Desenvolvedor de Spyware vira alvo de espionagem

Em um desenvolvimento alarmante que lança luz sobre a crescente proliferação de spyware de vigilância e a sua utilização cada vez mais ampla, um desenvolvedor de exploits (vulnerabilidades) que trabalhava para uma empresa ocidental que fornece ferramentas de hacking governamental foi notificado pela Apple de que seu iPhone pessoal havia sido alvo de um ataque de spyware mercenário. O caso, potencialmente o primeiro documentado de um criador de exploits ser alvo de sua própria tecnologia, levanta sérias questões sobre a finalidade e a fiscalização desse tipo de ferramenta de vigilância.

Jay Gibson (nome fictício para proteger sua identidade por medo de retaliação), ex-funcionário da Trenchant, uma fabricante de ferramentas de hacking para governos ocidentais, relatou o choque ao receber a notificação da Apple em seu telefone: “A Apple detectou um ataque de spyware mercenário direcionado contra seu iPhone”.

Gibson, que desenvolvia zero-days para iOS – ou seja, vulnerabilidades e ferramentas de exploração desconhecidas pela Apple – descreveu o pânico, resultando na imediata substituição do aparelho. A notificação de ameaça, datada de 5 de março, surge no contexto de sua recente e turbulenta saída da Trenchant, onde ele alega ter sido usado como bode expiatório por um vazamento interno de ferramentas confidenciais.

Hacker Alvo e a Indústria do Spyware

O caso de Gibson demonstra que a proliferação de ataques de zero-day e spyware está expandindo o perfil das vítimas. Embora criadores de spyware e softwares zero-day aleguem que suas ferramentas se destinam apenas a clientes governamentais verificados no combate a criminosos e terroristas, pesquisadores do Citizen Lab e da Anistia Internacional documentaram inúmeros casos em que governos usaram essas ferramentas contra dissidentes, jornalistas, defensores dos direitos humanos e rivais políticos.

Fontes com conhecimento direto indicam que Gibson pode não ser um caso isolado, com outros desenvolvedores de spyware e exploits também tendo recebido notificações de alerta da Apple nos últimos meses. Esta tendência sugere um novo e preocupante estágio na guerra cibernética, onde especialistas da área são cada vez mais visados. Casos anteriores envolvendo invasores do governo norte-coreano que atacaram pesquisadores de segurança em 2021 e 2023 ilustram esse risco.

Demissão e Suspeita de Vazamento

Gibson acredita que o ataque de spyware está ligado às circunstâncias de sua saída da Trenchant. Um mês antes de receber o alerta, ele foi chamado ao escritório da empresa em Londres.

Em 3 de fevereiro, foi confrontado por Peter Williams, então gerente geral da Trenchant (empresa controlada pela L3Harris), sob a alegação de que estaria em dupla jornada de trabalho, resultando na sua suspensão e confisco de todos os dispositivos de trabalho para análise forense. Duas semanas depois, Williams o demitiu, oferecendo um acordo e pagamento, mas se recusando a explicar o que a análise de seus dispositivos havia revelado.

Posteriormente, Gibson soube por ex-colegas que a Trenchant suspeitava que ele tivesse vazado vulnerabilidades não divulgadas no navegador Chrome do Google. No entanto, Gibson e três ex-colegas afirmam que ele não tinha acesso aos zero-days do Chrome da Trenchant, pois trabalhava exclusivamente no desenvolvimento de exploits para iOS, em um ambiente de acesso estritamente compartimentado. Ele insiste: “Eu sei que fui o bode expiatório. Não fui culpado”.

Sem uma análise forense completa do iPhone de Gibson — que ele relutou em fornecer, mesmo após a análise inicial do especialista em ataques de spyware não ter encontrado sinais de infecção, mas ter recomendado uma investigação mais aprofundada — é impossível confirmar a autoria ou o motivo exato do ataque.

Contudo, a notificação da Apple é emitida especificamente quando há evidências de um ataque de spyware mercenário, uma tecnologia que explora vulnerabilidades caríssimas e de difícil desenvolvimento, e cujo uso legalmente é restrito a agências de segurança e inteligência, e não aos próprios criadores do spyware. A porta-voz da L3Harris, controladora da Trenchant, Sara Banda, não quis comentar sobre o assunto.

Via - TC