美国司法部(DoJ)于9月14日宣布与两名美国公民和一名前美国公民达成延期起诉协议,据悉,这3名被告都是美国情报界或美国军方的前成员,分别为49岁的Marc Baier、34岁的Ryan Adams以及40岁的Daniel Gericke。他们作为阿联酋的网络雇佣兵,负责将受保护的信息(ITAR/AECA)转移到阿联酋;协助阿联酋开发苹果的操作系统;并实施了危害美国实体的网络操作。
根据法庭文件显示,这3人在一家总部位于阿联酋的公司(在法庭文件中被识别为“UAE-CO”,并被认为是DarkMatter公司)担任高级管理人员。该公司主要负责为阿联酋政府的国家电子安全局(NESA,相当于美国的NSA)提供计算机网络开发支持。
特别值得注意的一点是,这些受雇的黑客还被指控为DarkMatter创建复杂的“零点击”(zero-click)漏洞,这些漏洞随后被武器化以非法收集美国公司在线账户的访问凭据,并未经授权地访问世界各地的手机。
“Raven”项目
2019年1月,路透社发表了一篇关于DarkMatter招募外国网络专家以开发防御性和进攻性网络武器的深度曝光。这些专家开展了“Raven”项目,该项目除了支持阿联酋针对恐怖分子和国家敌人的行动外,还针对持不同意见的人。与上述相关的路透社报道清楚地表明,创建Raven是为了支持阿联酋国家电子安全局(NESA)的目标。
此次法庭文件证实了当时路透社曝光的大部分内容,特别是多个美国实体(除Apple外,其他身份不明)和个人(包括记者)均沦为NESA的攻击目标。
虽然没有提及以色列网络安全公司NSO Group,但法庭文件清楚阐述了原始“零点击”是如何从外国实体购买,然后由DarkMatter团队修改的。
事实上,上个月,公民实验室的研究人员就发现黑客在使用所谓的“零点击”攻击,它无需任何用户互动就能感染受害者的设备。据悉,零点击利用了苹果iMessage中一个前所未知的安全漏洞,该漏洞被利用来将NSO Group开发的PegASUS间谍软件推送到活动人士的手机中。
已知阿联酋是NSO Group的客户,这就使得针对Apple OS设备的阿联酋网络情报行动极有可能使用NSO漏洞或其早期版本。本周,Apple在9月13日的紧急补丁中缓解了NSO漏洞。
教训和经验
法庭文件以及曝光的所有企业CISO在阿联酋的运作方式——特别是网络安全行业的人员或与负责保护受控技术的实体相关的人员——还是存在很多值得我们学习的地方。
三人供认的第一项指控涉及共享属于ITAR/AECA协议的信息。该信息以未经授权的方式与外国人(他们在阿联酋的同事)共享。
这三人,可能还有其他人,最初在与外国人(此处指阿联酋人)和实体分享由其雇主Cyberpoint International(一家位于马里兰州巴尔的摩的网络安全公司)开发和使用的受控技术时,是受到美国国务院颁发的技术援助协议(TAA)保护的。值得注意的是,CyberPoint显然遵守规则,并获得了美国政府的授权,可以与阿联酋政府——特别是NESA——分享他们的专业知识。先前确定的Raven项目完全属于TAA的权力范围。
丧失TAA保护罩
一旦这三个人离开 Cyberpoint 并在NESA网络情报行动中为DarkMatter工作,他们便不再享有美国政府的保护和授权。事实上,有些人可能会争辩说,这些人在离开时有效地将技术知识和关系善意地从Cyberpoint转移到了DarkMatter。
这就引出了一个问题,是否存在一个退出流程来确保Cyberpoint的知识产权受到保护,而且个人是否清楚在没有TAA保护的情况下应该干什么,不应该干什么?
最初,Raven项目由Cyberpoint公司运营,Marc Baier正是Raven的项目经理,Ryan Adam和Daniel Gericke都是该项目的运营商。2015年,阿联酋政府将Raven项目转交给DarkMatter,而那些加入DarkMatter的美国人只能背叛道德底线,从此代表阿联酋政府做他们要求的事情。
跨越法律和道德界限
在这些人融入DarkMatter之后,他们的行为跨越了进行计算机网络开发操作和协助阿联酋攻击已识别实体的法律界限。法庭文件毫不含糊,指控三人使用了“非法、欺诈和犯罪手段,包括使用先进的秘密黑客系统,利用从美国和其他地方获得的计算机漏洞,未经授权地访问美国和其他地方受保护的计算机,并从世界各地的受害者处非法获取信息、材料、文件、记录、数据和个人身份信息,包括密码、访问设备、登录凭据和身份验证令牌等。”
三人的罪行包括对目标进行监视,以及成功尝试让社交工程人员提取所需信息以允许对目标实体进行未经授权地访问。这些人的所作所为不但触及了法律底线,还违反了道德底线——他们代表外国势力利用在本国服务中获取的知识对抗本国的目标。
哥伦比亚特区代理美国检察官Channing D. Phillips表示,“如果不受监管,攻击性网络能力的扩散会破坏全球的隐私和安全。根据我们的《国际武器贸易条例》规定,美国将确保美国人仅根据适当的许可和监督提供支持此类能力的防御服务。作为前美国政府雇员的美国人身份当然不是他们进行攻击性网络活动的免费通行证。”
据悉,他们为阿联酋政府工作的报酬颇丰——Baier 750000美元;Adams 600000美元;Gericke 350000美元——不过,作为他们法庭协议的一部分,所有这些都将被没收。他们的延期认罪协议为期三年,还附有各种限制和禁令,但重点是,当协议到期时,如果三人配合调查并完成了协议中的所有要求,他们将不被起诉。
CISO可以将此案例研究纳入所有内部威胁/内部风险管理简报,尤其是来自FBI网络部助理主任Bryan Vorndran的告诫,“FBI将全面调查从非法网络犯罪活动中获利的个人和公司。这对于任何曾考虑利用网络空间进出口管制信息为外国政府或外国商业公司谋取利益的人(包括前美国政府雇员)来说,都释放了一个明确的信息——这种行为不仅有风险,也会产生难以承担的后果。”
