В начале этого года разработчик программного обеспечения для кибербезопасности получил неожиданное сообщение на свой личный iPhone: «Apple обнаружила целенаправленную атаку шпионским ПО на ваш iPhone». Как сообщает сам разработчик, который попросил использовать псевдоним Джей Гибсон из-за опасений мести, эта ситуация вызвала у него настоящую панику.
Об этом сообщает ProIT
«Я был в шоке, на самом деле не знал, как это воспринимать. Я сразу выключил телефон и отложил его. Того же дня пошел купить новый смартфон. Все было очень сложно».
Гибсон до недавнего времени работал в компании Trenchant, которая разрабатывает хакерские инструменты для правительственных структур Запада, и занимался поиском и эксплуатацией zero-day-уязвимостей iOS, которые еще не были известны официальному производителю — Apple. Он, вероятно, стал первым задокументированным специалистом по созданию эксплойтов и шпионского ПО, который сам попал под атаку такого же ПО.
Атаки против создателей эксплойтов становятся все более частыми
По словам трех осведомленных лиц, в течение последних месяцев еще несколько разработчиков эксплойтов и шпионских программ получили аналогичные уведомления от Apple о том, что их устройства стали мишенью для шпионства. Это свидетельствует о расширении круга жертв подобных атак.
Ранее производители шпионских программ и zero-day-инструментов утверждали, что их продукты используются только правительственными клиентами для борьбы с преступностью и терроризмом. Однако за последнее десятилетие правозащитники и исследователи цифровой безопасности, в частности Citizen Lab и Amnesty International, зафиксировали десятки случаев, когда такие инструменты применялись против журналистов, активистов, правозащитников и политических оппонентов в разных странах.
Ближайшие к этому публично известные инциденты произошли в 2021 и 2023 годах, когда правительственные хакеры из Северной Кореи атаковали исследователей в области кибербезопасности.
Внутреннее расследование и отстранение от работы
Через два дня после получения уведомления от Apple Гибсон обратился к независимому эксперту по цифровой криминалистике. Начальный анализ не выявил следов заражения шпионским ПО, однако специалист посоветовал провести более глубокую проверку всех данных устройства. Гибсон, однако, отказался передавать полную резервную копию телефона из соображений безопасности и конфиденциальности.
Без полной криминалистической экспертизы невозможно достоверно определить, кто стоит за атакой и какова была ее цель. Сам Гибсон предполагает, что уведомление Apple связано с обстоятельствами его увольнения из Trenchant. Он утверждает, что компания сделала его «козлом отпущения» в деле о утечке внутренних инструментов.
Apple отправляет подобные уведомления только в случае наличия доказательств целенаправленной атаки шпионским ПО наемников. Такие технологии обычно устанавливаются на устройства жертв незаметно и дистанционно, используя сложные уязвимости, разработка эксплойтов для которых может занимать месяцы и стоить миллионы долларов. Обычно право применять шпионское ПО имеют только правоохранительные органы и спецслужбы, а не сами разработчики.
По словам Гибсона и его бывших коллег, официальная причина его увольнения — подозрение в утечке неизвестных уязвимостей для браузера Chrome, которые разрабатывала Trenchant. Однако, по их словам, Гибсон не имел доступа к этим инструментам — он работал только с командой, занимающейся iOS. Все отделы компании имели строго ограниченный доступ только к тем платформам, над которыми работали.
Трое экс-сотрудников Trenchant подтверждают, что Гибсона было отстранено и уволено после внутреннего расследования, но считают, что компания ошиблась в своих подозрениях.
