BLACK HAT USA: quella che era iniziata come un'incredibile offerta di lavoro per un giovane e ingenuo analista della sicurezza si è trasformata in un caso esplosivo di ex esperti statunitensi che aiutavano inconsapevolmente un servizio estero a creare un ramo offensivo della sicurezza.
Conosciuto come Project Raven, un team di oltre una dozzina di ex agenti dell'intelligence statunitense è stato truffato con promesse di ruoli lavorativi che sembravano troppo belli per essere veri, solo per partecipare ad attività per conto degli Emirati Arabi Uniti (UAE) che erano , perlomeno, dubbia.
Il progetto Raven, come riportato in precedenza dal New York Times e dalla Reuters, prevedeva la sorveglianza clandestina di altri governi, gruppi militanti, attivisti per i diritti umani, giornalisti e altri partiti di interesse o, critici nei confronti di — la monarchia.
Uno di questi agenti era David Evenden, un ex analista di intelligence offensiva, membro della Marina e ora fondatore di StandardUser LLC che un tempo lavorava per la National Security Agency (NSA) degli Stati Uniti.
Al Black Hat USA di Las Vegas, Evenden ha descritto il suo periodo di lavoro per gli Emirati Arabi Uniti, una storia che è stata già ampiamente trattata in precedenza nel podcast di Darknet Diaries.
Dopo aver lavorato per la NSA per circa tre anni, nel 2014, un reclutatore di CyberPoint, che si dice sia stato controllato dal governo degli Stati Uniti, si è rivolto a Evenden con una nuova opportunità di carriera.
Gli è stato detto che sarebbe stato coinvolto nel lavoro di sicurezza ad Abu Dhabi e che avrebbe contribuito a contrastare l'attività terroristica e a ridurre il carico di lavoro delle agenzie governative nella sua patria, come parte di un più ampio accordo di difesa con gli Stati Uniti.
“Era tutto a posto e ci sentivamo tutti sicuri di quello che stavamo facendo”, ha detto Evenden.
Come notato in “Ecco come mi dicono che il mondo finisce”, scritto da Nicole Perlroth, il contratto generale era noto come Project DREAD – o Development Research Exploitation and Analysis Department.
Perlroth scrive che il Progetto DREAD si affidava “fortemente” a subappaltatori tra cui CyberPoint e alle “dozzine di ex hacker di talento della NSA come Evenden”.
Lo specialista della sicurezza ha spiegato che all'arrivo, sono stati organizzati due briefing consecutivi. La storia “di copertina”, in una cartella viola, era che avrebbe lavorato su misure difensive. Tuttavia, nella riunione successiva, è stata emessa una cartella nera.
La cartella nera ha rivelato che Evenden avrebbe lavorato con NISSA, la controparte della NSA degli Emirati Arabi Uniti, nella sicurezza offensiva, nella sorveglianza e nella raccolta di dati su obiettivi di interesse – e questo non è mai stato riconosciuto al pubblico in generale.
Se questa non fosse stata una bandiera rossa, l'uso di una villa convertita per le operazioni – così come la promessa di uno stile di vita esentasse e uno stipendio redditizio – avrebbero dovuto suggerire a Evenden qualcosa non avere ragione.
Per i primi mesi, sono state eseguite ricognizioni per combattere il terrorismo, come estrarre dati dall'API di Twitter, analisi delle parole chiave e delta computazionali delle chiacchiere sui social media.
Tuttavia, mentre originariamente gli era stato detto che avrebbe lavorato per conto degli Stati Uniti e degli alleati, l'agente ha affermato in Darknet Diaries che non passò molto tempo prima che CyberPoint attaccasse nemici “veri e percepiti” degli Emirati per conto dei suoi clienti, piuttosto che agenti terroristici. . L'ISIS è stato uno dei primi gruppi nell'ambito, ma alla fine questo si è rivolto a tutti, dagli attivisti per i diritti civili ai giornalisti e agli individui che criticavano gli Emirati Arabi Uniti su Twitter.
“Abbiamo quindi iniziato a ricevere domande su come seguire i soldi”, ha detto l'esperto di sicurezza, aggiungendo che al gruppo è stato poi chiesto di accedere al Qatar per vedere se c'era del denaro incanalato per sostenere il musulmano Brotherhood – e quando gli è stato detto che avrebbero dovuto hackerare i sistemi del paese, il permesso è stato concesso.
Le richieste di Intel hanno quindi iniziato a deviare, come le richieste fatte per i piani di volo della famiglia reale del Qatar.
È stato il momento in cui le email appartenenti a Michelle Obama sono arrivate sul suo PC, nel 2015, che ha cambiato il gioco. Le email relative alla squadra dell'ex First Lady e un viaggio in Medio Oriente per promuovere l'iniziativa “Let Girls Learn”.
“Questo è stato il momento in cui ho detto: “Non dovremmo farlo. Questo non è normale”, ha detto Evenden a Perlroth.
Alla fine del 2015, un'entità locale, DarkMatter, ha rilevato l'operazione Project Raven. Al gruppo è stato permesso di eseguire operazioni offensive contro organizzazioni straniere e agli agenti è stato detto di unirsi o tornare a casa.
“Le persone leali agli Stati Uniti non lo faranno, quindi abbiamo abbandonato la nave e ci siamo trasferiti a casa”, ha detto Evenden.
Un altro membro del team era Lori Stroud, uno specialista di sicurezza informatica che aveva precedentemente lavorato per la NSA. Secondo quanto riferito, è arrivata una richiesta da DarkMatter per prendere di mira un giornalista statunitense e, una volta che Stroud ha espresso le sue preoccupazioni, è stata prontamente rimossa dal progetto. Parlando con Reuters, Stroud ha detto che in quel momento è diventata “il cattivo tipo di spia”.
Le bandiere rosse che Evenden ha mancato possono essere prese come una lezione per altri professionisti della sicurezza che stanno considerando di trasferirsi all'estero, e lui ha qualche consiglio da dare, nella speranza che altri non commettano gli stessi errori.
“Controlla la tua leadership: questa è una delle cose principali che ho imparato da questo”, ha commentato Evenden. “Se hai quei peli che ti si rizzano sulle braccia, devi fare un passo indietro [e] assicurarti di avere una strategia di uscita: indipendentemente dal fatto che un'organizzazione te ne fornisca una, ne hai bisogno anche tu.”
Copertura precedente e correlata
Black Hat: gli hacker stanno usando le chiavi dello scheletro per prendere di mira i fornitori di chip
Black Hat: quando i test di penetrazione ti fanno guadagnare un record di arresto per reato
Black Hat: come il tuo pacemaker potrebbe diventare un minaccia interna alla sicurezza nazionale
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Governo – Data Center CXO per la gestione dei dati della TV di sicurezza degli Stati Uniti 