Det amerikanske handelsdepartementet har sanksjonert fire cybersikkerhetsselskaper for angivelig å selge spionprogrammer og andre hackingverktøy til undertrykkende utenlandske myndigheter.
Avdelingens Bureau of Industry and Security la israelske selskaper NSO Group og Candiru samt Russland-baserte Positive Technologies og Singapore-baserte Computer Security Initiative Consultancy (COSEINC) til Entity List “for å delta i aktiviteter som er i strid med nasjonal sikkerhet eller USAs utenrikspolitiske interesser.”
USA sa at NSO Group og Candiru ble lagt til listen fordi tjenestemenn hadde funnet “bevis på at disse enhetene utviklet og leverte spionprogrammer til utenlandske myndigheter som brukte disse verktøyene for å ondsinnet målrette myndighetspersoner, journalister, forretningsfolk, aktivister, akademikere og ambassadearbeidere.”
Handelsdepartementet bemerket at myndighetene som ga disse verktøyene undertrykte en rekke mennesker i andre land utenfor deres grenser, og forklarte at noen autoritære regjeringer retter seg mot “dissidenter, journalister og aktivister utenfor deres suverene grenser for å stille dissens.”
Positive Technologies and Computer Security Initiative Consultancy er anklaget for handel med “cyberverktøy som brukes for å få uautorisert tilgang til informasjonssystemer, og truer personvernet og sikkerheten til enkeltpersoner og organisasjoner over hele verden.”
“USA er forpliktet til å aggressivt bruke eksportkontroller for å holde selskaper ansvarlige som utvikler, trafikkerer eller bruker teknologier for å utføre ondsinnede aktiviteter som truer cybersikkerheten til medlemmer av sivilsamfunnet, dissidenter, myndighetspersoner og organisasjoner her og i utlandet,” sa USAs handelsminister Gina Raimondo.
Dommen ble truffet i koordinering med forsvarsdepartementet, utenriksdepartementet, finansdepartementet og energidepartementet
Tjenestemenn sa at Entity List begrenser “eksport, reeksport og overføring innenlands av varer som er underlagt EAR til personer (individer, organisasjoner, selskaper) som med rimelighet antas å være involvert, har vært involvert eller utgjør en betydelig risiko for å bli eller bli involvert, i aktiviteter som strider mot USAs nasjonale sikkerhet eller utenrikspolitiske interesser.”
Det vil ikke være noen lisensunntak tilgjengelig for eksport, reeksport eller overføringer i landet til enhetene som legges til til Entity List, la handelsdepartementet til.
NSO-gruppen har blitt beryktet for sitt engasjement i en rekke globale skandaler tidligere i år som involverte deres Pegasus-spyware. Citizen Lab og dusinvis av forskere avslørte at spionprogrammet ble mye brukt av nettkriminelle, diktatorer og andre for å spionere på statsministre, diplomater, journalister og menneskerettighetsaktivister. En diktator brukte det til og med til å spionere på sin ekskone og hennes advokater.
Selskapet benektet anklagene i en uttalelse til The New York Times, og hevdet at deres “teknologier støtter amerikanske nasjonale sikkerhetsinteresser og politikk ved å forhindre terrorisme og kriminalitet, og derfor vil vi gå inn for at denne beslutningen skal omgjøres.”
Positive Technologies har lenge blitt anklaget for å gi hackingverktøy og støtte til den russiske regjeringens etterretningsarm. Nettsikkerhetsselskapet på 1 milliard dollar ble sanksjonert i april av finansdepartementet for å tilby sikkerhetsløsninger for datanettverk til FSB og GRU samt russiske virksomheter, utenlandske myndigheter og internasjonale selskaper. Selskapet er til og med vertskap for “storskala stevner som brukes som rekrutteringsarrangementer for FSB og GRU.”
Til tross for båndene til russisk etterretning, ble selskapet nesten børsnotert i år og ble verdsatt til 2,5 milliarder dollar takket være bånd til Samsung, Microsoft og IBM, ifølge Forbes.
Haaretz rapporterte i 2019 at den hemmelighetsfulle Candiru spesialiserte seg på å hacke datamaskiner og servere. Nyheten sa at Isaac Zack grunnla selskapet og også var involvert i grunnleggelsen av NSO Group. Både Microsoft og Citizen Lab publiserte rapporter i juli på DevilsTongue, et spionprogram laget av Candiru.
Ifølge The Record har Computer Security Initiative Consultancy bånd til Pwn0rama, et nytteoppkjøpsprogram.
“Denne innsatsen er rettet mot å forbedre innbyggernes digitale sikkerhet, bekjempe cybertrusler og dempe ulovlig overvåking og følger en nylig midlertidig siste regel utgitt av handelsdepartementet som etablerer kontroller for eksport, reeksport eller overføring innen land av visse varer som kan brukes til ondsinnede cyberaktiviteter,” sa handelsdepartementet i en uttalelse.
BreachQuest CTO Jake Williams fortalte ZDNet at hver av tilleggene til Entity List er interessante i seg selv, men den mest betydningsfulle i hans øyne var NSO Group.
Mens NSO prøvde å spinne programvaren sin som brukt til legitime formål, er det tydelig at den har blitt brukt gjentatte ganger for å målrette journalister, aktivister og myndighetspersoner, forklarte Williams.
“Det er ikke bare målrettingen av disse personene som fikk NSO i varmt vann, det er at enheter som er uvennlige mot USA, brukte NSO-verktøy for å målrette mot vennlige journalister, aktivister osv. Det er aldri en vinnende forretningsplan ,” sa Williams og la til at COSEINC og Positive Technologies “kanskje er mer akademisk interessante.”
“Selv om Positive Technologies (et russisk selskap) ikke er en overraskelse å se på denne listen, er COSEINC (et Singapore-selskap). COSEINC har stort sett fløyet under den offentlige radaren før i dag, selv om tidligere rapportering fra Joseph Cox fra Motherboard/VICE identifisert firmaet som en null-dagers leverandør i 2018. Det virker sannsynlig at COSEINC ble funnet å selge bedrifter eller samarbeide med utenlandske etterretningsorganisasjoner eller nettkriminelle for å ha fått en slik betegnelse på Entity List.»
Oliver Tavakoli, CTO i Vectra, sa at sanksjonene “stort sett representerer en fartsdump for disse selskapene” med tanke på at den skumle virksomheten med å levere offensive cyberkapasiteter til regjeringer over hele verden alltid fører til at disse selskapene dømmer om hva som utgjør “passende bruk” av teknologiene og om kundene deres kan stoles på å respektere ånden av begrensninger – ofte uttrykt i vage termer med henvisning til «trusler» og «sikkerhet» – skrevet inn i kontrakter.
“Det er ganske tydelig at de fleste Regjeringer ignorerer disse begrensningene og gjør det de mener er i egeninteressen til regjeringen og dens nåværende leder, selv om selskapene da kan hevde plausibel benektelse,” sa Tavakoli.
Sikkerhet
Det beste phishing-målet? Smarttelefonen din Hvorfor trenger du denne sikkerhetsnøkkelen til $29 FBI: Ransomware grupperer som knytter angrep til “betydelige økonomiske hendelser” Signal avslører hvor langt amerikansk rettshåndhevelse vil gå for å få folks informasjon De 10 verste maskinvaresikkerhetsfeilene i 2021 Cybersecurity 101: Beskytt personvernet ditt mot hackere , spioner, regjeringen Sikkerhet | CXO | Innovasjon | Smarte byer