Đầu năm nay, một nhà phát triển đã bị sốc trước thông báo xuất hiện trên điện thoại cá nhân của anh ta: “Apple đã phát hiện một cuộc tấn công phần mềm gián điệp đánh thuê có chủ đích nhằm vào iPhone của bạn”.
Jay Gibson, người đã yêu cầu chúng tôi không sử dụng tên thật của anh ấy vì lo ngại bị trả thù, nói với TechCrunch: “Tôi rất hoảng sợ.
Gibson, người cho đến gần đây đã xây dựng các công nghệ giám sát cho nhà sản xuất công cụ hack Trench của chính phủ phương Tây, có thể là trường hợp đầu tiên được ghi nhận về việc ai đó xây dựng các công cụ khai thác và phần mềm gián điệp lại bị phần mềm gián điệp nhắm tới.
“Chuyện quái gì đang xảy ra vậy? Tôi thực sự không biết phải nghĩ gì về nó,” Gibson nói và nói thêm rằng anh đã tắt điện thoại và cất nó đi vào ngày hôm đó, ngày 5 tháng 3. “Tôi ngay lập tức đi mua một chiếc điện thoại mới. Tôi đã gọi cho bố tôi. Đó là một mớ hỗn độn. Đó là một mớ hỗn độn lớn.”
Tại Trenchny, Gibson đã làm việc để phát triển các lỗ hổng zero-day trên iOS, nghĩa là tìm ra các lỗ hổng bảo mật và phát triển các công cụ có khả năng khai thác chúng mà nhà cung cấp sản xuất phần cứng hoặc phần mềm bị ảnh hưởng, chẳng hạn như Apple, không biết.
Anh nói với TechCrunch: “Tôi có nhiều cảm xúc lẫn lộn về việc điều này thật thảm hại và sau đó là nỗi sợ hãi tột độ vì một khi mọi thứ đạt đến mức này, bạn sẽ không bao giờ biết chuyện gì sẽ xảy ra”.
Nhưng cựu nhân viên của Trench có thể không phải là nhà phát triển khai thác duy nhất bị phần mềm gián điệp nhắm tới. Theo ba nguồn có kiến thức trực tiếp về những trường hợp này, trong vài tháng qua đã có những nhà phát triển phần mềm gián điệp và khai thác khác đã nhận được thông báo từ Apple cảnh báo họ rằng họ là mục tiêu của phần mềm gián điệp.
Apple đã không trả lời yêu cầu bình luận từ TechCrunch.
Liên hệ với chúng tôi
Bạn có thêm thông tin về vụ rò rỉ công cụ hack Trench không? Hay về câu chuyện của nhà phát triển này? Từ một thiết bị không hoạt động, bạn có thể liên hệ với Lorenzo Franceschi-Bicchierai một cách an toàn trên Signal theo số +1 917 257 1382 hoặc qua Telegram, Keybase và Wire @lorenzofb hoặc qua email.
Việc nhắm mục tiêu vào iPhone của Gibson cho thấy sự gia tăng của zero-day và phần mềm gián điệp đang bắt đầu gài bẫy nhiều loại nạn nhân hơn.
Các nhà sản xuất phần mềm gián điệp và zero-day trước đây từng tuyên bố rằng các công cụ của họ chỉ được triển khai bởi các khách hàng chính phủ đã được kiểm duyệt để chống lại tội phạm và khủng bố. Nhưng trong thập kỷ qua, các nhà nghiên cứu tại nhóm quyền kỹ thuật số Citizen Lab, Tổ chức Ân xá Quốc tế và các tổ chức khác của Đại học Toronto đã phát hiện hàng chục trường hợp chính phủ sử dụng những công cụ này để nhắm mục tiêu vào những người bất đồng chính kiến, nhà báo, người bảo vệ nhân quyền và các đối thủ chính trị trên toàn thế giới.
Các trường hợp công khai gần nhất về việc các nhà nghiên cứu bảo mật bị tin tặc nhắm tới xảy ra vào năm 2021 và 2023, khi tin tặc của chính phủ Triều Tiên bị phát hiện nhắm mục tiêu vào các nhà nghiên cứu bảo mật làm việc trong lĩnh vực nghiên cứu và phát triển lỗ hổng bảo mật.
Nghi phạm trong cuộc điều tra rò rỉ
Hai ngày sau khi nhận được thông báo về mối đe dọa của Apple, Gibson đã liên hệ với một chuyên gia pháp y có nhiều kinh nghiệm điều tra các cuộc tấn công phần mềm gián điệp. Sau khi thực hiện phân tích ban đầu về điện thoại của Gibson, chuyên gia không tìm thấy bất kỳ dấu hiệu lây nhiễm nào, nhưng vẫn đề nghị phân tích pháp y sâu hơn về điện thoại của nhà phát triển khai thác.
Một cuộc phân tích pháp y sẽ đòi hỏi phải gửi cho chuyên gia một bản sao lưu hoàn chỉnh của thiết bị, điều mà Gibson cho biết anh không thấy thoải mái.
Chuyên gia nói với TechCrunch: “Các trường hợp gần đây ngày càng khó khăn hơn về mặt pháp lý và một số chúng tôi không tìm thấy gì. Cũng có thể cuộc tấn công chưa thực sự được gửi đầy đủ sau giai đoạn đầu, chúng tôi không biết”.
Nếu không có phân tích pháp y đầy đủ về điện thoại của Gibson, lý tưởng nhất là nơi các nhà điều tra tìm thấy dấu vết của phần mềm gián điệp và ai đã tạo ra nó, thì không thể biết tại sao anh ta lại bị nhắm tới hoặc ai đã nhắm vào anh ta.
Nhưng Gibson nói với TechCrunch rằng anh ấy tin rằng thông báo về mối đe dọa mà anh ấy nhận được từ Apple có liên quan đến hoàn cảnh anh ấy rời Trentry, nơi anh ấy tuyên bố rằng công ty đã chỉ định anh ấy làm vật tế thần cho vụ rò rỉ gây thiệt hại các công cụ nội bộ.
Apple gửi thông báo về mối đe dọa cụ thể khi có bằng chứng cho thấy một người là mục tiêu của một cuộc tấn công phần mềm gián điệp đánh thuê. Loại công nghệ giám sát này thường được cài đặt từ xa và vô hình trên điện thoại của ai đó mà họ không hề hay biết bằng cách khai thác các lỗ hổng trong phần mềm điện thoại, những cách khai thác có thể trị giá hàng triệu đô la và có thể mất nhiều tháng để phát triển. Các cơ quan thực thi pháp luật và tình báo thường có thẩm quyền pháp lý để triển khai phần mềm gián điệp vào các mục tiêu chứ không phải bản thân những người tạo ra phần mềm gián điệp.
Sara Banda, người phát ngôn của L3Harris, công ty mẹ của Trench, đã từ chối bình luận về câu chuyện này khi được TechCrunch liên hệ trước khi xuất bản.
Một tháng trước khi nhận được thông báo đe dọa của Apple, khi Gibson vẫn đang làm việc tại Trentry, anh cho biết mình được mời đến văn phòng của công ty ở London để tham dự một sự kiện xây dựng đội nhóm.
Khi Gibson đến vào ngày 3 tháng 2, anh ấy ngay lập tức được triệu tập vào phòng họp để nói chuyện qua cuộc gọi điện video với Peter Williams, tổng giám đốc lúc đó của Trench, người được biết đến trong công ty với cái tên “Doogie”. (Năm 2018, nhà thầu quốc phòng L3Harris đã mua lại các nhà sản xuất zero-day Azimuth và Linchpin Labs, hai công ty khởi nghiệp chị em đã sáp nhập để trở thành Trench.)
Williams nói với Gibson rằng công ty nghi ngờ anh ta đã làm việc gấp đôi và do đó đã đình chỉ anh ta. Tất cả các thiết bị làm việc của Gibson sẽ bị tịch thu và phân tích như một phần của cuộc điều tra nội bộ về các cáo buộc. Williams không thể đưa ra bình luận.
“Tôi bị sốc. Tôi thực sự không biết phải phản ứng thế nào vì tôi thực sự không thể tin vào những gì mình đang nghe”, Gibson nói và giải thích rằng một nhân viên CNTT của Trench sau đó đã đến căn hộ của anh ta để lấy thiết bị do công ty anh ta cấp.
Khoảng hai tuần sau, Gibson cho biết Williams đã gọi điện và nói với anh rằng sau cuộc điều tra, công ty sẽ sa thải anh ta và đề nghị anh ta một thỏa thuận dàn xếp và thanh toán. Gibson cho biết Williams từ chối giải thích kết quả phân tích pháp y về thiết bị của anh ấy và về cơ bản nói với anh ấy rằng anh ấy không có lựa chọn nào khác ngoài việc ký thỏa thuận và rời công ty.
Cảm thấy mình không còn lựa chọn nào khác, Gibson cho biết anh đã đồng ý với lời đề nghị và ký hợp đồng.
Gibson nói với TechCrunch rằng sau đó anh đã nghe được từ các đồng nghiệp cũ rằng Trenchny nghi ngờ anh đã rò rỉ một số lỗ hổng chưa xác định trong trình duyệt Chrome của Google, những công cụ mà Trench đã phát triển. Tuy nhiên, Gibson và ba đồng nghiệp cũ của anh ấy nói với TechCrunch rằng anh ấy không có quyền truy cập vào zero-days trên Chrome của Trchann, vì anh ấy là thành viên của nhóm phát triển độc quyền zero-day trên iOS và phần mềm gián điệp. Người dân cho biết, các nhóm Trench chỉ có quyền truy cập được phân chia nghiêm ngặt vào các công cụ liên quan đến nền tảng mà họ đang làm việc.
Gibson nói: “Tôi biết tôi là vật tế thần. Tôi không có tội. Chuyện đó rất đơn giản”. “Tôi hoàn toàn không làm gì khác ngoài việc làm việc cật lực cho họ.”
Câu chuyện về những cáo buộc chống lại Gibson và việc đình chỉ và sa thải sau đó của anh ta đã được chứng thực một cách độc lập bởi ba cựu nhân viên có kiến thức của Trench.
Hai trong số các cựu nhân viên khác của Trench cho biết họ biết chi tiết về chuyến đi London của Gibson và biết về nghi ngờ rò rỉ các công cụ nhạy cảm của công ty.
Tất cả đều yêu cầu không nêu tên nhưng tin rằng Trench đã nhầm.
