BLACK HAT VS: wat begon als een ongelooflijke baanaanbieding voor een naïeve, jonge veiligheidsanalist, veranderde in een explosief geval van voormalige Amerikaanse experts die onbewust een buitenlandse dienst hielpen bij het opzetten van een offensieve veiligheidstak.
Bekend als Project Raven, werd een team van meer dan een dozijn voormalige Amerikaanse inlichtingendiensten gestroopt met beloften van functies die te mooi leken om waar te zijn – alleen om deel te nemen aan activiteiten namens de Verenigde Arabische Emiraten (VAE) die werden op zijn minst dubieus.
Project Raven, zoals eerder gemeld door de New York Times en Reuters, omvatte de clandestiene surveillance van andere regeringen, militante groepen, mensenrechtenactivisten, journalisten en andere partijen die van belang zijn voor — of kritiek hebben op — de monarchie.
Een van deze agenten was David Evenden, een voormalige offensieve inlichtingenanalist, lid van de marine en nu oprichter van StandardUser LLC, die ooit voor de Amerikaanse National Security Agency (NSA) werkte.
Bij Black Hat USA in Las Vegas beschreef Evenden zijn tijd bij het werken voor de VAE, een verhaal dat ook eerder uitgebreid aan bod kwam in de Darknet Diaries-podcast.
Na ongeveer drie jaar voor de NSA te hebben gewerkt, benaderde een recruiter van CyberPoint, naar verluidt door de Amerikaanse regering gescreend, in 2014 Evenden met een nieuwe carrièremogelijkheid.
Hij kreeg te horen dat hij betrokken zou zijn bij veiligheidswerkzaamheden in Abu Dhabi en zou helpen om terroristische activiteiten aan te pakken en de werklast van overheidsinstanties in zijn thuisland te verminderen, als onderdeel van een bredere defensieovereenkomst met de Verenigde Staten.
“Het was allemaal boven verwachting en we hadden allemaal vertrouwen in wat we aan het doen waren,” zei Evenden.
Zoals opgemerkt in “Dit is hoe ze me vertellen dat de wereld eindigt”, geschreven door Nicole Perlroth, stond het overkoepelende contract bekend als Project DREAD – of Development Research Exploitation and Analysis Department.
Perlroth schrijft dat Project DREAD “sterk” vertrouwde op onderaannemers, waaronder CyberPoint, evenals de “tientallen getalenteerde voormalige NSA-hackers zoals Evenden.”
De beveiligingsspecialist legde uit dat bij aankomst, twee back-to-back briefings werden opgezet. Het “cover”-verhaal, in een paarse map, was dat hij zou werken aan defensieve maatregelen. In de volgende vergadering werd echter een zwarte map uitgegeven.
De zwarte map onthulde dat Evenden zou samenwerken met NISSA, de NSA-tegenhanger van de VAE, in offensieve beveiliging, bewaking en het verzamelen van gegevens over interessante doelen – en dit zou nooit worden erkend door het grote publiek.
Als dit geen rode vlag was, had het gebruik van een verbouwde villa voor operaties — evenals de belofte van een belastingvrije levensstijl en een lucratief salaris — Evenden ergens op moeten wijzen niet helemaal gelijk hebben.
De eerste paar maanden werden verkenningen uitgevoerd om terrorisme te bestrijden, zoals het ophalen van gegevens uit de Twitter API, zoekwoordanalyses en computationele delta's van chatter op sociale media.
Hoewel aanvankelijk werd verteld dat hij namens de VS en bondgenoten zou werken, zei de agent in Darknet Diaries dat het niet lang duurde voordat CyberPoint “echte en vermeende” Emirati-vijanden hackte namens zijn klanten, in plaats van terroristische agenten . ISIS was een van de eerste groepen in reikwijdte, maar dit wendde zich uiteindelijk tot iedereen, van burgerrechtenactivisten tot journalisten en individuen die de VAE op Twitter bekritiseerden.
“We begonnen toen vragen te krijgen over het volgen van het geld”, zei de beveiligingsexpert, eraan toevoegend dat de groep vervolgens werd gevraagd om toegang te krijgen tot Qatar om te zien of er geld werd doorgesluisd om de moslim te steunen. Broederschap — en toen hen werd verteld dat ze de systemen van het land moesten hacken, werd toestemming verleend.
Intel-inzendingen begonnen toen af te wijken, zoals verzoeken om de vluchtplannen van de Qatarese koninklijke familie.
Het was het moment dat e-mails van Michelle Obama op zijn pc terechtkwamen, in 2015, dat veranderde het spel. De e-mails hadden betrekking op het voormalige First Lady-team en een reis naar het Midden-Oosten om het “Let Girls Learn”-initiatief te promoten.
“Dit was het moment dat ik zei: “We zouden dit niet moeten doen. Dit is niet normaal”, vertelde Evenden aan Perlroth.
Eind 2015 nam een lokale entiteit, DarkMatter, de Project Raven-operatie over. De groep mocht offensieve operaties uitvoeren tegen buitenlandse organisaties, en agenten kregen te horen dat ze zich moesten aansluiten of naar huis moesten gaan.
“Mensen die loyaal zijn aan de Verenigde Staten zullen dat niet doen, dus we sprongen van boord en verhuisden naar huis”, zei Evenden.
Een ander lid van het team was Lori Stroud, een cyberbeveiligingsspecialist die eerder voor de NSA had gewerkt. Een verzoek van DarkMatter kwam naar verluidt binnen om een Amerikaanse journalist aan te vallen, en zodra Stroud haar zorgen uitte, werd ze onmiddellijk uit het project verwijderd. In een gesprek met Reuters zei Stroud dat ze op dat moment “de slechte soort spion” werd.
De rode vlaggen die Evenden miste, kunnen worden opgevat als een les voor andere beveiligingsprofessionals die overwegen om naar het buitenland te verhuizen, en hij heeft wat advies te geven — in de hoop dat anderen niet dezelfde fouten maken.
“Beoordeel je leiderschap – dat is een van de belangrijkste dingen die ik hieruit heb geleerd,” merkte Evenden op. “Als je die haren op je armen krijgt, moet je een stap terug doen [en] ervoor zorgen dat je een exit-strategie hebt – of een organisatie je er nu een biedt of niet, je hebt er ook een nodig.”
Eerdere en gerelateerde berichtgeving
Black Hat: hackers gebruiken skeletsleutels om chipleveranciers aan te vallen
Black Hat: wanneer penetratietesten u een strafblad opleveren
Black Hat: hoe uw pacemaker een bedreiging van binnenuit voor de nationale veiligheid
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Overheid – US Security TV Data Management CXO Datacenters 