Het ministerie van Justitie heeft een controversiële deal aangekondigd met drie voormalige Amerikaanse inlichtingendiensten die hen in staat stelt een boete te betalen na het overtreden van meerdere wetten door hun offensieve hacking voor de repressieve regering van de Verenigde Arabische Emiraten.
Het DOJ zei dat de 49-jarige Marc Baier, de 34-jarige Ryan Adams en de 40-jarige Daniel Gericke “een overeenkomst voor uitgestelde vervolging zijn aangegaan” die hen in staat stelt gevangenisstraffen te vermijden in ruil voor het betalen van 1.685.000 dollar “om een Onderzoek van het ministerie van Justitie naar schendingen van de Amerikaanse exportcontrole, computerfraude en fraude met toegangsapparatuur.”
De drie maakten deel uit van Project Raven, een poging van de VAE om mensenrechtenactivisten, politici en dissidenten te bespioneren tegen de regering. De drie hackten zelfs Amerikaanse bedrijven en creëerden twee exploits die werden gebruikt om in smartphones in te breken.
Zowel Reuters als The Intercept voerden een diepgaand onderzoek uit naar het werk van Project Raven en een VAE-cyberbeveiligingsbedrijf genaamd DarkMatter, nadat leden van het team hun bezorgdheid hadden geuit over het soort hacking dat hen werd gevraagd door VAE-functionarissen.
Ondanks de beschuldigingen die in het dossier van de rechtbank worden genoemd, zei het DOJ dat Baier, Adams en Gericke — alle voormalige NSA-medewerkers of leden van het Amerikaanse leger — op 7 september een akkoord bereikten om de boetes bovendien te betalen aan andere beperkingen op hun werk.
Baier zal gedwongen worden $ 750.000 te betalen, Adams zal $ 600.000 betalen en Gericke zal $ 335.000 betalen over een termijn van drie jaar. Alle drie zullen ook worden gedwongen om samen te werken met de FBI en DOJ bij andere onderzoeken en afstand te doen van eventuele buitenlandse of Amerikaanse veiligheidsmachtigingen.
Ze mogen ook permanent geen Amerikaanse veiligheidsmachtigingen hebben en mogen geen banen meer uitoefenen die te maken hebben met computernetwerkexploitatie, werken voor bepaalde organisaties in de VAE, het exporteren van defensieartikelen of het leveren van defensiediensten.
De DOJ zei dat de drie senior managers waren bij een bedrijf in de VAE van 2016 tot 2019 en doorgingen met hacken voor de VAE, ondanks dat ze te horen kregen dat ze regels overtraden die zeggen dat mensen een vergunning nodig hebben van het Directoraat van Defensie van het Ministerie van Buitenlandse Zaken van de Handelscontrole van Defensie om dergelijk werk te doen.
“Deze diensten omvatten het verlenen van ondersteuning, leiding en toezicht bij het creëren van geavanceerde 'zero-click' computerhacking- en inlichtingenvergaringssystemen – dat wil zeggen, een die een apparaat zou kunnen compromitteren zonder enige actie van de doelwit”, verklaarde het ministerie van Justitie in een verklaring.
“VAE CO-werknemers wiens activiteiten daarna onder toezicht stonden van en bekend waren bij de beklaagden maakten gebruik van deze zero-click exploits om illegaal toegangsgegevens te verkrijgen en te gebruiken voor online accounts die zijn uitgegeven door Amerikaanse bedrijven, en om ongeautoriseerde toegang te verkrijgen tot computers, zoals mobiele telefoons, over de hele wereld. wereld, ook in de Verenigde Staten.”
Waarnemend assistent-procureur-generaal Mark Lesko van de afdeling Nationale Veiligheid van het ministerie van Justitie zei dat de overeenkomst een “eerste oplossing” is van een onderzoek naar twee verschillende soorten criminele activiteiten: het leveren van exportgecontroleerde defensiediensten zonder vergunning ter ondersteuning van netwerkexploitatie en een commercieel bedrijf dat systemen creëert, ondersteunt en besturingssysteem die speciaal zijn ontworpen om anderen toegang te geven tot gegevens zonder autorisatie van computers over de hele wereld, ook in de Verenigde Staten.
“Hackers-for-hire en degenen die anderszins dergelijke activiteiten ondersteunen die in strijd zijn met de Amerikaanse wet, mogen volledig verwachten dat ze worden vervolgd voor hun criminele gedrag,” zei Lesko.
Waarnemend US Attorney Channing Phillips merkte op dat de verspreiding van offensieve cybercapaciteiten de privacy en veiligheid wereldwijd ondermijnt wanneer deze niet wordt gereguleerd.
Phillips beweerde dat de Amerikaanse regering probeerde ervoor te zorgen dat Amerikaanse burgers alleen defensiediensten verlenen 'ter ondersteuning van dergelijke capaciteiten op grond van de juiste vergunningen en toezicht'. Ondanks het uitblijven van gevangenisstraffen, zei Phillips dat de overeenkomst met de drie hackers het bewijs was dat iemands “status als voormalig medewerker van de Amerikaanse regering hen in dat opzicht zeker geen vrijbrief geeft.”
Overig regeringsfunctionarissen herhaalden die boodschap en waarschuwden andere voormalige Amerikaanse overheidshackers om hun vaardigheden niet te gebruiken ten behoeve van buitenlandse regeringen.
De drie negeerden orders van de Amerikaanse regering dat ze zich houden aan de Amerikaanse exportcontrolewetten, verkrijgen voorafgaande goedkeuring van een Amerikaanse overheidsinstantie voordat ze informatie vrijgeven over “cryptografische analyse en/of computernetwerkexploitatie of -aanval”, en niet “zich richten op of exploiteren van Amerikaanse burgers” , bewoners en bedrijven.”
Het DOJ voegde eraan toe dat de drie gedurende een periode van 18 maanden twee vergelijkbare “zero-click” computerhacking- en informatieverzamelingssystemen hebben gemaakt die gebruikmaken van servers in de VS die toebehoren aan een Amerikaans technologiebedrijf “om externe , ongeautoriseerde toegang tot een van de tientallen miljoenen smartphones en mobiele apparaten die gebruikmaken van een besturingssysteem van het Amerikaanse bedrijf.
“De beklaagden en andere CIO-medewerkers verwezen in de volksmond naar deze twee systemen als 'KARMA' en 'KARMA 2'”, legde de DOJ uit.
“CIO-medewerkers wiens activiteiten onder toezicht stonden van en/of bekend waren bij de beklaagden, gebruikten de KARMA-systemen om, zonder autorisatie, de inloggegevens van gerichte personen en andere authenticatietokens (dwz unieke digitale codes die aan geautoriseerde gebruikers zijn uitgegeven) te verkrijgen die zijn uitgegeven door Amerikaanse bedrijven, inclusief e-mailproviders, cloudopslagproviders en sociale-mediabedrijven. CIO-medewerkers gebruikten deze toegangsapparaten vervolgens om, opnieuw zonder toestemming, in te loggen op de accounts van het doelwit om gegevens te stelen, ook van servers in de Verenigde Staten.”
Het bedrijf werd gedwongen om Karma 2 te creëren nadat het Amerikaanse bedrijf zijn smartphonesysteem had bijgewerkt om het te beschermen tegen Karma 1. Tegen 2017 kwam de FBI opnieuw tussenbeide en vertelde het Amerikaanse bedrijf dat Karma 2 tegen hen werd gebruikt. Zelfs na een nieuwe update waren beide exploits effectief tegen oudere apparaten die door het bedrijf werden verkocht.
Reuters-verslaggever Chris Bing merkte op Twitter op dat Gericke eerder werkte als CIO van ExpressVPN, de grootste VPN op de markt.
Casey Ellis, CTO bij Bugcrowd, zei dat hij van mening was dat 1,68 miljoen dollar voldoende was om de betrokkenen te steken en om anderen af te schrikken die overwegen hetzelfde te doen.
“Het feit dat het is afgewikkeld, betekent echter dat we alleen kunnen speculeren over de aandelen die hier zijn gewogen”, zei Ellis. “Naarmate de waarde en het gebruik van offensieve cybercapaciteiten duidelijker wordt en de lijnen van internationale betrekkingen blijven verschuiven, verwacht ik in de toekomst meer van deze 'enigszins vreemde' resultaten te zien.”
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Overheidsbeveiliging TV-gegevensbeheer CXO-datacenters 