in

Antiguas agencias de inteligencia de EE. UU. Pagan 1,6 millones de dólares para piratear gobiernos extranjeros


Antiguas agencias de inteligencia de EE. UU. Pagan 1,6 millones de dólares para piratear gobiernos extranjeros

El gobierno de EE. UU. Celebró un Acuerdo de enjuiciamiento diferido (DPA) con tres ex funcionarios de inteligencia para investigar los cargos penales relacionados con su oferta de servicios de piratería a un gobierno extranjero.

Entre 2016 y 2019 Marc Baier, Ryan Adams y Daniel Gericke prestaron sus servicios a una empresa que realizaba sofisticadas operaciones de piratería para el gobierno de los Emiratos Árabes Unidos (EAU) contra diversos objetivos.

«Estos servicios incluyeron la prestación de asistencia, orientación y supervisión en la creación de sofisticados sistemas de recopilación de información y piratería informática ‘sin hacer clic», es decir, un sistema que podría comprometer un dispositivo sin hacer lo suyo «, el Departamento de Justicia de EE. UU.

Ex Comunidad de Inteligencia de EE. UU. (USIC) o personal militar de EE. UU., Los tres acordaron pagar multas de $ 1,685,000 por no ser criminales por violar las leyes de control de exportaciones, fraude informático y fraude de dispositivos de acceso de EE. UU.

Aporte significativo de EE. UU.

Después de dejar el gobierno de Estados Unidos, el trío se unió a la gerencia de una empresa en los Emiratos Árabes Unidos, donde coordinaron operaciones de piratería contra varios objetivos.

También supervisaron la creación de dos plataformas de piratería y espionaje llamadas KARMA y KARMA 2 que se utilizan para comprometer los iPhones que pertenecen a objetivos de interés para los Emiratos Árabes Unidos.

En 2019, los periodistas de Reuters revelaron que las dos plataformas de piratería estaban siendo utilizadas por un equipo secreto de piratería de los Emiratos Árabes Unidos, cuyo nombre en código era Project Raven, operado a través de una empresa con sede en la UA llamada DarkMatter.

La unidad tenía más de una docena de ex agencias de inteligencia estadounidenses que ayudaron a los Emiratos Árabes Unidos a “monitorear a otros gobiernos, militantes y activistas de derechos humanos críticos con las monarquías”.

KARMA y su sucesor se basaron en exploits de «cero clic» (no se requiere interacción del usuario), lo que hizo posible recopilar información confidencial que permitiría el acceso a las cuentas de destino (correo electrónico, almacenamiento en la nube, red social) para robar datos.

Según un informe de Patrick Howell O’Neill de MIT Technology Review, la vulnerabilidad que la plataforma KARMA explotó para tomar el control total del iPhone de un objetivo estaba en la aplicación iMessage de Apple y fue creada por una compañía estadounidense llamada Accuvant (fusionada hace unos años con lo que ahora se conoce como Optiv).

Sin licencia para hackear

Según el Departamento de Justicia, el trabajo de los tres acusados ​​para la empresa de los Emiratos Árabes Unidos constituía un «servicio de defensa» en virtud del Reglamento de Tráfico Internacional de Armas (ITAR).

En este contexto, la actividad del imputado requirió la aprobación de la Dirección de Controles Comerciales de Defensa (DDTC) del Departamento de Estado. Aunque Baier, Adams y Gericke fueron informados sobre esto varias veces, continuaron brindando sus servicios sin una licencia.

La DPA es la primera de su tipo y busca limitar “la proliferación de capacidades cibernéticas ofensivas en todo el mundo que socavan la protección y la seguridad de los datos”. En pocas palabras, desaconseja la piratería para actividades de alquiler sin una licencia conforme a ITAR.

Según los términos del acuerdo, Baier, Adams y Gericke deben pagar $ 750,000, $ 600,000 y $ 335,000, respectivamente, durante un período de tres años.

Aparte de esa multa, los tres también pierden cualquier autorización de seguridad extranjera o estadounidense y se les prohíbe el empleo que involucre operaciones de explotación de redes informáticas (CKD), también conocidas como técnicas de piratería o CKD.

Daniel Gericke es el director de información de ExpressVPN, uno de los proveedores de VPN más grandes. La compañía emitió una declaración sobre la DPA nombrando a su CIO:

“Ya conocíamos los hechos más importantes sobre la carrera profesional de Daniel antes de que nos contrataran porque nos los reveló de manera proactiva y transparente desde el principio. De hecho, fue su historia y experiencia lo que lo hizo invaluable para nuestra misión de proteger la privacidad y seguridad del usuario ”. – ExpressVPN

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

¿El gigante de atención al cliente TTEC se ve afectado por ransomware? – Cáncer sobre seguridad

El nuevo ataque de phishing a los usuarios de Microsoft 365 utiliza redireccionamientos abiertos para evitar la detección