Ein Entwickler von Überwachungstechnologien, der Exploits für westliche Regierungen erstellte, wurde selbst Opfer eines mutmaßlichen Spionage-Software-Angriffs. Apple warnte Jay Gibson, dessen Name aus Angst vor Vergeltung geändert wurde, dass sein iPhone von Söldner-Spionage-Software angegriffen wurde. Dies markiert einen ungewöhnlichen Fall, in dem ein Experte für Cyberangriffe selbst ins Visier genommen wird.
Wichtige Erkenntnisse
- Ein erfahrener Exploit-Entwickler erhielt eine Apple-Benachrichtigung über einen gezielten Spionage-Software-Angriff.
- Der Betroffene arbeitete für Trenchant, einen Hersteller von Überwachungstechnologien für Regierungen.
- Weitere Entwickler von Spionage-Software wurden Berichten zufolge ebenfalls von Apple gewarnt.
- Der Vorfall könnte mit internen Ermittlungen bei Trenchant und einem vermuteten Leak zusammenhängen.
- Spionage-Software wird zunehmend gegen ein breiteres Spektrum von Zielen eingesetzt, nicht nur Kriminelle.
Unerwartete Warnung von Apple
Anfang des Jahres erhielt Jay Gibson, ein Softwareentwickler, eine beunruhigende Nachricht auf seinem persönlichen iPhone. Die Meldung von Apple besagte: „Apple hat einen gezielten Angriff von Söldner-Spionage-Software auf Ihr iPhone entdeckt.“ Gibson, der bis vor Kurzem für Trenchant, einen Hersteller von Hacking-Tools für westliche Regierungen, Überwachungstechnologien entwickelte, beschrieb seine Reaktion als „Panik“.
Am 5. März, dem Tag des Vorfalls, schaltete er sein Telefon aus und kaufte sofort ein neues Gerät. Er war verwirrt und verängstigt. Dieser Fall könnte der erste dokumentierte sein, bei dem jemand, der selbst Exploits und Spionage-Software entwickelt, zum Ziel eines solchen Angriffs wird.
Faktencheck
- Datum der Warnung: 5. März
- Opfer: Jay Gibson (Pseudonym), ehemaliger Entwickler bei Trenchant
- Angriffsziel: Persönliches iPhone
- Anbieter der Warnung: Apple
Arbeit an iOS Zero-Days
Bei Trenchant war Gibson an der Entwicklung von iOS Zero-Days beteiligt. Dies bedeutet, dass er Schwachstellen in Apples Software entdeckte und Tools entwickelte, um diese auszunutzen. Solche Schwachstellen sind dem Hersteller, in diesem Fall Apple, nicht bekannt und können Millionen von Dollar wert sein. Die Entwicklung dauert oft Monate.
Gibson äußerte gemischte Gefühle über die Situation. Er empfand es als „erbärmlich“ und gleichzeitig als „extreme Angst“, da man bei diesem Niveau nie wisse, was passieren könnte. Der Vorfall unterstreicht eine beunruhigende Entwicklung: Die Verbreitung von Zero-Days und Spionage-Software erfasst zunehmend mehr Opfergruppen.
„Ich habe gemischte Gefühle, wie erbärmlich das ist, und dann extreme Angst, denn wenn die Dinge dieses Niveau erreichen, weiß man nie, was passieren wird.“
Jay Gibson, betroffener Entwickler
Weitere betroffene Entwickler
Es scheint, dass Gibson kein Einzelfall ist. Laut drei Quellen, die direkte Kenntnis von solchen Fällen haben, haben in den letzten Monaten auch andere Entwickler von Spionage-Software und Exploits ähnliche Benachrichtigungen von Apple erhalten. Diese Warnungen deuteten ebenfalls auf gezielte Spionage-Software-Angriffe hin. Apple hat sich zu diesen Berichten bisher nicht geäußert.
Historisch gesehen haben Hersteller von Spionage-Software und Zero-Days behauptet, ihre Tools würden ausschließlich von staatlichen Kunden gegen Kriminelle und Terroristen eingesetzt. Doch seit einem Jahrzehnt dokumentieren Organisationen wie Citizen Lab und Amnesty International zahlreiche Fälle, in denen Regierungen diese Tools gegen Dissidenten, Journalisten, Menschenrechtsverteidiger und politische Gegner weltweit einsetzen.
Hintergrund: Spionage-Software
Spionage-Software ist eine Art von Schadsoftware, die heimlich auf einem Gerät installiert wird, um Daten zu sammeln oder Aktivitäten zu überwachen. Söldner-Spionage-Software wird oft von privaten Unternehmen entwickelt und an Regierungen verkauft. Sie nutzt sogenannte Zero-Day-Exploits, also unbekannte Schwachstellen in Software, um Geräte ohne Wissen des Benutzers zu kompromittieren.
Verdacht im Zusammenhang mit Leck-Ermittlungen
Zwei Tage nach der Apple-Warnung kontaktierte Gibson einen forensischen Experten. Eine erste Analyse seines Telefons ergab keine Anzeichen einer Infektion. Der Experte empfahl jedoch eine tiefere forensische Untersuchung, die das Senden eines vollständigen Geräte-Backups erfordert hätte. Dies lehnte Gibson aus Datenschutzgründen ab.
Ohne eine vollständige forensische Analyse ist es unmöglich zu wissen, wer Gibson ins Visier genommen hat oder warum. Gibson selbst vermutet einen Zusammenhang mit seinem Ausscheiden aus Trenchant. Er glaubt, das Unternehmen habe ihn zum Sündenbock für ein schädliches Leck interner Tools gemacht.
Konflikt bei Trenchant
Einen Monat vor der Apple-Warnung, als Gibson noch bei Trenchant arbeitete, wurde er nach London eingeladen. Dort wurde ihm von Peter Williams, dem damaligen Geschäftsführer von Trenchant, mitgeteilt, das Unternehmen verdächtige ihn der Doppelbeschäftigung. Er wurde suspendiert, und alle seine Arbeitsgeräte wurden für eine interne Untersuchung beschlagnahmt.
Gibson beschrieb den Moment als Schock. Er konnte nicht glauben, was er hörte. Etwa zwei Wochen später wurde er entlassen und erhielt eine Abfindungsvereinbarung. Williams lehnte es ab, die Ergebnisse der forensischen Analyse seiner Geräte zu erläutern und drängte Gibson zur Unterschrift.
- Vorwurf: Doppelbeschäftigung und Leck von Tools
- Konsequenz: Suspendierung und Entlassung
- Grund für den Verdacht: Ungeklärt, da Gibson keinen Zugang zu den fraglichen Tools hatte
Vorwürfe eines Lecks
Später erfuhr Gibson von ehemaligen Kollegen, dass Trenchant ihn verdächtigte, unbekannte Schwachstellen im Google Chrome-Browser geleakt zu haben – Tools, die Trenchant entwickelt hatte. Doch Gibson und drei seiner ehemaligen Kollegen versicherten, dass er keinen Zugang zu den Chrome Zero-Days von Trenchant hatte.
Die Teams bei Trenchant hatten strikt getrennten Zugang zu Tools, die nur für die Plattformen relevant waren, an denen sie arbeiteten. Gibson war ausschließlich im iOS-Team tätig. „Ich weiß, dass ich ein Sündenbock war. Ich war nicht schuldig. Es ist ganz einfach“, sagte Gibson. „Ich habe absolut nichts anderes getan, als mir den Arsch für sie aufzureißen.“
Diese Darstellung der Anschuldigungen, Gibsons Suspendierung und Entlassung wurde von drei ehemaligen Trenchant-Mitarbeitern bestätigt, die Kenntnis von den Details hatten. Sie alle blieben anonym, sind aber überzeugt, dass Trenchant im Fall Gibson falsch lag. Sara Banda, eine Sprecherin der Trenchant-Muttergesellschaft L3Harris, lehnte eine Stellungnahme ab.
