Охотники за головами: разработчика шпионского ПО атаковали его же методами
Ранее в этом году специалист по поиску уязвимостей получил уведомление, которого опасается любой профессионал в сфере безопасности: «Apple обнаружила целенаправленную атаку шпионского ПО на ваш iPhone». Как сообщает TechCrunch, Джей Гибсон (имя изменено по просьбе героя) до недавнего времени искал уязвимости нулевого дня для компании Trenchant, разрабатывающей хакерские инструменты для западных правительств. Теперь он, вероятно, стал первым задокументированным случаем, когда специалист по эксплойтам сам оказался мишенью созданного им класса оружия.
Пятого марта Гибсон в панике выключил телефон и немедленно отправился покупать новый. В Trenchant он занимался поиском уязвимостей нулевого дня в iOS — дыр в безопасности, неизвестных даже производителю, которые стоят миллионы долларов на чёрном рынке. Три источника, знакомые с ситуацией, утверждают: Гибсон может быть не единственной жертвой. Ещё несколько специалистов в последние месяцы получили аналогичные предупреждения от Apple. Корпорация из Купертино проигнорировала запрос издания о комментарии.
Случившееся обнажает главное противоречие индустрии. Производители шпионского ПО годами утверждали, будто их продукты используются только проверенными правительственными клиентами против преступников и террористов. Однако исследователи из Citizen Lab при Университете Торонто, Amnesty International и других организаций за последнее десятилетие обнаружили десятки эпизодов, когда правительства применяли эти технологии против диссидентов, журналистов, правозащитников и политических оппонентов. Похожие инциденты происходили в 2021 и 2023 годах: северокорейские хакеры пытались атаковать исследователей безопасности, специализирующихся на поиске уязвимостей.
Сам Гибсон связывает атаку с обстоятельствами увольнения из Trenchant. За месяц до получения уведомления от Apple его вызвали в лондонский офис якобы на тимбилдинг, но вместо этого через видеозвонок сообщили о подозрении в двойной занятости и отстранили от работы. Через две недели его уволили, предложив отступные и соглашение о неразглашении.
Руководство компании, как позже узнал Гибсон от коллег, подозревало его в утечке уязвимостей браузера Chrome. Однако он и трое бывших сотрудников подтверждают: у него не было доступа к разработкам для Chrome, поскольку он работал исключительно с iOS. Компания назначила его козлом отпущения за утечку внутренних инструментов, считает Гибсон. Представитель материнской компании Trenchant — оборонного подрядчика L3Harris — отказался комментировать ситуацию.
Форензик-эксперт, проводивший первичный анализ телефона Гибсона, не нашёл следов заражения. Без полного исследования устройства установить, кто и зачем атаковал специалиста, невозможно. Но сам факт такой атаки показывает: индустрия цифрового шпионажа достигла точки, когда её создатели становятся мишенями собственных технологий.
