El Departamento de Justicia de EE. UU. (DoJ) anunció el martes que había multado a tres miembros de la comunidad de inteligencia y personal militar con 1,68 millones de dólares por su papel como mercenarios cibernéticos que trabajaban para una empresa de seguridad cibernética con sede en los Emiratos Árabes Unidos.

El trío en cuestión, Marc Baier, de 49 años, Ryan Adams, de 34, y Daniel Gericke, de 40, están acusados ​​de «vincular, conspirar, confederar y cometer delitos a sabiendas e intencionalmente» en el país durante tres años, desde diciembre de 2015 hasta noviembre de 2019. incluido el desarrollo de spyware invasivo capaz de penetrar en los dispositivos móviles sin que los objetivos realicen ninguna acción.

«Los acusados ​​trabajaban como altos directivos en una empresa con sede en los Emiratos Árabes Unidos (EAU) que apoyaba y realizaba operaciones de redes informáticas (CNE) (es decir, ‘piratería’) en beneficio del gobierno de los EAU», dijo el Ministerio de Justicia en un comunicado. una declaración declaración.

«A pesar de que nos han informado varias veces que trabajan para ellos [the] Los Emiratos Árabes Unidos, según las Regulaciones del Comercio Internacional de Armas (ITAR), eran un «servicio de defensa» que requería una licencia de la Dirección de Control de Defensa (DDTC) del Departamento de Estado, y los acusados ​​continuaron brindando dichos servicios sin licencia.

Además de acusar a las personas de violar las leyes de control de exportaciones de EE. UU., fraude informático y fraude de dispositivos de acceso, se contrata a piratas informáticos para supervisar la creación de vulnerabilidades sofisticadas de «cero clic» que posteriormente se han utilizado indebidamente para recopilar ilegalmente información de inicio de sesión para cuentas en línea emitidas por empresas de EE. UU. y obtener acceso no autorizado a teléfonos móviles de todo el mundo.

El desarrollo sigue a una investigación anterior de Reuters en 2019, que reveló cómo el ex personal de la Agencia de Seguridad Nacional de EE. UU. (NSA) ayudó a los Emiratos Árabes Unidos a rastrear figuras prominentes de los medios árabes, disidentes y varios periodistas estadounidenses no identificados en una operación encubierta llamada Proyecto Raven en nombre de un ciber compañía de seguridad Materia oscura. La tendencia de la compañía de reclutar «guerreros cibernéticos del extranjero» para la investigación de tecnología de seguridad ofensiva se hizo evidente por primera vez en 2016.

El Informe Deep Dive también detalló un exploit de cero clic llamado Karma, que permitió a activistas, diplomáticos y líderes extranjeros rivales penetrar de forma remota los iPhones «simplemente cargando números de teléfono o cuentas de correo electrónico en un sistema de orientación automatizado». La sofisticada herramienta se usó para recuperar fotos, correos electrónicos, mensajes de texto e información de ubicación de los teléfonos de las víctimas, así como para recopilar contraseñas almacenadas que podrían usarse indebidamente para organizar más intrusiones.

Según documentos judiciales no sellados, Baier, Adams y Gericke diseñaron, implementaron y usaron Karma con fines de recopilación de inteligencia extranjera a partir de mayo de 2016 después de obtener un exploit de una empresa estadounidense no identificada que proporcionaba acceso remoto a dispositivos Apple sin un clic. Pero después de que se insertara una vulnerabilidad de seguridad básica en septiembre, los acusados ​​presuntamente contactaron a otra empresa estadounidense para obtener un segundo exploit que explotaba una vulnerabilidad diferente de iOS y, finalmente, la usaron para modificar y modificar el kit de herramientas Karma.

Las acusaciones también se producen un día después de que Apple revelara que había actuado para cerrar una vulnerabilidad de día cero (CVE-2021-30860) que Pegasus NSO Group había explotado para atacar a activistas en Bahrein y Arabia Saudita.

“El FBI investigará a fondo a las personas y empresas que se benefician del delito cibernético ilegal”, dijo Bryan Vorndran, subdirector de la División Cibernética del FBI. «Este es un mensaje claro para todos, incluidos los ex empleados del gobierno de EE. UU., que han considerado usar el ciberespacio para usar información de exportación controlada en beneficio de un gobierno extranjero o una empresa comercial extranjera: existe un riesgo y habrá consecuencias».

Actualizaciones: Un nuevo informe de MIT Technology Review ahora ha revelado que la vulnerabilidad que KARMA usó para tomar el control total del iPhone objetivo estaba en Apple iMessage y que el exploit fue desarrollado y vendido por Accuvant, una compañía estadounidense que desde entonces se fusionó. s Optiv.

«Accuvant ha vendido exploits de piratas informáticos a más clientes en los gobiernos y el sector privado, incluidos los Estados Unidos y sus aliados, y este exploit de iMessage preciso también se ha vendido a muchos otros clientes al mismo tiempo», dice el informe.

En un desarrollo separado, el proveedor de VPN ExpressVPN declaró que estaba al tanto del trabajo anterior de Daniel Gericke antes de contratarlo. Gericke, quien actualmente es el director de información de la compañía, es una de las tres personas involucradas en su trabajo sin licencia como piratas informáticos mercenarios que llevaron a cabo campañas de invasión financiadas por los Emiratos Árabes Unidos.

“Conocemos los datos clave sobre el historial de empleados de Daniel desde que lo contratamos, porque nos los comunicó de manera proactiva y transparente desde el principio”, dijo la compañía en un comunicado. «De hecho, fue su historial y experiencia lo que lo convirtió en un empleado invaluable para nuestra misión de proteger la privacidad y seguridad de nuestros usuarios».