Η startup spyware Variston χάνει προσωπικό — ορισμένοι λένε ότι κλείνει

Τον Ιούλιο του 2021

, κάποιος έστειλε στην

Google

μια δέσμη κακόβουλου κώδικα που θα μπορούσε να χρησιμοποιηθεί για να χακάρει το

Chrome

, τον Firefox και τους υπολογιστές που χρησιμοποιούν το Microsoft Defender. Αυτός ο κώδικας ήταν μέρος ενός πλαισίου εκμετάλλευσης που ονομάζεται Heliconia.

Και

εκείνη την εποχή, τα

exploits

που χρησιμοποιήθηκαν για τη στόχευση αυτών των εφαρμογών ήταν μηδενικές ημέρες, που σημαίνει ότι οι κατασκευαστές λογισμικού δεν γνώριζαν τα σφάλματα, σύμφωνα με την Google.

Περισσότερο από ένα χρόνο αργότερα, τον Νοέμβριο του 2022, η Ομάδα Ανάλυσης Απειλές της Google, η ομάδα της εταιρείας που ερευνά απειλές που υποστηρίζονται από την κυβέρνηση, δημοσίευσε μια ανάρτηση ιστολογίου που αναλύει αυτές τις εκμεταλλεύσεις και το πλαίσιο Heliconia. Οι ερευνητές της Google κατέληξαν στο συμπέρασμα ότι ο κωδικός ανήκε στο Variston, μια startup με έδρα τη Βαρκελώνη που ήταν άγνωστη στο κοινό.

«Ήταν μια τεράστια κρίση εκείνη την εποχή, κυρίως επειδή είχαμε μείνει κάτω από τα ραντάρ για αρκετό καιρό», είπε ένας πρώην υπάλληλος του Variston στο TechCrunch. «Όλοι πίστευαν ότι στο τέλος θα ξεσκεπαζόμασταν αν μας έπιαναν [in the wild]αλλά αντ’ αυτού ήταν ένας διαρρήκτης.”

Ένας άλλος πρώην υπάλληλος του Variston είπε ότι ο κωδικός στάλθηκε στην Google από έναν δυσαρεστημένο υπάλληλο της εταιρείας και ότι αφού συνέβη, το όνομα και το απόρρητο του Variston «κάηκαν».

Η Google συνέχισε να σκάβει το κακόβουλο λογισμικό του Variston. Τον Μάρτιο του 2023, οι ερευνητές του τεχνολογικού γίγαντα ανακάλυψαν ότι το spyware που κατασκεύασε η Variston χρησιμοποιήθηκε στο Καζακστάν, τη Μαλαισία και τα

Ηνωμένα Αραβικά Εμιράτα

. Την περασμένη εβδομάδα, η Google ανέφερε ότι βρήκε εργαλεία χάκερ του Variston που χρησιμοποιούνται εναντίον κατόχων iPhone στην Ινδονησία.

Τον περασμένο χρόνο, περισσότεροι από μισή ντουζίνα υπάλληλοι της Variston εγκατέλειψαν την εταιρεία, είπαν στο TechCrunch υπό τον όρο της ανωνυμίας, καθώς δεν είχαν εξουσιοδότηση να μιλήσουν στον Τύπο λόγω συμφωνιών μη αποκάλυψης.

Τώρα, σύμφωνα με τέσσερις πρώην υπαλλήλους και δύο άτομα με γνώση της αγοράς spyware, το Variston κλείνει.

Στις αρχές της δεκαετίας του 2010, το κοινό άρχισε να μαθαίνει ότι υπήρχε μια ακμάζουσα αγορά όπου εταιρείες με βάση τη Δύση, όπως η Hacking Team, η FinFisher και η NSO Group, παρείχαν εργαλεία παρακολούθησης και πειρατείας σε χώρες και καθεστώτα σε όλο τον κόσμο με αμφίβολα ή κακά αρχεία ανθρωπίνων δικαιωμάτων, όπως η Αιθιοπία, το Μεξικό, η Σαουδική Αραβία, τα Ηνωμένα Αραβικά Εμιράτα και πολλά άλλα.

Έκτοτε, οργανώσεις ψηφιακών και ανθρωπίνων δικαιωμάτων, όπως το Citizen Lab και η Διεθνής Αμνηστία, το έχουν κάνει

κατέγραψε δεκάδες περιπτώσεις

όπου οι κυβερνητικοί πελάτες αυτών των κατασκευαστών spyware χρησιμοποιούσαν αυτά τα εργαλεία για να χακάρουν και να κατασκοπεύουν δημοσιογράφους, αντιφρονούντες και υπερασπιστές των ανθρωπίνων δικαιωμάτων.

Τα τελευταία χρόνια, η βιομηχανία επιθετικής ασφάλειας έχει γίνει πιο δημόσια και κανονικοποιημένη. Ορισμένοι από αυτούς τους κατασκευαστές λογισμικού spyware και τους προγραμματιστές εκμετάλλευσης διαφημίζουν ανοιχτά τις υπηρεσίες τους στο διαδίκτυο, οι υπάλληλοί τους αποκαλύπτουν πού εργάζονται στα μέσα κοινωνικής δικτύωσης και υπάρχουν μερικά δημοφιλή συνέδρια ασφαλείας που απευθύνονται ανοιχτά σε αυτόν τον κλάδο, όπως το OffensiveCon και το HexaCon.

Το Variston, ωστόσο, πάντα προσπαθούσε να πετάξει κάτω από το ραντάρ.

Οι μόνες πληροφορίες της εταιρείας που αντιμετωπίζει το κοινό είναι

μια ιστοσελίδα barebones

όπου περιγράφει αόριστα αυτό που κάνει.

«Το σύνολο εργαλείων μας βασίζεται στην τεράστια αθροιστική εμπειρία των συμβούλων μας. Υποστηρίζει την ανακάλυψη ψηφιακών πληροφοριών από [law enforcement agencies]», αναφέρει ο ιστότοπος της Variston, στη μοναδική σύντομη αναφορά της δουλειάς της ως spyware και κατασκευαστή εκμετάλλευσης για κυβερνητικές υπηρεσίες.

Η Variston απαγόρευσε στους υπαλλήλους να αποκαλύπτουν πού εργάζονται, όχι μόνο στο LinkedIn, αλλά και σε συνέδρια για την ασφάλεια στον κυβερνοχώρο, σύμφωνα με τους πρώην εργαζόμενους που μίλησαν στο TechCrunch.

Σύμφωνα με τα ισπανικά επιχειρηματικά αρχεία που είδαν το TechCrunch, η Variston ιδρύθηκε στη Βαρκελώνη το 2018, αναφέροντας τους Ralf Wegener και Ramanan Jayaraman ως ιδρυτές και διευθυντές.

Ενώ ο ιστότοπός του παραθέτει μια άλλη διεύθυνση στην πόλη, το Variston εργάστηκε πρόσφατα σε ένα γραφείο στη γειτονιά Poblenou της Βαρκελώνης, μέσα σε έναν συνεργαζόμενο χώρο που βρίσκεται ένα τετράγωνο μακριά από την παραλία. Τον Οκτώβριο, ένας εκπρόσωπος του χώρου συνεργασίας είπε στο TechCrunch ότι το Variston βρισκόταν εκεί και βρισκόταν εδώ και μερικά χρόνια.

Όταν η TechCrunch επισκέφτηκε το γραφείο του Variston αυτή την εβδομάδα, ένας συνεργαζόμενος εκπρόσωπος του χώρου ισχυρίστηκε ότι το Variston εξακολουθεί να εργάζεται εκεί. Ο εκπρόσωπος προσφέρθηκε να στείλει ένα μήνυμα για το Variston, λέγοντας ότι δεν ήταν εκεί εκείνη την ημέρα, αλλά ότι ήταν στο κτίριο εκείνη την εβδομάδα. Ούτε ο Wegener ούτε ο Jayaraman απάντησαν σε πολλά μηνύματα ηλεκτρονικού ταχυδρομείου από το TechCrunch που ζητούσαν σχόλια σχετικά με το Variston. Ένα email στη δημόσια διεύθυνση email του Variston δεν επιστράφηκε.

Μία από τις πρώτες κινήσεις του Variston το 2018 ήταν η απόκτηση

Αληθινό IT

, μια μικρή startup έρευνας μηδενικής ημέρας στην Ιταλία, σύμφωνα με ιταλικά επιχειρηματικά αρχεία που είδαν το TechCrunch. Έκτοτε, το Variston εξελίχθηκε σε μια εταιρεία περίπου εκατό υπαλλήλων. Εκτός από το Heliconia, το πλαίσιο εκμετάλλευσης της εταιρείας για τη στόχευση συσκευών Windows, το Variston ανέπτυξε επίσης εργαλεία εκμετάλλευσης και hacking που στοχεύουν iOS και Android. Το προϊόν Android της Variston ονομαζόταν Violet Pepper, σύμφωνα με τους πρώην υπαλλήλους.

Ακόμη και οι ιδρυτές της Truel IT, που μετακόμισαν για να εργαστούν στο Variston, δεν αποκαλύπτουν τον Variston ως εργοδότη στα προφίλ τους στο LinkedIn.

Σύμφωνα με τους πρώην υπαλλήλους της Variston, αυτό το επίπεδο μυστικότητας ίσχυε και για την ταυτότητα των πελατών της εταιρείας — εκτός από την ειδική σχέση της με την Protect, μια εταιρεία που εδρεύει στην πόλη του Άμπου Ντάμπι των Ηνωμένων Αραβικών Εμιράτων.

«Η Variston ήταν προμηθευτής της Protect», είπε ένα άτομο με γνώση των εργασιών της Protect, το οποίο ζήτησε να παραμείνει ανώνυμο επειδή δεν είχαν εξουσιοδότηση να μιλήσουν στον Τύπο. «Ήταν μια σημαντική σχέση και για τους δύο για ένα διάστημα».

Η δουλειά της εταιρείας «πήγαινε στα ΗΑΕ» και ότι η Protect ήταν «de facto ο μόνος πελάτης», σύμφωνα με πρώην υπαλλήλους της Variston.

Οι πρώην υπάλληλοι είπαν στο TechCrunch ότι η Protect χρηματοδοτούσε όλες τις λειτουργίες στο Variston, συμπεριλαμβανομένης της πλευράς έρευνας και ανάπτυξης. Ένας πρώην υπάλληλος της Variston είπε ότι μόλις η Protect απέσυρε τη χρηματοδότησή της από την πλευρά της ανάπτυξης στις αρχές του 2023, η Protect προσπάθησε να αναγκάσει τους υπαλλήλους της Variston να μετεγκατασταθούν. Στη συνέχεια, όταν η χρηματοδότηση για την έρευνα σταμάτησε αργότερα μέσα στο έτος, το Variston «έκλεισε το κατάστημα», είπε το άτομο.

Στις αρχές του 2023, η Protect ζήτησε από όλους τους υπαλλήλους της Variston να μετακομίσουν στο Άμπου Ντάμπι. Εδώ άρχισε να ξετυλίγεται το Variston, καθώς το μεγαλύτερο μέρος του προσωπικού του Variston δεν αποδέχτηκε την πρόταση. Οι πρώην υπάλληλοι είπαν ότι η διοίκηση τους έδωσε δύο επιλογές: «να μετακομίσουν στο Άμπου Ντάμπι ή να απολυθούν» και ότι δεν θα υπήρχαν εξαιρέσεις.

Προστατέψτε τους λογαριασμούς ως «μια εταιρεία αιχμής για την ασφάλεια στον κυβερνοχώρο και την εγκληματολογία». Όπως και το Variston, η Protect λέει λίγα άλλα στον ιστότοπό της για το τι κάνει η εταιρεία.

Αλλά

Οι ερευνητές ασφαλείας της Google πιστεύουν ότι

Το Protect, γνωστό και ως Protect Electronic Systems, «συνδυάζει το λογισμικό υποκλοπής spyware που αναπτύσσει με το πλαίσιο και την υποδομή της Heliconia, σε ένα πλήρες πακέτο το οποίο στη συνέχεια προσφέρεται προς πώληση είτε σε τοπικό μεσίτη είτε απευθείας σε κυβερνητικό πελάτη.

Αυτό θα εξηγούσε πώς τα εργαλεία του Variston φέρεται ότι κατέληξαν να χρησιμοποιούνται στην Ινδονησία, το Καζακστάν και τη Μαλαισία.

Σύμφωνα με το Intelligence Online

μια εμπορική δημοσίευση που καλύπτει τη βιομηχανία επιτήρησης και πληροφοριών, το Protect κυκλοφόρησε μετά την DarkMatter, μια αμφιλεγόμενη εταιρεία χάκερ με έδρα τα Ηνωμένα Αραβικά Εμιράτα,

αποκαλύφθηκε ότι είχε απασχολήσει Αμερικανούς

που στη συνέχεια βοήθησε την κυβέρνηση των ΗΑΕ να κατασκοπεύει αντιφρονούντες, πολιτικούς αντιπάλους και δημοσιογράφους.

Από το 2019, η Protect είχε επικεφαλής τον Awad Al Shamsi και παρείχε στους χρήστες της κυβέρνησης των ΗΑΕ διακριτική πρόσβαση σε ξένη κυβερνοτεχνολογία, ανέφερε η Intelligence Online. Δεν είναι γνωστό εάν ο Al Shamsi είναι ακόμα στο Protect και ο Al Shamsi δεν απάντησε σε ένα email που ζητούσε σχόλιο. Το Protect δεν απάντησε σε πολλά άλλα μηνύματα ηλεκτρονικού ταχυδρομείου από το TechCrunch.

Οι ιδρυτές του Variston, Wegener και Jayaraman, φαίνεται επίσης να εργάζονταν στο Protect, τουλάχιστον από το 2016, σύμφωνα με δημόσια διαδικτυακά αρχεία κλειδιών κρυπτογράφησης που συνδέονται με τις διευθύνσεις ηλεκτρονικού ταχυδρομείου τους Protect που βλέπει το TechCrunch.

Ο Wegener είναι βετεράνος της βιομηχανίας spyware. Σύμφωνα με το Intelligence Online, η Wegener διευθύνει πολλές άλλες εταιρείες, ορισμένες με έδρα την Κύπρο και συνιδιοκτήτρια της Jayaraman. Ο Wegener εργαζόταν στην AGT, ή Advanced German Technology, έναν πάροχο επιτήρησης που ιδρύθηκε στο Βερολίνο το 2001 με γραφείο στο Ντουμπάι. Το 2007, μαζί με την ιταλική εταιρεία κατασκευής spyware RCS Lab, η AGT συνεργάστηκε με τη συριακή κυβέρνηση για την ανάπτυξη ενός κεντρικού συστήματος παρακολούθησης διαδικτύου σε πραγματικό χρόνο σε όλη τη χώρα.

σύμφωνα με δημοσιεύματα που βασίζονται σε έγγραφα που διέρρευσαν

και

έρευνα από τη μη κερδοσκοπική Privacy International

. Τελικά, η AGT δεν παρείχε το σύστημα στη συριακή κυβέρνηση.

Πέντε χρόνια μετά την ίδρυσή της, το Variston δεν είναι πλέον μια μυστική startup.

Τρεις πρώην υπάλληλοι είπαν ότι η αναφορά της Google το 2022 έριξε το καπάκι στο απόρρητο του Variston. Ένας από τους υπαλλήλους είπε ότι η αναφορά της Google που αποκάλυπτε το Variston «ίσως ήταν η αρχή του τέλους» για τον κατασκευαστή του spyware.

Αλλά ένας άλλος πρώην υπάλληλος του Variston είπε ότι η εταιρεία – όπως και άλλοι κατασκευαστές spyware – θα είχε εκτεθεί τελικά. «Είναι βέβαιο ότι θα συμβεί αργά ή γρήγορα», είπε το άτομο. «Είναι αρκετά φυσιολογικό».

Η Νατάσα Λόμας συνέβαλε στην αναφορά.

Μια παλαιότερη έκδοση αυτής της αναφοράς απέδωσε εσφαλμένα την ανακάλυψη των εργαλείων του Variston από την Google στην Ιταλία, λόγω λάθους του συντάκτη. ZW.