controladora de Trenchant, se recusou a comentar este artigo quando contatada pelo TechCrunch antes da publicação.
Um mês antes de receber a notificação de ameaça da Apple, enquanto ainda trabalhava na Trenchent, Gibson foi convidado a ir ao escritório da empresa em Londres para um evento de formação de equipes, disse ele.
Quando Gibson chegou, em 3 de fevereiro, foi imediatamente convocado a uma sala de conferências para falar por videochamada com Peter Williams, gerente geral da Treninto na época e conhecido na empresa como “Doggie”. (2018, empreiteiro de defesa L3Harris obtido os fabricantes de dia zero Azimuth e Linchpin Labs; duas startups irmãs Eles se fundiram para se tornar Trenchant. )
Williams disse ao Sr. Gibson que a empresa estava suspendendo o Sr. Gibson devido a suspeitas de duplo emprego. Todos os dispositivos de trabalho do Sr. Gibson serão apreendidos e analisados como parte de uma investigação interna sobre as alegações. Williams não foi encontrado para comentar.
“Fiquei em choque. Não sabia como reagir porque simplesmente não conseguia acreditar no que estava ouvindo”, disse Gibson. Posteriormente, o funcionário de TI de Trencinto explicou que foi ao apartamento buscar equipamentos fornecidos pela empresa.
Cerca de duas semanas depois, Gibson disse que Williams ligou para ele e disse que, após uma investigação, a empresa o demitiu e lhe ofereceu um acordo e pagamento. Gibson disse que Williams se recusou a explicar o que uma análise forense de seus dispositivos revelou, dizendo-lhe efetivamente que não tinha escolha a não ser assinar o contrato e deixar a empresa.
Gibson disse que aceitou a oferta e assinou porque sentiu que não tinha outras opções.
Gibson disse ao TechCrunch que mais tarde soube por um ex-colega que Trentint era suspeito de vazar uma vulnerabilidade desconhecida no navegador Chrome do Google, uma ferramenta que ele desenvolveu. No entanto, Gibson e três de seus ex-colegas disseram ao TechCrunch que ele não teve acesso ao dia zero do Chrome de Trenchent porque fazia parte de uma equipe que desenvolveu apenas dias zero e spyware para iOS. A equipe da Trentint segmentou estritamente o acesso apenas às ferramentas relacionadas à plataforma que está desenvolvendo, disseram as pessoas.
“Eu sei que fui o bode expiatório. Eu era inocente. É simples assim”, disse Gibson. “Eu não fiz nada além de trabalhar duro por eles.”
A história das acusações contra Gibson e sua subsequente suspensão e demissão foi corroborada de forma independente por três ex-funcionários experientes da Trenchant.
Dois outros ex-funcionários da Trenchant disseram conhecer detalhes da viagem de Gibson a Londres e estavam cientes do suposto vazamento de ferramentas confidenciais da empresa.
Todos pediram para permanecer anônimos, mas acreditam que o Sr. Trentinto tomou a decisão errada.
