El Departamento de Justicia multa a los piratas informáticos de la NSA que ayudaron a los Emiratos Árabes Unidos en los ataques a los disidentes

El Departamento de Justicia anunció un controvertido acuerdo con tres ex agentes de inteligencia de EE. UU. que les permite pagar una multa después de violar múltiples leyes a través de su piratería informática ofensiva para el gobierno represor de los Emiratos Árabes Unidos.

El Departamento de Justicia dijo que Marc Baier, de 49 años, Ryan Adams, de 34, y Daniel Gericke, de 40 años, «establecieron un acuerdo de enjuiciamiento diferido» que les permite evitar sentencias de prisión a cambio de pagar $1,685,000 «para resolver un problema». Investigación del Departamento de Justicia sobre violaciones de las leyes de control de exportaciones, fraude informático y fraude de dispositivos de acceso de EE. UU.

Los tres formaban parte del Proyecto Raven, un esfuerzo de los Emiratos Árabes Unidos para espiar a activistas de derechos humanos, políticos y disidentes que se oponen al gobierno. Los tres incluso piratearon empresas estadounidenses, creando dos exploits que se usaron para ingresar a los teléfonos inteligentes.

Tanto Reuters como The Intercept llevaron a cabo una investigación en profundidad sobre el trabajo del Proyecto Raven y una empresa de seguridad cibernética de los Emiratos Árabes Unidos llamada DarkMatter después de que los miembros del equipo expresaran su preocupación sobre el tipo de piratería que los funcionarios de los Emiratos Árabes Unidos les pedían.

A pesar de las acusaciones enumeradas en el expediente judicial, el DOJ dijo que Baier, Adams y Gericke, todos exempleados de la NSA o miembros del ejército de los EE. UU., llegaron a un acuerdo el 7 de septiembre para pagar las multas además de otras restricciones en su trabajo.

Baier se verá obligado a pagar $750,000, Adams pagará $600,000 y Gericke pagará $335,000 durante un período de tres años. Los tres también se verán obligados a cooperar con el FBI y el DOJ en otras investigaciones y renunciar a cualquier autorización de seguridad extranjera o estadounidense.

También se les prohíbe permanentemente tener futuras autorizaciones de seguridad de los EE. UU. y se les restringirá cualquier trabajo que implique la explotación de redes informáticas, trabajar para ciertas organizaciones de los EAU, exportar artículos de defensa o brindar servicios de defensa.

El Departamento de Justicia dijo que los tres fueron gerentes sénior en una empresa de los Emiratos Árabes Unidos de 2016 a 2019 y continuaron pirateando para los Emiratos Árabes Unidos a pesar de que les dijeron que estaban violando las reglas que dicen que las personas necesitan una licencia de la Dirección de Controles Comerciales de Defensa del Departamento de Estado para hacer ese trabajo.

«Estos servicios incluyeron la provisión de apoyo, dirección y supervisión en la creación de sofisticados sistemas de recopilación de inteligencia y piratería informática de ‘cero clic’, es decir, uno que podría comprometer un dispositivo sin ninguna acción por parte del objetivo», explicó el Departamento de Justicia. en una oracion.

«Empleados de UAE CO cuyas actividades fueron supervisadas por los acusados ​​y conocidas por ellos aprovecharon estos exploits de cero clic para obtener y usar ilegalmente credenciales de acceso para cuentas en línea emitidas por compañías estadounidenses, y para obtener acceso no autorizado a computadoras, como teléfonos móviles, en todo el mundo». mundo, incluso en los Estados Unidos».

El fiscal general adjunto interino Mark Lesko de la División de Seguridad Nacional del Departamento de Justicia dijo que el acuerdo era una «resolución primera en su tipo» de una investigación sobre dos tipos distintos de actividad delictiva: proporcionar servicios de defensa controlados por exportaciones sin licencia en apoyo de computadoras explotación de redes y una empresa comercial que crea, respalda y opera sistemas diseñados específicamente para permitir que otros accedan a datos sin autorización desde computadoras en todo el mundo, incluso en los Estados Unidos.

“Los piratas informáticos a sueldo y aquellos que de otro modo apoyan tales actividades en violación de la ley de los EE. UU. deben esperar ser procesados ​​por su conducta criminal”, dijo Lesko.

El fiscal federal interino Channing Phillips señaló que la proliferación de capacidades cibernéticas ofensivas socava la privacidad y la seguridad en todo el mundo cuando no se regula.

Phillips afirmó que el gobierno de los EE. UU. estaba tratando de garantizar que los ciudadanos de los EE. UU. solo brinden servicios de defensa «en apoyo de tales capacidades de conformidad con las licencias y la supervisión adecuadas». A pesar de la falta de sentencias de prisión, Phillips dijo que el acuerdo con los tres piratas informáticos era evidencia de que el «estado de una persona como ex empleado del gobierno de EE. UU. ciertamente no les da un pase libre en ese sentido».

Otros funcionarios del gobierno reiteraron ese mensaje, advirtiendo a otros ex piratas informáticos del gobierno de EE. UU. que eviten usar sus habilidades para beneficiar a gobiernos extranjeros.

Los tres ignoraron las órdenes del gobierno de EE. UU. de cumplir con las leyes de control de exportaciones de EE. UU., obtener la aprobación previa de una agencia del gobierno de EE. UU. antes de divulgar información sobre «análisis criptográfico y/o explotación o ataque de redes informáticas», y no «apuntar o explotar a ciudadanos estadounidenses». , residentes y empresas».

El DOJ agregó que durante un período de 18 meses, los tres crearon dos sistemas similares de recopilación de inteligencia y piratería informática de «cero clic» que aprovecharon los servidores en los EE. UU. pertenecientes a una empresa de tecnología estadounidense «para obtener acceso remoto no autorizado a cualquiera de los decenas de millones de teléfonos inteligentes y dispositivos móviles que utilizan un sistema operativo proporcionado por la empresa estadounidense.

«Los acusados ​​y otros empleados del CIO se refirieron coloquialmente a estos dos sistemas como ‘KARMA’ y ‘KARMA 2′», explicó el Departamento de Justicia.

«Los empleados del CIO cuyas actividades fueron supervisadas por los demandados y/o conocidas por ellos utilizaron los sistemas KARMA para obtener, sin autorización, las credenciales de inicio de sesión de las personas específicas y otros tokens de autenticación (es decir, códigos digitales únicos emitidos para usuarios autorizados) emitidos por empresas estadounidenses, incluidos proveedores de correo electrónico, proveedores de almacenamiento en la nube y empresas de redes sociales. Los empleados del CIO luego usaron estos dispositivos de acceso para, nuevamente sin autorización, iniciar sesión en las cuentas del objetivo para robar datos, incluso de servidores dentro de los Estados Unidos».

La empresa se vio obligada a crear Karma 2 después de que la empresa estadounidense actualizara su sistema de teléfonos inteligentes para protegerse contra Karma 1. En 2017, el FBI intervino nuevamente y le dijo a la empresa estadounidense que Karma 2 se estaba utilizando contra ellos. Incluso después de otra actualización, ambos exploits fueron efectivos contra dispositivos más antiguos vendidos por la empresa.

Chris Bing, reportero de Reuters señalado en Twitter que Gericke se desempeñó anteriormente como CIO de ExpressVPN, la VPN más grande del mercado.

Casey Ellis, CTO de Bugcrowd, dijo que creía que 1,68 millones de dólares era una multa suficiente para molestar a los involucrados y disuadir a otros que consideraran hacer lo mismo.

«Sin embargo, el hecho de que se liquidó significa que solo podemos especular sobre las acciones que se sopesaron aquí», dijo Ellis. «A medida que el valor y el uso de la capacidad cibernética ofensiva se vuelven más obvios y las líneas de las relaciones internacionales continúan cambiando, esperaría ver más de estos resultados ‘ligeramente extraños’ en el futuro».

El CTO de BreachQuest, Jake Williams, agregó que si bien es obvio que el Proyecto Raven cruzó un límite legal, lo que está menos claro es si las personas estadounidenses involucradas sabían que el proyecto se usaría para atacar a otras personas y organizaciones estadounidenses.

«Dado que la misión original estaba programada como antiterrorista, una misión que se define de manera muy vaga por su naturaleza, era previsible que ese podría ser el resultado final. Las segundas empresas y personas estadounidenses fueron objetivo del programa, cada persona estadounidense involucrada probablemente sabía que era solo cuestión de tiempo antes de que se tomaran medidas legales», dijo Williams.

«En cuanto a las multas y restricciones, es difícil evaluar si fueron apropiadas sin conocer la situación completa. Pero tomadas al pie de la letra, parecen suficientes para disuadir futuros comportamientos de este tipo y ese es realmente el objetivo. El gobierno de EE. UU. ciertamente quería para evitar cualquier juicio, lo que indudablemente implicaría el uso de la Ley de Protección de Secretos de Estado, algo que nunca le cae bien al público».

Deja un comentario