根據(jù)法庭文件顯示,這3人在一家總部位于阿聯(lián)酋的公司(在法庭文件中被識(shí)別為“UAE-CO”,并被認(rèn)為是DarkMatter公司)擔(dān)任高級管理人員。該公司主要負(fù)責(zé)為阿聯(lián)酋政府的國家電子安全局(NESA,相當(dāng)于美國的NSA)提供計(jì)算機(jī)網(wǎng)絡(luò)開發(fā)支持。
特別值得注意的一點(diǎn)是,這些受雇的黑客還被指控為DarkMatter創(chuàng)建復(fù)雜的“零點(diǎn)擊”(zero-click)漏洞,這些漏洞隨后被武器化以非法收集美國公司在線賬戶的訪問憑據(jù),并未經(jīng)授權(quán)地訪問世界各地的手機(jī)。
“Raven”項(xiàng)目
2019年1月,路透社發(fā)表了一篇關(guān)于DarkMatter招募外國網(wǎng)絡(luò)專家以開發(fā)防御性和進(jìn)攻性網(wǎng)絡(luò)武器的深度曝光。這些專家開展了“Raven”項(xiàng)目,該項(xiàng)目除了支持阿聯(lián)酋針對恐怖分子和國家敵人的行動(dòng)外,還針對持不同意見的人。與上述相關(guān)的路透社報(bào)道清楚地表明,創(chuàng)建Raven是為了支持阿聯(lián)酋國家電子安全局(NESA)的目標(biāo)。
此次法庭文件證實(shí)了當(dāng)時(shí)路透社曝光的大部分內(nèi)容,特別是多個(gè)美國實(shí)體(除Apple外,其他身份不明)和個(gè)人(包括記者)均淪為NESA的攻擊目標(biāo)。
雖然沒有提及以色列網(wǎng)絡(luò)安全公司NSO Group,但法庭文件清楚闡述了原始“零點(diǎn)擊”是如何從外國實(shí)體購買,然后由DarkMatter團(tuán)隊(duì)修改的。
事實(shí)上,上個(gè)月,公民實(shí)驗(yàn)室的研究人員就發(fā)現(xiàn)黑客在使用所謂的“零點(diǎn)擊”攻擊,它無需任何用戶互動(dòng)就能感染受害者的設(shè)備。據(jù)悉,零點(diǎn)擊利用了蘋果iMessage中一個(gè)前所未知的安全漏洞,該漏洞被利用來將NSO Group開發(fā)的PegASUS間諜軟件推送到活動(dòng)人士的手機(jī)中。
已知阿聯(lián)酋是NSO Group的客戶,這就使得針對Apple OS設(shè)備的阿聯(lián)酋網(wǎng)絡(luò)情報(bào)行動(dòng)極有可能使用NSO漏洞或其早期版本。本周,Apple在9月13日的緊急補(bǔ)丁中緩解了NSO漏洞。
教訓(xùn)和經(jīng)驗(yàn)
法庭文件以及曝光的所有企業(yè)CISO在阿聯(lián)酋的運(yùn)作方式——特別是網(wǎng)絡(luò)安全行業(yè)的人員或與負(fù)責(zé)保護(hù)受控技術(shù)的實(shí)體相關(guān)的人員——還是存在很多值得我們學(xué)習(xí)的地方。
三人供認(rèn)的第一項(xiàng)指控涉及共享屬于ITAR/AECA協(xié)議的信息。該信息以未經(jīng)授權(quán)的方式與外國人(他們在阿聯(lián)酋的同事)共享。
這三人,可能還有其他人,最初在與外國人(此處指阿聯(lián)酋人)和實(shí)體分享由其雇主Cyberpoint International(一家位于馬里蘭州巴爾的摩的網(wǎng)絡(luò)安全公司)開發(fā)和使用的受控技術(shù)時(shí),是受到美國國務(wù)院頒發(fā)的技術(shù)援助協(xié)議(TAA)保護(hù)的。值得注意的是,CyberPoint顯然遵守規(guī)則,并獲得了美國政府的授權(quán),可以與阿聯(lián)酋政府——特別是NESA——分享他們的專業(yè)知識(shí)。先前確定的Raven項(xiàng)目完全屬于TAA的權(quán)力范圍。
喪失TAA保護(hù)罩
一旦這三個(gè)人離開 Cyberpoint 并在NESA網(wǎng)絡(luò)情報(bào)行動(dòng)中為DarkMatter工作,他們便不再享有美國政府的保護(hù)和授權(quán)。事實(shí)上,有些人可能會(huì)爭辯說,這些人在離開時(shí)有效地將技術(shù)知識(shí)和關(guān)系善意地從Cyberpoint轉(zhuǎn)移到了DarkMatter。
這就引出了一個(gè)問題,是否存在一個(gè)退出流程來確保Cyberpoint的知識(shí)產(chǎn)權(quán)受到保護(hù),而且個(gè)人是否清楚在沒有TAA保護(hù)的情況下應(yīng)該干什么,不應(yīng)該干什么?
最初,Raven項(xiàng)目由Cyberpoint公司運(yùn)營,Marc Baier正是Raven的項(xiàng)目經(jīng)理,Ryan Adam和Daniel Gericke都是該項(xiàng)目的運(yùn)營商。2015年,阿聯(lián)酋政府將Raven項(xiàng)目轉(zhuǎn)交給DarkMatter,而那些加入DarkMatter的美國人只能背叛道德底線,從此代表阿聯(lián)酋政府做他們要求的事情。
跨越法律和道德界限
在這些人融入DarkMatter之后,他們的行為跨越了進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)開發(fā)操作和協(xié)助阿聯(lián)酋攻擊已識(shí)別實(shí)體的法律界限。法庭文件毫不含糊,指控三人使用了“非法、欺詐和犯罪手段,包括使用先進(jìn)的秘密黑客系統(tǒng),利用從美國和其他地方獲得的計(jì)算機(jī)漏洞,未經(jīng)授權(quán)地訪問美國和其他地方受保護(hù)的計(jì)算機(jī),并從世界各地的受害者處非法獲取信息、材料、文件、記錄、數(shù)據(jù)和個(gè)人身份信息,包括密碼、訪問設(shè)備、登錄憑據(jù)和身份驗(yàn)證令牌等。”
三人的罪行包括對目標(biāo)進(jìn)行監(jiān)視,以及成功嘗試讓社交工程人員提取所需信息以允許對目標(biāo)實(shí)體進(jìn)行未經(jīng)授權(quán)地訪問。這些人的所作所為不但觸及了法律底線,還違反了道德底線——他們代表外國勢力利用在本國服務(wù)中獲取的知識(shí)對抗本國的目標(biāo)。
哥倫比亞特區(qū)代理美國檢察官Channing D. Phillips表示,“如果不受監(jiān)管,攻擊性網(wǎng)絡(luò)能力的擴(kuò)散會(huì)破壞全球的隱私和安全。根據(jù)我們的《國際武器貿(mào)易條例》規(guī)定,美國將確保美國人僅根據(jù)適當(dāng)?shù)脑S可和監(jiān)督提供支持此類能力的防御服務(wù)。作為前美國政府雇員的美國人身份當(dāng)然不是他們進(jìn)行攻擊性網(wǎng)絡(luò)活動(dòng)的免費(fèi)通行證。”
據(jù)悉,他們?yōu)榘⒙?lián)酋政府工作的報(bào)酬頗豐——Baier 750000美元;Adams 600000美元;Gericke 350000美元——不過,作為他們法庭協(xié)議的一部分,所有這些都將被沒收。他們的延期認(rèn)罪協(xié)議為期三年,還附有各種限制和禁令,但重點(diǎn)是,當(dāng)協(xié)議到期時(shí),如果三人配合調(diào)查并完成了協(xié)議中的所有要求,他們將不被起訴。
CISO可以將此案例研究納入所有內(nèi)部威脅/內(nèi)部風(fēng)險(xiǎn)管理簡報(bào),尤其是來自FBI網(wǎng)絡(luò)部助理主任Bryan Vorndran的告誡,“FBI將全面調(diào)查從非法網(wǎng)絡(luò)犯罪活動(dòng)中獲利的個(gè)人和公司。這對于任何曾考慮利用網(wǎng)絡(luò)空間進(jìn)出口管制信息為外國政府或外國商業(yè)公司謀取利益的人(包括前美國政府雇員)來說,都釋放了一個(gè)明確的信息——這種行為不僅有風(fēng)險(xiǎn),也會(huì)產(chǎn)生難以承擔(dān)的后果。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號