三名變身網絡雇傭軍的前美國情報官員認罪:內部威脅案例研究
美國司法部(DoJ)于9月14日宣布與兩名美國公民和一名前美國公民達成延期起訴協議,據悉,這3名被告都是美國情報界或美國軍方的前成員,分別為49歲的Marc Baier、34歲的Ryan Adams以及40歲的Daniel Gericke。他們作為阿聯酋的網絡雇傭兵,負責將受保護的信息(ITAR/AECA)轉移到阿聯酋;協助阿聯酋開發蘋果的操作系統;并實施了危害美國實體的網絡操作。
根據法庭文件顯示,這3人在一家總部位于阿聯酋的公司(在法庭文件中被識別為“UAE-CO”,并被認為是DarkMatter公司)擔任高級管理人員。該公司主要負責為阿聯酋政府的國家電子安全局(NESA,相當于美國的NSA)提供計算機網絡開發支持。
特別值得注意的一點是,這些受雇的黑客還被指控為DarkMatter創建復雜的“零點擊”(zero-click)漏洞,這些漏洞隨后被武器化以非法收集美國公司在線賬戶的訪問憑據,并未經授權地訪問世界各地的手機。
“Raven”項目
2019年1月,路透社發表了一篇關于DarkMatter招募外國網絡專家以開發防御性和進攻性網絡武器的深度曝光。這些專家開展了“Raven”項目,該項目除了支持阿聯酋針對恐怖分子和國家敵人的行動外,還針對持不同意見的人。與上述相關的路透社報道清楚地表明,創建Raven是為了支持阿聯酋國家電子安全局(NESA)的目標。
此次法庭文件證實了當時路透社曝光的大部分內容,特別是多個美國實體(除Apple外,其他身份不明)和個人(包括記者)均淪為NESA的攻擊目標。
雖然沒有提及以色列網絡安全公司NSO Group,但法庭文件清楚闡述了原始“零點擊”是如何從外國實體購買,然后由DarkMatter團隊修改的。
事實上,上個月,公民實驗室的研究人員就發現黑客在使用所謂的“零點擊”攻擊,它無需任何用戶互動就能感染受害者的設備。據悉,零點擊利用了蘋果iMessage中一個前所未知的安全漏洞,該漏洞被利用來將NSO Group開發的PegASUS間諜軟件推送到活動人士的手機中。
已知阿聯酋是NSO Group的客戶,這就使得針對Apple OS設備的阿聯酋網絡情報行動極有可能使用NSO漏洞或其早期版本。本周,Apple在9月13日的緊急補丁中緩解了NSO漏洞。
教訓和經驗
法庭文件以及曝光的所有企業CISO在阿聯酋的運作方式——特別是網絡安全行業的人員或與負責保護受控技術的實體相關的人員——還是存在很多值得我們學習的地方。
三人供認的第一項指控涉及共享屬于ITAR/AECA協議的信息。該信息以未經授權的方式與外國人(他們在阿聯酋的同事)共享。
這三人,可能還有其他人,最初在與外國人(此處指阿聯酋人)和實體分享由其雇主Cyberpoint International(一家位于馬里蘭州巴爾的摩的網絡安全公司)開發和使用的受控技術時,是受到美國國務院頒發的技術援助協議(TAA)保護的。值得注意的是,CyberPoint顯然遵守規則,并獲得了美國政府的授權,可以與阿聯酋政府——特別是NESA——分享他們的專業知識。先前確定的Raven項目完全屬于TAA的權力范圍。
喪失TAA保護罩
一旦這三個人離開 Cyberpoint 并在NESA網絡情報行動中為DarkMatter工作,他們便不再享有美國政府的保護和授權。事實上,有些人可能會爭辯說,這些人在離開時有效地將技術知識和關系善意地從Cyberpoint轉移到了DarkMatter。
這就引出了一個問題,是否存在一個退出流程來確保Cyberpoint的知識產權受到保護,而且個人是否清楚在沒有TAA保護的情況下應該干什么,不應該干什么?
最初,Raven項目由Cyberpoint公司運營,Marc Baier正是Raven的項目經理,Ryan Adam和Daniel Gericke都是該項目的運營商。2015年,阿聯酋政府將Raven項目轉交給DarkMatter,而那些加入DarkMatter的美國人只能背叛道德底線,從此代表阿聯酋政府做他們要求的事情。
跨越法律和道德界限
在這些人融入DarkMatter之后,他們的行為跨越了進行計算機網絡開發操作和協助阿聯酋攻擊已識別實體的法律界限。法庭文件毫不含糊,指控三人使用了“非法、欺詐和犯罪手段,包括使用先進的秘密黑客系統,利用從美國和其他地方獲得的計算機漏洞,未經授權地訪問美國和其他地方受保護的計算機,并從世界各地的受害者處非法獲取信息、材料、文件、記錄、數據和個人身份信息,包括密碼、訪問設備、登錄憑據和身份驗證令牌等。”
三人的罪行包括對目標進行監視,以及成功嘗試讓社交工程人員提取所需信息以允許對目標實體進行未經授權地訪問。這些人的所作所為不但觸及了法律底線,還違反了道德底線——他們代表外國勢力利用在本國服務中獲取的知識對抗本國的目標。
哥倫比亞特區代理美國檢察官Channing D. Phillips表示,“如果不受監管,攻擊性網絡能力的擴散會破壞全球的隱私和安全。根據我們的《國際武器貿易條例》規定,美國將確保美國人僅根據適當的許可和監督提供支持此類能力的防御服務。作為前美國政府雇員的美國人身份當然不是他們進行攻擊性網絡活動的免費通行證。”
據悉,他們為阿聯酋政府工作的報酬頗豐——Baier 750000美元;Adams 600000美元;Gericke 350000美元——不過,作為他們法庭協議的一部分,所有這些都將被沒收。他們的延期認罪協議為期三年,還附有各種限制和禁令,但重點是,當協議到期時,如果三人配合調查并完成了協議中的所有要求,他們將不被起訴。
CISO可以將此案例研究納入所有內部威脅/內部風險管理簡報,尤其是來自FBI網絡部助理主任Bryan Vorndran的告誡,“FBI將全面調查從非法網絡犯罪活動中獲利的個人和公司。這對于任何曾考慮利用網絡空間進出口管制信息為外國政府或外國商業公司謀取利益的人(包括前美國政府雇員)來說,都釋放了一個明確的信息——這種行為不僅有風險,也會產生難以承擔的后果。”
