Im Juli 2021hat jemand Google einen Stapel Schadcode geschickt, der zum Hacken von Chrome, Firefox und PCs mit Windows Defender verwendet werden könnte. Dieser Code war Teil eines Exploitation-Frameworks namens Heliconia. Und zu diesem Zeitpunkt handelte es sich bei den Exploits, die zum Angriff auf diese Anwendungen eingesetzt wurden, um Zero-Day-Exploits, was bedeutet, dass die Softwarehersteller laut Google nichts von den Fehlern wussten.
Mehr als ein Jahr später, im November 2022, veröffentlichte die Threat Analysis Group von Google, das Team des Unternehmens, das staatlich unterstützte Bedrohungen untersucht, einen Blogbeitrag, in dem diese Exploits und das Heliconia-Framework analysiert wurden. Die Forscher von Google kamen zu dem Schluss, dass der Code Variston gehörte, einem in Barcelona ansässigen Startup, das der Öffentlichkeit unbekannt war.
„Es war damals eine riesige Krise, vor allem weil wir eine ganze Weile unter dem Radar geblieben waren“, sagte ein ehemaliger Variston-Mitarbeiter gegenüber Tech. „Alle glaubten, dass wir am Ende bloßgestellt würden, wenn wir erwischt würden [in the wild]aber es war stattdessen ein Leaker.“
Ein anderer ehemaliger Variston-Mitarbeiter sagte, dass der Code von einem verärgerten Mitarbeiter des Unternehmens an Google gesendet worden sei und dass Varistons Name und Geheimhaltung danach „verbrannt“ worden seien.
Google beschäftigte sich weiterhin mit der Schadsoftware von Variston. Im März 2023 stellten die Forscher des Technologieriesen fest, dass Spyware von Variston in Italien, Kasachstan, Malaysia und den Vereinigten Arabischen Emiraten eingesetzt wurde. Letzte Woche berichtete Google, dass in Indonesien Variston-Hacker-Tools gefunden wurden, die gegen iPhone-Besitzer eingesetzt wurden.
Im vergangenen Jahr hätten mehr als ein halbes Dutzend Variston-Mitarbeiter das Unternehmen verlassen, teilten sie Tech unter der Bedingung der Anonymität mit, da sie aufgrund von Geheimhaltungsvereinbarungen nicht befugt seien, mit der Presse zu sprechen.
Nach Angaben von vier ehemaligen Mitarbeitern und zwei Personen mit Kenntnissen des Spyware-Marktes wird Variston nun geschlossen.
Zu Beginn der 2010er Jahre begann die Öffentlichkeit zu erfahren, dass es einen florierenden Markt gab, auf dem westliche Unternehmen wie Hacking Team, FinFisher und NSO Group Überwachungs- und Hacking-Tools für Länder und Regime auf der ganzen Welt bereitstellten fragwürdige oder schlechte Menschenrechtsbilanz, wie Äthiopien, Mexiko, Saudi-Arabien, die Vereinigten Arabischen Emirate und viele andere.
Seitdem haben Digital- und Menschenrechtsorganisationen wie das Citizen Lab und Amnesty International dies getan Dutzende Fälle dokumentiert wo Regierungskunden dieser Spyware-Hersteller diese Tools nutzten, um Journalisten, Dissidenten und Menschenrechtsverteidiger zu hacken und auszuspionieren.
In den letzten Jahren ist die offensive Sicherheitsbranche stärker in die Öffentlichkeit gerückt und hat sich normalisiert. Einige dieser Spyware-Hersteller und Exploit-Entwickler bewerben ihre Dienste offen online, ihre Mitarbeiter geben in den sozialen Medien bekannt, wo sie arbeiten, und es gibt einige beliebte Sicherheitskonferenzen, die sich offen an diese Branche wenden, wie OffensiveCon und HexaCon.
Variston hat jedoch immer versucht, unter dem Radar zu fliegen.
Die einzigen öffentlich zugänglichen Informationen des Unternehmens sind eine einfache Website wo es vage beschreibt, was es tut.
„Unser Toolset basiert auf der umfangreichen gesammelten Erfahrung unserer Berater. Es unterstützt die Entdeckung digitaler Informationen durch [law enforcement agencies]„, heißt es auf der Website von Variston, was die einzige kurze Erwähnung seiner Arbeit als Spyware- und Exploit-Ersteller für Regierungsbehörden darstellt.
Laut den ehemaligen Mitarbeitern, die mit Tech sprachen, verbot Variston seinen Mitarbeitern nicht nur auf LinkedIn, sondern auch auf Cybersicherheitskonferenzen, ihren Arbeitsplatz preiszugeben.
Varistons Website. Bildnachweis: Tech (Screenshot)
Laut spanischen Geschäftsunterlagen von Tech wurde Variston 2018 in Barcelona gegründet, wobei Ralf Wegener und Ramanan Jayaraman als Gründer und Direktoren aufgeführt sind.
Während auf der Website eine andere Adresse in der Stadt aufgeführt ist, arbeitete Variston zuletzt in einem Büro im Barcelonaer Stadtteil Poble Nou, in einem Co-Working-Space, der einen Block vom Strand entfernt liegt. Im Oktober teilte ein Vertreter des Co-Working-Space gegenüber Tech mit, dass sich Variston bereits seit einigen Jahren dort befinde.
Als Tech diese Woche Varistons Büro besuchte, behauptete ein Co-Working-Space-Vertreter, dass Variston immer noch dort arbeite. Der Vertreter bot an, eine Nachricht für Variston entgegenzunehmen und teilte ihm mit, dass sie an diesem Tag nicht dort gewesen seien, sich aber in dieser Woche im Gebäude aufgehalten hätten. Weder Wegener noch Jayaraman antworteten auf mehrere E-Mails von Tech mit der Bitte um einen Kommentar zu Variston. Eine E-Mail an Varistons öffentliche E-Mail-Adresse wurde nicht zurückgesandt.
Einer der ersten Schritte von Variston im Jahr 2018 war die Übernahme Echte IT, ein kleines Zero-Day-Forschungs-Startup in Italien, laut italienischen Geschäftsunterlagen von Tech. Seitdem ist Variston zu einem Unternehmen mit rund hundert Mitarbeitern herangewachsen. Neben Heliconia, dem Exploit-Framework des Unternehmens für Windows-Geräte, entwickelte Variston auch Exploits und Hacking-Tools für iOS und Android. Das Android-Produkt von Variston hieß nach Angaben der ehemaligen Mitarbeiter Violet Pepper.
Selbst die Gründer von Truel IT, die zu Variston wechselten, geben Variston in ihren LinkedIn-Profilen nicht als Arbeitgeber an.
Nach Angaben der ehemaligen Variston-Mitarbeiter galt dieses Maß an Geheimhaltung auch für die Identität der Kunden des Unternehmens – mit Ausnahme der besonderen Beziehung zu Protect, einem Unternehmen mit Sitz in der Stadt Abu Dhabi in den Vereinigten Arabischen Emiraten.
„Variston war ein Lieferant von Protect“, sagte eine Person mit Kenntnissen über die Geschäftstätigkeit von Protect, die anonym bleiben wollte, da sie nicht befugt war, mit der Presse zu sprechen. „Für beide war es eine Zeit lang eine wichtige Beziehung.“
Die Arbeit des Unternehmens „ging in die Vereinigten Arabischen Emirate“ und Protect war „de facto der einzige Kunde“, so ehemalige Mitarbeiter von Variston.
Die ehemaligen Mitarbeiter teilten Tech mit, dass Protect den gesamten Betrieb bei Variston finanziert, einschließlich der Forschungs- und Entwicklungsseite. Ein ehemaliger Variston-Mitarbeiter sagte, nachdem Protect Anfang 2023 seine Mittel von der Entwicklungsseite abzog, habe Protect versucht, Variston-Mitarbeiter zum Umzug zu zwingen. Als dann später im Jahr die Finanzierung der Forschung eingestellt wurde, „schloss Variston den Laden“, sagte die Person.
Kontaktiere uns
Wissen Sie mehr über Variston oder Protect? Von einem Gerät aus, das nicht am Arbeitsplatz ist, können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, per Telegram, Keybase und Wire @lorenzofb oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
Anfang 2023 forderte Protect alle Variston-Mitarbeiter auf, nach Abu Dhabi zu ziehen. An diesem Punkt begannen die Probleme bei Variston zu scheitern, da die meisten Mitarbeiter von Variston den Vorschlag nicht akzeptierten. Die ehemaligen Mitarbeiter sagten, das Management habe ihnen zwei Möglichkeiten gegeben: „nach Abu Dhabi ziehen oder entlassen werden“ und dass es keine Ausnahmen geben würde.
Protect bezeichnet sich selbst als „ein hochmodernes Unternehmen für Cybersicherheit und Forensik“. Ähnlich wie Variston sagt Protect auf seiner Website kaum etwas anderes über die Aktivitäten des Unternehmens.
Aber Das glauben die Sicherheitsforscher von Google Protect, auch bekannt als Protect Electronic Systems, „kombiniert die von ihm entwickelte Spyware mit dem Heliconia-Framework und der Heliconia-Infrastruktur zu einem Gesamtpaket, das dann entweder einem lokalen Makler oder direkt einem Regierungskunden zum Verkauf angeboten wird.“
Das würde erklären, warum die Werkzeuge von Variston angeblich in Indonesien, Italien, Kasachstan und Malaysia eingesetzt wurden.
Laut Intelligence OnlineProtect, eine Fachzeitschrift, die sich mit der Überwachungs- und Geheimdienstbranche befasst, wurde ins Leben gerufen, nachdem DarkMatter, ein umstrittenes Hackerunternehmen mit Sitz in den Vereinigten Arabischen Emiraten, Es wurde festgestellt, dass er Amerikaner beschäftigt hatte der dann der Regierung der Vereinigten Arabischen Emirate dabei half, Dissidenten, politische Rivalen und Journalisten auszuspionieren.
Ab 2019 wurde Protect von Awad Al Shamsi geleitet und gewährte „Regierungsbenutzern der VAE diskreten Zugang zu ausländischer Cybertechnologie“, berichtete Intelligence Online. Es ist nicht bekannt, ob Al Shamsi noch bei Protect ist, und Al Shamsi antwortete nicht auf eine E-Mail mit der Bitte um einen Kommentar. Protect reagierte nicht auf mehrere andere E-Mails von Tech.
Die Gründer von Variston, Wegener und Jayaraman, scheinen zumindest seit 2016 ebenfalls bei Protect gearbeitet zu haben, wie aus öffentlichen Online-Aufzeichnungen von Verschlüsselungsschlüsseln hervorgeht, die mit ihren Protect-E-Mail-Adressen verknüpft sind und von Tech eingesehen wurden.
Wegener ist ein Veteran der Spyware-Branche. Laut Intelligence Online leitet Wegener mehrere andere Unternehmen, von denen einige ihren Sitz in Zypern haben und ebenfalls im Miteigentum von Jayaraman stehen. Wegener arbeitete früher bei AGT (Advanced German Technology), einem 2001 in Berlin gegründeten Überwachungsanbieter mit einem Büro in Dubai. Im Jahr 2007 arbeitete AGT zusammen mit dem italienischen Spyware-Hersteller RCS Lab mit der syrischen Regierung an der Entwicklung eines zentralisierten landesweiten Echtzeit-Internetüberwachungssystems. laut Nachrichtenberichten, die auf durchgesickerten Dokumenten basieren Und Forschung der gemeinnützigen Privacy International. Letztendlich stellte AGT das System der syrischen Regierung nicht zur Verfügung.
Fünf Jahre nach der Gründung ist Variston kein geheimes Startup mehr.
Drei ehemalige Mitarbeiter sagten, der Bericht von Google im Jahr 2022 habe die Geheimhaltung von Variston aufgedeckt. Einer der Mitarbeiter sagte, der Google-Bericht, der Variston aufdeckte, „könnte der Anfang vom Ende“ für den Spyware-Hersteller gewesen sein.
Ein anderer ehemaliger Variston-Mitarbeiter sagte jedoch, dass das Unternehmen – wie auch andere Spyware-Hersteller – irgendwann entlarvt worden wäre. „Früher oder später musste es passieren“, sagte die Person. „Das ist ganz normal.“
Natasha Lomas hat zur Berichterstattung beigetragen.