Korábban ebben az évben egy fejlesztő személyes telefonján megdöbbentő üzenet jelent meg: „Az Apple célzott zsoldos kémprogram-támadást észlelt az iPhone készülékén.”
A sokkoló értesítés és a pánik pillanatai
Jay Gibson, aki biztonsági okokból kérte, hogy valódi nevét ne használjuk, így mesélt a TechCrunch-nak az esetről: „Pánikba estem. Nem tudtam, mit gondoljak erről.” Gibson, aki korábban a Trenchant nevű nyugati kormányzati hekkereknek szánt megfigyelő technológiákat fejlesztő cég alkalmazottja volt, lehet az első dokumentált eset, amikor egy exploitokat és kémprogramokat készítő szakembert magát céloztak meg ilyen támadással.
„Mi a fenét csinálnak? Egyszerűen nem tudtam mit gondolni,” mondta Gibson, aki március 5-én az értesítés után azonnal kikapcsolta a telefonját és félretette. „Azonnal vettem egy új telefont. Felhívtam apámat. Teljes káosz volt. Óriási káosz.”
Ki volt Jay Gibson és milyen munkát végzett?
Gibson a Trenchantnél iOS zero-day sebezhetőségek feltárásán dolgozott. Ez azt jelenti, hogy olyan hibákat keresett és fejlesztett ki hozzájuk eszközöket, amelyeket az érintett gyártó – jelen esetben az Apple – még nem ismert fel vagy nem javított.
Zero-day sebezhetőség: olyan biztonsági rés, amelyről a gyártó még nem tud, így nincs rá javítás.
„Vegyes érzéseim vannak: egyszerre érzem szánalmasnak az egészet, de közben rettenetes félelem is van bennem, mert ha idáig fajulnak a dolgok, sosem lehet tudni, mi történik még,” mondta Gibson.
További hasonló esetek – nem egyedi jelenség?
A TechCrunch három megbízható forrása szerint nem csak Gibson volt ilyen helyzetben: az elmúlt hónapokban több más kémprogram- és exploitfejlesztő is kapott Apple-értesítést arról, hogy célzott kémprogram-támadás áldozatai lettek.
Az Apple nem válaszolt a TechCrunch megkeresésére.
A kémprogramok terjedése és áldozatai
A Gibson esetében érkezett figyelmeztetés jól mutatja, hogy a zero-day sebezhetőségek és kémprogramok terjedése egyre többféle áldozatot érint.
Hagyományosan ezeknek az eszközöknek a készítői azt állították, hogy csak ellenőrzött kormányzati ügyfelek használják őket bűnözők és terroristák ellen. Az elmúlt tíz évben azonban olyan szervezetek, mint a torontói Citizen Lab vagy az Amnesty International számos esetet dokumentáltak arról, hogy ezekkel a technológiákkal disszidenseket, újságírókat, emberi jogi aktivistákat és politikai ellenfeleket céloztak meg világszerte.
Közelmúltbeli hasonló támadások kutatók ellen
A biztonsági kutatókat célzó támadások legközelebbi nyilvános esetei 2021-ben és 2023-ban történtek, amikor Észak-koreai állami hekkerek próbálták megfertőzni sebezhetőségkutatókat.
A gyanúsított és a vizsgálat
Két nappal az Apple figyelmeztetés után Gibson felkeresett egy olyan szakértőt, aki jártas kémprogram-támadások vizsgálatában. Az első elemzés során nem találtak fertőzésre utaló jeleket, de javasolták egy mélyebb forenzikus vizsgálat elvégzését.
Ez utóbbihoz azonban teljes telefonmentést kellett volna átadnia a szakértőnek – amit Gibson kényelmetlennek érzett.
„Az utóbbi esetek egyre nehezebbek forenzikailag; előfordulhat, hogy semmit sem találunk. Az is lehet, hogy maga a támadás sosem jutott el teljesen végrehajtásig,” mondta a szakértő.
Kinek állhatott érdekében Gibson megfigyelése?
Mivel nincs teljes forenzikus elemzés eredménye, nem lehet biztosan tudni sem azt, hogy miért célozták meg Gibson telefontámadással, sem azt, ki állhat mögötte.
Gibson szerint azonban az Apple figyelmeztetése összefüggésben állhat Trenchantnél történt távozásával. Állítása szerint ugyanis őt tették felelőssé egy belső eszközök kiszivárogtatásáért – ami miatt bűnbaknak nevezték ki.
Milyen technológiáról van szó?
Az Apple kizárólag akkor küld ilyen fenyegetésértesítést, ha bizonyítékuk van arra, hogy valakit zsoldos kémprogrammal céloztak meg. Ezeket a technológiákat gyakran láthatatlanul telepítik valaki telefonjára távolról úgy, hogy kihasználnak egy vagy több sebezhetőséget – ezek akár millió dollárt is érhetnek és hónapokig tart elkészíteni őket.
Fontos: általában csak rendvédelmi vagy hírszerző szervek rendelkeznek jogi felhatalmazással ilyen kémprogramok telepítésére – nem pedig maguk a készítők.
A Trenchant anyavállalatának reakciója
Sara Banda, a Trenchant anyavállalata, az L3Harris szóvivője elutasította a kommentárt a történettel kapcsolatban.
A belső konfliktus kezdete: Gibson londoni kirendeltségi látogatása
Egy hónappal az Apple figyelmeztetés előtt Gibson még Trenchant alkalmazottja volt. Február 3-án Londonba hívták csapatépítő eseményre. Amint megérkezett, rögtön behívták egy videóbeszélgetésre Peter Williams-szel – aki akkoriban Trenchant ügyvezető igazgatója volt és „Doogie” becenevet viselte.
Williams közölte vele: gyanújuk szerint Gibson párhuzamosan más munkahelyen is dolgozik (double employment), ezért felfüggesztik őt. Minden munkával kapcsolatos eszközét elkobozzák vizsgálat céljából.
„Sokkot kaptam. Nem tudtam mit gondoljak vagy hogyan reagáljak,” mesélte Gibson. Egy Trenchant IT-s kolléga el is ment hozzá felszerelést begyűjteni.
A vizsgálat vége és elbocsátás
Körülbelül két héttel később Williams felhívta Gibson-t és közölte vele: az vizsgálat lezárult, őt elbocsátják. Egy egyezségi ajánlatot is tett neki pénzügyi kompenzációval együtt. A vizsgálat eredményéről azonban nem adott részleteket; lényegében közölte vele: nincs választása, alá kell írnia és távoznia kell.
Gibson úgy érezte nincs más lehetősége és elfogadta az ajánlatot.
A kiszivárgás gyanúja és védelme saját magától
Később Gibson arról hallott korábbi kollégáitól, hogy Trenchant azt gyanította: ő szivárogtatta ki névtelenül Google Chrome böngésző sebezhetőségeit tartalmazó eszközöket – amelyeket maga a cég fejlesztett. Ő maga azonban tagadta ezt: kizárólag iOS platformra dolgozott zero-day-ekkel és kémprogramokkal; Chrome-hoz nem volt hozzáférése.
- A Trenchant csapatok szigorúan elkülönített hozzáféréssel rendelkeznek platformonként.
- Gibson szerint ő ártatlan bűnbak volt: „Nem tettem semmit másképp csak keményen dolgoztam.”
- A történetet három korábbi Trenchant alkalmazott is megerősítette anonim módon.
- Ketten közülük részleteket is tudtak Londonban történt eseményekről és feltételezett kiszivárgásokról.
- Mindenki úgy véli: Trenchant tévedett ebben az ügyben.
Záró gondolatok
Eset rávilágít arra is, hogy még azok sem mentesek a célzott kibertámadásoktól vagy vádaktól, akik maguk fejlesztik ezeket az eszközöket. A digitális biztonság világában egyre inkább összetetté válik a helyzet: míg korábban csak bűnözők vagy politikai ellenfelek voltak célpontok, most már maga az iparág is veszélybe kerülhet belső konfliktusokkal és kifinomult támadásokkal.