На початку цього року розробник програмного забезпечення для кібербезпеки отримав несподіване повідомлення на свій особистий iPhone: “Apple виявила цілеспрямовану атаку шпигунським ПЗ на ваш iPhone”. Як повідомляє сам розробник, який попросив використовувати псевдонім Джей Ґібсон через побоювання помсти, ця ситуація викликала у нього справжню паніку.
Про це розповідає ProIT
“Я був у шоці, насправді не знав, як це сприймати. Я одразу вимкнув телефон і відклав його. Того ж дня пішов купити новий смартфон. Все було дуже складно”.
Ґібсон до недавнього часу працював у компанії Trenchant, що розробляє хакерські інструменти для урядових структур Заходу, і займався пошуком та експлуатацією zero-day-вразливостей iOS, які ще не були відомі офіційному виробникові — Apple. Він, імовірно, став першим задокументованим фахівцем зі створення експлойтів та шпигунського ПЗ, який сам потрапив під атаку такого ж ПЗ.
Атаки проти творців експлойтів стають частішими
Зі слів трьох обізнаних осіб, упродовж останніх місяців іще кілька розробників експлойтів і шпигунських програм отримували аналогічні сповіщення від Apple про те, що їхні пристрої стали мішенню для шпигунства. Це свідчить про розширення кола жертв подібних атак.
Раніше виробники шпигунських програм та zero-day-інструментів стверджували, що їхні продукти використовуються лише урядовими клієнтами для боротьби з криміналом та тероризмом. Проте за останнє десятиліття правозахисники та дослідники цифрової безпеки, зокрема Citizen Lab та Amnesty International, зафіксували десятки випадків, коли такі інструменти застосовувалися проти журналістів, активістів, правозахисників і політичних опонентів у різних країнах.
Найближчі до цього публічно відомі інциденти сталися у 2021 та 2023 роках, коли урядові хакери з північної кореї атакували дослідників у сфері кібербезпеки.
Внутрішнє розслідування та відсторонення від роботи
Через два дні після отримання сповіщення від Apple Ґібсон звернувся до незалежного експерта з цифрової криміналістики. Початковий аналіз не виявив слідів зараження шпигунським ПЗ, однак фахівець порадив здійснити глибшу перевірку всіх даних пристрою. Ґібсон, однак, відмовився передавати повну резервну копію телефону через міркування безпеки та приватності.
Без повної криміналістичної експертизи неможливо достеменно визначити, хто стоїть за атакою та якою була її мета. Сам Ґібсон припускає, що сповіщення Apple пов’язане з обставинами його звільнення з Trenchant. Він стверджує, що компанія зробила його “козлом відпущення” у справі про витік внутрішніх інструментів.
Apple надсилає подібні сповіщення лише в разі наявності доказів цілеспрямованої атаки шпигунським ПЗ найманців. Такі технології зазвичай встановлюються на пристрої жертв непомітно та дистанційно, використовуючи складні вразливості, розробка експлойтів для яких може тривати місяцями й коштувати мільйони доларів. Зазвичай право застосовувати шпигунське ПЗ мають лише правоохоронні органи та спецслужби, а не самі розробники.
За словами Ґібсона та його колишніх колег, офіційна причина його звільнення — підозра у витоку невідомих вразливостей для браузера Chrome, які розробляла Trenchant. Однак, за їхніми словами, Ґібсон не мав доступу до цих інструментів — він працював лише з командою, що займалася iOS. Усі відділи компанії мали суворо обмежений доступ лише до тих платформ, над якими працювали.
Троє ексспівробітників Trenchant підтверджують, що Ґібсона було відсторонено та звільнено після внутрішнього розслідування, але вважають, що компанія помилилася у своїх підозрах.
