تستغل تنبيهات Apple المطور بأن جهاز iPhone الخاص به قد تم استهدافه ببرامج تجسس حكومية

في وقت سابق من هذا العام، صُدم أحد المطورين برسالة ظهرت على هاتفه الشخصي: “اكتشفت شركة Apple هجومًا مستهدفًا ببرنامج تجسس مرتزق ضد جهاز iPhone الخاص بك”.

قال جاي جيبسون، الذي طلب عدم استخدام اسمه الحقيقي بسبب مخاوف من الانتقام، لـ TechCrunch: “كنت أشعر بالذعر”.

قد يكون جيبسون، الذي قام حتى وقت قريب ببناء تقنيات المراقبة لشركة Trenchant لصناعة أدوات القرصنة الحكومية الغربية، أول حالة موثقة لشخص يبني برامج استغلال وبرامج تجسس يتم استهدافه ببرامج تجسس.

قال جيبسون: “ماذا يحدث بحق الجحيم؟ لم أكن أعرف حقاً ما الذي أفكر فيه”، مضيفاً أنه أغلق هاتفه ووضعه جانباً في ذلك اليوم، 5 مارس/آذار. “ذهبت على الفور لشراء هاتف جديد. اتصلت بوالدي. لقد كانت فوضى. كانت فوضى عارمة”.

في شركة Trenchant، عمل جيبسون على تطوير نظام التشغيل iOS Zero-Days، وهو ما يعني العثور على البيانات الثغرات الأمنية وتطوير الأدوات القادرة على استغلالها والتي لا يعرفها البائع الذي يصنع الأجهزة أو البرامج المتضررة، مثل Apple.

وقال لـ TechCrunch: “لدي مشاعر مختلطة حول مدى إثارة هذا الأمر للشفقة، ثم الخوف الشديد لأنه بمجرد أن تصل الأمور إلى هذا المستوى، فإنك لا تعرف أبدًا ما الذي سيحدث”.

لكن الموظف السابق في شركة Trenchant قد لا يكون مطور الثغرات الوحيد المستهدف ببرامج التجسس. وفقًا لثلاثة مصادر لديها معرفة مباشرة بهذه الحالات، كان هناك مطورو برامج تجسس واستغلال أخرى في الأشهر القليلة الماضية تلقوا إشعارات من شركة Apple تنبههم إلى استهدافهم ببرامج تجسس.

لم تستجب شركة Apple لطلب التعليق من TechCrunch.

يُظهر استهداف هاتف جيبسون iPhone أن انتشار برامج التجسس والأيام الصفرية بدأ في إيقاع المزيد من أنواع الضحايا.

لقد ادعى صانعو برامج التجسس ويوم الصفر تاريخيًا أن أدواتهم يتم نشرها فقط من قبل عملاء الحكومة الذين تم فحصهم ضد المجرمين والإرهابيين. لكن على مدار العقد الماضي، اكتشف الباحثون في مجموعة سيتيزن لاب للحقوق الرقمية بجامعة تورونتو، ومنظمة العفو الدولية، ومنظمات أخرى عشرات الحالات التي استخدمت فيها الحكومات هذه الأدوات لاستهداف المنشقين والصحفيين والمدافعين عن حقوق الإنسان والمنافسين السياسيين في جميع أنحاء العالم.

حدثت أقرب الحالات العامة لاستهداف الباحثين الأمنيين من قبل المتسللين في عامي 2021 و2023، عندما تم القبض على قراصنة حكومة كوريا الشمالية وهم يستهدفون باحثين أمنيين يعملون في أبحاث وتطوير الثغرات الأمنية.

المشتبه به في التحقيق في تسرب

بعد يومين من تلقي إشعار التهديد من شركة Apple، اتصل جيبسون بخبير في الطب الشرعي يتمتع بخبرة واسعة في التحقيق في هجمات برامج التجسس. وبعد إجراء تحليل أولي لهاتف جيبسون، لم يجد الخبير أي علامات للعدوى، لكنه أوصى بإجراء تحليل جنائي أعمق لهاتف مطور الثغرات.

كان تحليل الطب الشرعي يستلزم إرسال نسخة احتياطية كاملة للجهاز إلى الخبير، وهو أمر قال جيبسون إنه لم يكن مرتاحًا له.

“الحالات الأخيرة أصبحت أكثر صرامة من الناحية الجنائية، وبعضها لم نجد شيئًا. وقال الخبير لـ TechCrunch: “قد يكون أيضًا أن الهجوم لم يتم إرساله بالكامل بعد المراحل الأولية، لا نعرف”.

وبدون إجراء تحليل جنائي كامل لهاتف جيبسون، والذي من الأفضل أن يجد فيه المحققون آثارًا لبرنامج التجسس ومن صنعه، فمن المستحيل معرفة سبب استهدافه أو من استهدفه.

لكن جيبسون أخبر موقع TechCrunch أنه يعتقد أن إشعار التهديد الذي تلقاه من شركة Apple مرتبط بظروف مغادرته Trenchant، حيث يدعي أن الشركة صنفته ككبش فداء لتسريب ضار للأدوات الداخلية.

ترسل شركة Apple إشعارات التهديد خصيصًا عندما يكون لديها دليل على استهداف شخص ما من خلال هجوم ببرامج تجسس مرتزقة. غالبًا ما يتم زرع هذا النوع من تقنيات المراقبة بشكل غير مرئي وعن بعد على هاتف شخص ما دون علمه من خلال استغلال نقاط الضعف في برنامج الهاتف، وهي عمليات استغلال يمكن أن تبلغ قيمتها ملايين الدولارات ويمكن أن يستغرق تطويرها أشهرًا. عادةً ما تتمتع وكالات إنفاذ القانون والاستخبارات بالسلطة القانونية لنشر برامج التجسس على الأهداف، وليس صانعي برامج التجسس أنفسهم.

رفضت سارة باندا، المتحدثة باسم الشركة الأم لشركة Trenchant L3Harris، التعليق على هذه القصة عندما تواصلت معها TechCrunch قبل النشر.

قبل شهر من تلقيه إشعار التهديد من شركة أبل، عندما كان جيبسون لا يزال يعمل في شركة ترينشانت، قال إنه تمت دعوته للذهاب إلى مكتب الشركة في لندن لحضور حدث لبناء الفريق.

عندما وصل جيبسون في 3 فبراير/شباط، تم استدعاؤه على الفور إلى غرفة الاجتماعات للتحدث عبر مكالمة فيديو مع بيتر ويليامز، المدير العام لشركة ترينشانت آنذاك والذي كان يُعرف داخل الشركة باسم “دوجي”. (في عام 2018، استحوذت شركة L3Harris للمقاولات الدفاعية على شركتي Azimuth وLinchpin Labs، وهما شركتان ناشئتان شقيقتان اندمجتا لتصبحا شركة Trenchant.)

أخبر ويليامز جيبسون أن الشركة اشتبهت في أنه يعمل موظفًا مزدوجًا، وبالتالي قامت بإيقافه عن العمل. ستتم مصادرة وتحليل جميع أجهزة عمل جيبسون كجزء من تحقيق داخلي في هذه الادعاءات. ولم يتسن الوصول إلى ويليامز للتعليق.

“لقد كنت في حالة صدمة. لم أكن أعرف حقًا كيف أتصرف لأنني لم أصدق حقًا ما كنت أسمعه”، قال جيبسون، الذي أوضح أن أحد موظفي شركة Trenchant IT ذهب بعد ذلك إلى شقته لالتقاط المعدات التي أصدرتها شركته.

وبعد حوالي أسبوعين، قال جيبسون إن ويليامز اتصل به وأخبره أنه بعد التحقيق، قامت الشركة بطرده وعرضت عليه اتفاق التسوية والدفع. وقال جيبسون إن ويليامز رفض توضيح ما وجده تحليل الطب الشرعي لأجهزته، وأخبره أنه ليس لديه خيار سوى التوقيع على الاتفاقية ومغادرة الشركة.

قال جيبسون، الذي شعر بأنه ليس لديه بديل، إنه وافق على العرض ووقع.

أخبر جيبسون موقع TechCrunch أنه سمع لاحقًا من زملائه السابقين أن Trenchant يشتبه في أنه قام بتسريب بعض نقاط الضعف غير المعروفة في متصفح Google Chrome، وهي الأدوات التي طورتها Trenchant. ومع ذلك، أخبر جيبسون وثلاثة من زملائه السابقين موقع TechCrunch أنه لم يكن لديه إمكانية الوصول إلى برنامج Trenchant’s Chrome Zero-days، نظرًا لأنه كان جزءًا من الفريق الذي قام حصريًا بتطوير برنامج iOS Zero-Days وبرامج التجسس. قال الأشخاص إن فرق Trenchant لديها فقط وصول مجزأ بشكل صارم إلى الأدوات المتعلقة بالمنصات التي تعمل عليها.

وقال جيبسون: “أعرف أنني كنت كبش فداء. ولم أكن مذنباً. الأمر بسيط للغاية”. “لم أفعل أي شيء على الإطلاق سوى العمل من أجلهم.”

تم تأكيد قصة الاتهامات الموجهة ضد جيبسون وإيقافه عن العمل وطرده بشكل مستقل من قبل ثلاثة موظفين سابقين في شركة Trenchant لديهم المعرفة.

وقال اثنان من موظفي ترينشانت السابقين إنهما كانا على علم بتفاصيل رحلة جيبسون إلى لندن وكانا على علم بالتسريبات المشتبه بها لأدوات الشركة الحساسة.

طلب جميعهم عدم الكشف عن أسمائهم لكنهم يعتقدون أن ترينشانت أخطأ في الأمر.