3名前美国情报官员承认是阿联酋网络雇佣兵，已被司法部逮捕

美国司法部周二披露，对3名前美国情报官员处以168万美元的罚款，因为他们是为阿联酋一家网络安全公司工作的网络雇佣兵。

这3个前美国情报官员分别是49 岁的 Marc Baier、34 岁的 Ryan Adams 和 40 岁的 Daniel Gericke，他们被指控“故意和故意联合、共谋、结盟并同意彼此犯罪”，从 2015 年 12 月左右开始，一直持续到 2019 年 11 月，为阿联酋一家网络安全公司开发远程入侵移动设备的侵入性间谍软件。

“被告在一家总部位于阿拉伯联合酋长国的公司担任高级管理人员，该公司是阿联酋政府支持下开展计算机软件开发和黑客攻击的组织”美国司法部在一份声明中说，“尽管多次被告知，根据《国际武器贸易条例》，他们为阿联酋公司的工作构成了‘国防服务’，需要获得国务院国防贸易管制局的许可，被告在没有许可的情况下继续提供此类服务”。

根据极牛网GEEKNB.COM小编的梳理，除了因违反美国出口管制、计算机欺诈和访问设备欺诈法外，这些受雇的黑客还被指控创建复杂的“零点击”漏洞，这些漏洞随后被武器化以非法收集美国公司在线帐户的访问凭据，并未经授权访问世界各地的手机。

该报告是由路透社在2019年事先调查，结果发现前美国国家安全局（NSA）工程师如何帮助阿联酋和一些不愿透露姓名的美国记者组成一个秘密行动的项目，创建了一家名为DarkMatter的网络安全公司。该公司招募“来自国外的网络战士”来研究攻击性安全技术，于2016 年首次曝光。

这份深入研究的报告还详细介绍了一种名为 Karma 的零点击漏洞利用，它可以“只需将电话号码或电子邮件帐户上传到自动定位系统中”，就可以远程入侵激进分子、外交官和敌对外国领导人的 iPhone。这个复杂的工具被用来从受害者的手机中检索照片、电子邮件、短信和位置信息，以及收集保存的密码，这些密码可能会被滥用以进行进一步的入侵。

根据未公开的法庭文件，Baier、Adams 和 Gericke 从 2016 年 5 月开始设计、实施和使用 Karma 用于外国情报收集目的，之后从一家未具名的美国公司获得了一个漏洞，该公司授予对 Apple 设备的零点击远程访问权限。

但在 9 月份修复了潜在的安全漏洞后，据称被告联系了另一家美国公司以获取第二个利用 iOS 的漏洞，最终使用它来重新构建和修改 Karma 漏洞利用工具包。

在Apple透露其采取行动关闭零日漏洞 (CVE-2021-30860) 后的一天，NSO Group 的 Pegasus 间谍软件利用该漏洞来攻击巴林和沙特阿拉伯的激进分子。

“联邦调查局将全面调查从非法网络犯罪活动中获利的个人和公司”联邦调查局网络部门的助理局长 Bryan Vorndran 说，“这对任何人来说都是一个明确的信息，包括前美国政府雇员，他们曾考虑利用网络空间来利用出口管制信息为外国政府或外国商业公司谋取利益——这是有风险的，也会有后果。”