En enskild aktivist hjälpte till att vända utvecklingen mot NSO Group, ett av världens mest sofistikerade spionprogramföretag, som nu står inför en kaskad av rättsliga åtgärder och granskning i Washington över skadliga nya anklagelser om att dess programvara användes för att hacka regeringstjänstemän och dissidenter runt om i Washington. värld.
Allt började med ett mjukvarufel på hennes iPhone.
Ett ovanligt fel i NSO:s spionprogram gjorde det möjligt för den saudiska kvinnorättsaktivisten Loujain al-Hathloul och integritetsforskare att upptäcka en mängd bevis som tyder på att den israeliska spionprogramtillverkaren hade hjälpt till att hacka hennes iPhone, enligt sex personer inblandade i händelsen. En mystisk falsk bildfil i hennes telefon, som av misstag lämnats kvar av spionprogrammet, tipsade säkerhetsforskare.
Upptäckten på al-Hathlouls telefon förra året antände en storm av juridiska och statliga åtgärder som har satt NSO på defensiven. Hur hacket först avslöjades har beskrivits för första gången.
Al-Hathloul, en av Saudiarabiens mest framstående aktivister, är känd för att ha hjälpt till att leda en kampanj för att stoppa förbudet mot kvinnliga förare i Saudiarabien. Hon släpptes ur fängelset i februari 2021 anklagad för att ha skadat den nationella säkerheten.
Strax efter att hon släppts från fängelset fick aktivisten ett e-postmeddelande från Google som varnade henne för att statsstödda hackare hade försökt ta sig in i hennes Gmail-konto. Rädd för att hennes iPhone också hade blivit hackad kontaktade al-Hathloul den kanadensiska integritetsrättsgruppen Citizen Lab och bad dem att undersöka hennes enhet för bevis, sa tre personer nära al-Hathloul.
Efter sex månaders grävande i hennes iPhone-register gjorde Citizen Lab-forskaren Bill Marczak vad han beskrev som en aldrig tidigare skådad upptäckt: ett fel i övervakningsmjukvaran som implanterats på hennes telefon hade lämnat en kopia av den skadliga bildfilen, snarare än att ta bort sig själv, efter att stjäl budskapen från sitt mål.
Han sa att fyndet, datorkod som lämnats av attacken, gav direkta bevis som NSO byggde spionageverktyget.
"Det var en spelomvandlare", sa Marczak. "Vi fångade något som företaget trodde var omöjligt att fånga."
Upptäckten uppgick till en hackningsplan och ledde till att Apple Inc. underrättade tusentals andra statligt stödda hackningsoffer runt om i världen, enligt fyra personer med direkt kännedom om händelsen.
Citizen Lab och al-Hathlouls fynd låg till grund för Apples stämningsansökan mot NSO i november 2021, och den gav även eko i Washington, där amerikanska tjänstemän fick veta att NSO:s cybervapen användes för att spionera på amerikanska diplomater.
Under de senaste åren har spionprogramsindustrin haft en explosiv tillväxt när regeringar runt om i världen köper programvara för telefonhackning som tillåter den typ av digital övervakning som en gång var ett fåtal elitunderrättelsetjänsters ansvarsområde.
Under det senaste året har en rad avslöjanden från journalister och aktivister, inklusive det internationella journalistsamarbetet Pegasus Project, knutit spionprogramindustrin till kränkningar av mänskliga rättigheter, vilket underblåst en större granskning av NSO och dess kollegor.
Men säkerhetsforskare säger att upptäckten av al-Hathloul var den första som gav en plan för en kraftfull ny form av cyberspionage, ett hackverktyg som penetrerar enheter utan någon interaktion från användaren, vilket ger de mest konkreta bevisen hittills för vapnets omfattning.
I ett uttalande sa en talesman för NSO att företaget inte använder de hackverktyg som det säljer – "regering, brottsbekämpande och underrättelsemyndigheter gör det." Talesmannen svarade inte på frågor om huruvida dess programvara användes för att rikta in sig på al-Hathloul eller andra aktivister.
Men talesmannen sa att organisationerna som gjorde dessa påståenden var "politiska motståndare till cyberintelligens", och föreslog att några av anklagelserna var "kontraktsmässigt och tekniskt omöjliga." Talesmannen avböjde att ge detaljer, med hänvisning till klientens sekretessavtal.
Utan att utveckla detaljerna sa företaget att det hade en etablerad procedur för att undersöka påstådd missbruk av sina produkter och att de hade stängt av kunder på grund av mänskliga rättigheter.
Al-Hathloul hade goda skäl att vara misstänksam – det var inte första gången hon sågs.
En undersökning från Reuters 2019 avslöjade att hon 2017 var måltavla av ett team av amerikanska legosoldater som övervakade dissidenter på uppdrag av Förenade Arabemiraten under ett hemligt program kallat Project Raven, som kategoriserade henne som ett "nationellt säkerhetshot" och hackade in hennes iPhone .
Hon arresterades och fängslades i Saudiarabien i nästan tre år, där hennes familj säger att hon torterades och förhördes med hjälp av information som stulits från hennes enhet. Al-Hathloul släpptes i februari 2021 och är för närvarande förbjudet att lämna landet.
Reuters har inga bevis för att NSO var inblandad i det tidigare hacket.Al-Hathlouls erfarenhet av övervakning och fängelse gjorde henne fast besluten att samla bevis som kunde användas mot dem som använder dessa verktyg, sa hennes syster Lina al-Hathloul. "Hon känner att hon har ett ansvar att fortsätta den här kampen eftersom hon vet att hon kan förändra saker."
Den typ av spionprogram Citizen Lab som upptäckts på al-Hathlouls iPhone är känd som ett "nollklick", vilket betyder att användaren kan bli infekterad utan att någonsin klicka på en skadlig länk.
Zero click malware tar vanligtvis bort sig själv när en användare infekteras, vilket lämnar forskare och teknikföretag utan ett prov av vapnet att studera. Det kan göra att samla in bevis för iPhone-hack nästan omöjligt, säger säkerhetsforskare.
Men den här gången var annorlunda.
Mjukvarufelet lämnade en kopia av spionprogrammet gömt på al-Hathlouls iPhone, vilket gjorde att Marczak och hans team kunde få en virtuell ritning av attacken och bevis på vem som hade byggt den.
"Här hade vi skalet från brottsplatsen," sa han.
Marczak och hans team upptäckte att spionprogrammet delvis fungerade genom att skicka bildfiler till al-Hathloul genom ett osynligt textmeddelande.
Bildfilerna lurade iPhone att ge tillgång till hela dess minne, kringgå säkerheten och tillåta installation av spionprogram som skulle stjäla en användares meddelanden.
Upptäckten av Citizen Lab gav solida bevis för att cybervapnet byggdes av NSO, sa Marczak, vars analys bekräftades av forskare från Amnesty International och Apple, enligt tre personer med direkt kunskap om situationen.
Spionprogrammet som hittats på al-Hathlouls enhet innehöll kod som visade att det kommunicerade med servrar som Citizen Lab tidigare identifierat som kontrollerade av NSO, sa Marczak. Citizen Lab döpte denna nya iPhone-hackningsmetod till "ForcedEntry". Forskarna gav sedan provet till Apple i september förra året.
Att ha en ritning av attacken i handen gjorde det möjligt för Apple att fixa den kritiska sårbarheten och fick dem att meddela tusentals andra iPhone-användare som var måltavla av NSO-programvara och varnade dem för att de hade blivit måltavlor av "statssponsrade angripare".
Det var första gången Apple tog detta steg.
Medan Apple fastställde att de allra flesta var inriktade på NSO:s verktyg, upptäckte säkerhetsforskare också spionprogramvara från en andra israelisk leverantör, QuaDream, som utnyttjade samma iPhone-sårbarhet, rapporterade Reuters tidigare denna månad. QuaDream har inte svarat på upprepade förfrågningar om kommentarer.
Offren sträckte sig från oliktänkande mot Thailands regering till människorättsaktivister i El Salvador.
Med hänvisning till fynden som erhållits från al-Hathlouls telefon stämde Apple NSO i november i federal domstol och påstod att spionprogramtillverkaren hade brutit mot amerikanska lagar genom att bygga produkter som är designade "för att rikta in sig på, attackera och skada Apple-användare, Apple-produkter och Apple." Apple krediterade Citizen Lab för att ha tillhandahållit "teknisk information" som användes som bevis för stämningen, men avslöjade inte att den ursprungligen erhölls från al-Hathlouls iPhone.
NSO sa att dess verktyg har hjälpt brottsbekämpning och har räddat "tusentals liv." Företaget sa att några av anklagelserna riktade mot NSO-programvaran inte är trovärdiga, men avböjde att utveckla specifika påståenden med hänvisning till sekretessavtal med sina kunder.
Bland dem som Apple varnade fanns minst nio anställda i det amerikanska utrikesdepartementet i Uganda som var måltavla med NSO-mjukvara, enligt personer som är bekanta med saken, vilket tände en ny våg av kritik mot företaget i Washington.
I november placerade det amerikanska handelsdepartementet NSO på en svartlista för handel, vilket hindrade amerikanska företag från att sälja det israeliska företagets mjukvaruprodukter, vilket hotade dess leveranskedja.
Handelsdepartementet sa att åtgärden var baserad på bevis för att NSO:s spionprogram användes för att rikta in sig på "journalister, affärsmän, aktivister, akademiker och ambassadarbetare."
I december uppmanade den demokratiske senatorn Ron Wyden och 17 andra lagstiftare finansdepartementet att sanktionera NSO Group och tre andra utländska övervakningsföretag som de säger hjälpte auktoritära regeringar att begå brott mot mänskliga rättigheter.
"När allmänheten såg att du blev hackad av amerikanska regeringsfigurer, så rörde det helt klart nålen", sa Wyden i en intervju, med hänvisning till inriktningen av amerikanska tjänstemän i Uganda.
Lina al-Hathloul, Loujains syster, sa att de ekonomiska slagen mot NSO kan vara det enda som kan avskräcka spionprogramsindustrin. "Det träffade dem där det gör ont", sa hon.
bbabo.Net