por En 2016, los Emiratos Árabes Unidos compraron y distribuyeron un exploit de iPhone en una campaña de vigilancia contra disidentes, activistas, líderes extranjeros y otras personas de interés. Un nuevo informe afirma que una empresa estadounidense desarrolló y vendió el truco.
Citando fuentes familiarizadas con el tema, el Revisión de tecnología del MIT El miércoles informa que la firma estadounidense de ciberseguridad Accuvant ha desarrollado y vendido un exploit de iMessage a mercenarios estadounidenses que trabajan para los Emiratos Árabes Unidos. La vulnerabilidad fue la herramienta principal del programa de espionaje “Karma” de Abu Dhabi y, según los informes, se utilizó contra cientos de objetivos.
No está claro cómo funcionó el vector de ataque de iMessage, pero Accuvant vendió el mismo exploit a varias empresas, según el informe. La compañía comercializó soluciones similares para el gobierno de EE. UU. Y otros países antes de ser asimilada por Optiv, una empresa de ciberseguridad que ya no se enfoca en el desarrollo de piratería informática.
Curiosamente, dos exalumnos de Accuvant fundaron Grayshift, la empresa responsable de la herramienta forense GrayKey para iPhone que alguna vez fue una de las favoritas de las fuerzas del orden.
El Departamento de Justicia de Estados Unidos dio a conocer más detalles sobre el caso “Karma” el martes, aunque Accuvant no se menciona en el comunicado. Según el Departamento de Justicia, la venta de exploits involucró a ex miembros de la comunidad de inteligencia de EE. UU. Y personal militar que luego fueron testigos de la operación de piratería de los EAU en violación de la ley de EE. UU. Al menos tres miembros del grupo continuaron trabajando para la nación soberana luego de ser informados de que sus acciones estaban clasificadas como “servicios de defensa” y requerían una licencia de la Dirección de Control de Comercio de Defensa del Departamento de Estado. Los mercenarios fueron multados con más de 1,68 millones de dólares por proporcionar servicios de piratería a una nación extranjera sin el permiso del Departamento de Estado.
“Este acuerdo es el primero de su tipo en una investigación sobre dos tipos distintos de actividad delictiva: la prestación de servicios de defensa controlados por exportaciones sin licencia en apoyo de la explotación de la red de información, y una empresa comercial que crea, respalda y opera sistemas. diseñado específicamente para permitir que otros accedan a datos sin autorización de computadoras en todo el mundo, incluido Estados Unidos ”, dijo el Fiscal General Interino Mark J. Lesko de la División de Seguridad Nacional del Departamento de Justicia. “Los piratas informáticos en comisión y aquellos que apoyan tales actividades en violación de la ley estadounidense deben esperar ser procesados por su conducta criminal”.
“Karma” fue dirigido por DarkMatter, una empresa privada de Emiratos Árabes Unidos que ha crecido hasta convertirse en la operación de piratería de los Emiratos Árabes Unidos, en parte gracias a la ayuda de entidades estadounidenses. Según los informes, el grupo llevó a cabo ataques contradictorios contra objetivos estadounidenses.
Las revelaciones de hoy se producen cuando el iOS de Apple se convierte en un objetivo cada vez más fructífero para los actores estatales. Más recientemente, se descubrió que el software espía Pegasus de NSO Group era utilizado por gobiernos autoritarios para espiar a periodistas, políticos, activistas y otras figuras públicas prominentes. Apple solucionó el lunes una vulnerabilidad utilizada por Pegasus para eludir la caja de arena de seguridad BlastDoor del gigante tecnológico para los mensajes.
