Министерство юстиции США предъявило 7 ноября обвинения двум бывшим сотрудникам социальной сети «Твиттер» в передаче властям Саудовской Аравии информации о пользователях. Об этом свидетельствуют документы, поступившие в среду в электронную базу федерального суда Северного округа штата Калифорния. Как следует из материалов, речь идет об Али аль-Забарахе, который отвечал за поддержание связи между соцсетью и ее партнерами на Ближнем Востоке и в Северной Африке, а также Ахмеде Абуаммо, являвшимся техническим специалистом «Твиттера». Оба работали в соцсети в течение нескольких лет до 2015 года. Абуаммо является гражданином США, аль-Забарах — подданным Саудовской Аравии. Первый был задержан в Сиэтле (штат Вашингтон) во вторник, второй, вероятно, находится на территории королевства.    В Минюсте США полагают, что Абуаммо и аль-Забарах за деньги передавали личные данные пользователей соцсети властям королевства. Речь идет о лицах, которые выступали с критикой в отношении Эр-Рияда. Как отмечают следователи, информация, поступавшая от Абуаммо и аль-Забараха, могла помочь руководству Саудовской Аравии узнать, где находятся люди, которые его интересуют. В исковом заявлении подчеркивается, что оба бывших сотрудника «Твиттера» выступали в роли иностранных агентов, которые действовали в интересах Саудовской Аравии, однако не имели соответствующей регистрации. Обвинения предъявлены также подданному королевства Ахмеду аль-Мутаири. По сведениям следователей, он выступал в роли посредника между аль-Забарахом, Абуаммо и Эр-Риядом. Аль-Мутаири также обвиняют в том, что он являлся иноагентом. Власти полагают, что он находится в настоящее время в Саудовской Аравии.  Как следует из документов, Абуаммо и аль-Забарах получили от представителей королевства десятки тысяч долларов и ценные вещи. Власти Саудовской Аравии якобы перевели на счета созданной Абуаммо компании около 300 тыс. долларов. Аль-Забарах, по данным следователей, выполняя указания из Эр-Рияда, проанализировал около 6 тыс. учетных записей в «Твиттере». Абуаммо предоставлял заказчикам в королевстве телефонные номера и адреса электронной почты интересовавших их лиц. В «Твиттере», комментируя предъявление обвинений ее бывшим сотрудникам, заявили: «Мы понимаем, какие усилия готовы предпринять злоумышленники, пытаясь нарушить работу нашего сервиса. Наша компания предоставляет доступ к закрытым данным, касающимся учетных записей, лишь узкому кругу квалифицированных и прошедших проверки сотрудников».
По сведениям источников газеты «Нью-Йорк таймс», аль-Забарах передал Эр-Рияду, в частности, сведения о выходце из Саудовской Аравии Омаре Абдель Азизе. Последний являлся доверенным лицом саудовского журналиста Джамаля Хашогги.  Он пропал при посещении генконсульства своей страны в Стамбуле 2 октября 2018 года. 20 октября саудовские власти сообщили, что журналист был убит в здании дипломатической миссии. Мировое сообщество осудило это преступление, призвав Эр-Рияд провести прозрачное расследование. Новые обвинения против двух бывших сотрудников Twitter, которых Саудовская Аравия завербовала в целях шпионажа, демонстрируют необходимость для компаний держать жесткий контроль над тем, какие сотрудники могут получить доступ к той или иной информации и многое другое. В этой связи отметим, что основные разоблачения против «саудовских шпионов» снова тиражируются газетой «Нью-Йорк таймс», которая в последние годы стала фактически рупором катарской пропаганды в США. И направлена она в основном против позиций КСА и ОАЭ путем их компрометации в американском общественном мнении. Что же касается последних по времени разоблачений в отношении саудовской шпионской активности в кибер-сфере, то отметим два важных момента, которые следуют из этого дела. Для начала напомним, что Эр-Рияд в последние годы уделяет повышенное внимание развитию именно это сектора подрывной войны, и это связано не только с необходимостью противостоять иранской аналогичной угрозе, но и борьбе против Катара и внутренней оппозиции.   Также отметим, что вся индустрия кибебербезпасности КСА в настоящее время монополизирована исключительно в руках наследного принца Мухаммеда бен Сальмана. Кибербезопасность и кибератаки стали сферой деятельности компаний, которые находятся под пристальным контролем людей из его близкого круга. При этом именно эта сфера в рамках государственного финансирования со стороны различных ключевых министерств является ключевым приоритетом в рамках новой стратегии крон-принца. Одним из основных органов, который курирует и финансирует эту деятельность, является недавно созданный Директорат государственной безопасности (PSS), который объединяет и курирует все органы внутренней безопасности Саудовской Аравии. Эта структура сейчас выступает в качестве главного бенефициара по укреплению безопасности компьютерных систем Саудовской Аравии. Согласно ряду данных, недавно американская Technology Control Co. (TCC) заключила контракт на сотни миллионов долларов в рамках укрепления потенциала Национального информационного центра (NIC), который раньше подчинялся Министерству внутренних дел, но теперь переподчинен исключительно PSS. ТСС ранее уже работала в интересах ряда ключевых саудовских министерств, в том числе внутренних дел, обороны, транспорта, спецслужб. Но такого рода масштабных контрактов у этой группы еще не было. Такой «взлет» эксперты связывают с тем, что эта компания теперь имеет теперь прямой доступ к кронпринцу: несколько бывших менеджеров ТСС, в том числе ее бывший руководитель специальных проектов, Абдулазиз А. аль-Шурайми, сейчас входят в круг его ближайших советников по вопросам кибербезопасности. TCC имеет партнерские отношения с крупными компьютерными компаниями, включая Cisco, Oracle и IBM, а также с более специализированными фирмами, такими как криптографическое агенство InfoSec Global, которое предоставляет услуги по взлому шифрованной связи и продаже шпионского программного обеспечения. Первый вывод, который следует из всей этой истории свидетельствует о том, что в Эр-Рияде отказались от прежних попыток хакерских атак в отношении американских социальных сетей и мессенджеров. Второй вывод — это обстоятельство совершенное не означает того, что саудовцы такую активность прекратили, в том числе и в рамках борьбы с внутренней оппозицией. И все эти операции по-прежнему курирует лично наследный принц КСА. Собственно история последнего по времени разоблачения это демонстрирует со всем очевидностью.
В данном конкретном случае Эр-Рияд преследовал цель получить доступ не к важным бизнес-секретам, а к пользовательским данным для конкретной группы учетных записей Twitter. Этот случай иллюстрирует, что саудовцы (и не только они) вновь перешли к старой тактике всех спецслужб: они полагают, что проще вербовать агентуру в рядах той или иной IT компании, нежели чем простые хакерские взломы. Это очевидно, поскольку Эр-Рияд хотел вербовать инсайдеров, а не взламывать Twitter. В эпоху, когда кибербезопасность является первоклассной, гораздо дешевле и проще в рамках получения нужно информации — это старомодный шпионаж, то есть вербовка агентуры. Этот момент не только более дешевый, но и не дает возможность вскрыть проникновение в сети или базу чисто техническими способами. В уголовном иске, поданном 5 ноября в окружной суд США в Сан-Франциско ФБР обвинило двух бывших сотрудников Twitter и третьего человека в том, что они действовали в качестве агентов саудовского правительства в Соединенных Штатах, не заявляя о себе. Они обвиняются в оказании помощи правительству Саудовской Аравии в выявлении политических диссидентов и других лиц на платформе социальных сетей, которые критиковали правительство и наследного принца Мухаммеда бен Сальмана. Согласно уголовному иску, Абуаммо, который находится под стражей в США вместе с аль-Мутаири, был нанят в Twitter в качестве менеджера медиа-партнерств с ноября 2013 по май 2015 года, когда он работал с известными пользователями на Ближнем Востоке и в Северной Африке, такими как правительственные чиновники, компании, журналисты и знаменитости. Он стал координатором саудовского правительства в апреле 2014 года, когда Twitter поручил ему обрабатывать запросы Эр-Рияда. В жалобе отмечается, что в конце 2014 года Абуаммо встретился с аль-Мутаири, который управлял компанией социальных сетей, связанной с благотворительным Фондом принца Мухаммеда бен Сальмана бен Абдулазиза (MiSK). В декабре 2014 года Абуаммо, как сообщается, встретился с директором этого благотворительного фонда Бадером аль-Аскаром в Лондоне и получил от него дорогие часы. (В жалобе говорится, что Абуаммо пытался продать часы, которые он оценил в 35 000 долларов, за 25 000 долларов на Craigslist. Как сообщается, он солгал о их ценности в последующем интервью ФБР.) Встреча в Лондоне явно была по терминологии спецслужб «первичной стадией установления оперативного контакта и доверительных отношений» («питч-стадия» цикла вербовки агентуры в американской редакции), который завершился успешно. После этой встречи Абуаммо сделал несколько запросов в базу данных Twitter для получения информации о пользователях, представляющих интерес для Саудовской Аравии. Затем Б.аль-Аскар заплатил ему за информацию, положив деньги на счет в Бейруте, который родственник Абуаммо открыл от его имени. Хотя Абуаммо оставил свою работу в Twitter в июне 2015 года, чтобы переехать в Сиэтл, он продолжал обращаться к бывшим коллегам по компании за информацией, необходимой ему для удовлетворения запросов аль-Аскара, получая деньги за свои услуги. В итоге Абуаммо получил от аль-Аскара по меньшей мере 300 000 долларов наличными плюс часы. Что важно — от этой деятельности сознательно отведены сотрудники саудовских спецслужб: ею занимаются только особо доверенные лица из близкого круга наследного принца. Делается это в том числе по причине того, что Мухаммед бен Сальман не вполне доверяет сотрудникам своих спецслужб, многие из которых имеют доверительные контакты с американскими коллегами.
В феврале 2015 года аль-Мутаири позвонил аль-Забараху, который работал инженером сайта в Twitter с августа 2013 года по декабрь 2015 года после того, как первоначально приехал в Соединенные Штаты на стипендию правительства Саудовской Аравии для посещения лекций в университете в 2005 году. Согласно иску, через несколько дней после установления контакта с аль-Забарахом аль-Мутаири отправился в Сан-Франциско, чтобы поужинать с инженером. Аль-Забарах перед этим прислал аль-Мутаири копию своего резюме. В мае 2015 года аль-Забарах отправился в Вашингтон, округ Колумбия, чтобы встретиться с аль-Аскаром. Ко времени встречи, устроенной аль-Мутаири, аль-Аскар был членом саудовского королевского двора, исполняя обязанности директора личной канцелярии наследного принца. В ходе визита выяснилось, что аль-Аскар завербовал аль-Забараха, поскольку в течение недели после возвращения из Вашингтона последний начал проводить массовые поисковые операции в аккаунте Twitter в рамках поиска информации в отношении людей, представляющих интерес для саудовского правительства. В иске утверждается, что в общей сложности он получил доступ к информации об учетных записях более 6 000 пользователей, включая 33 аккаунта, о которых саудовские правоохранительные органы потребовали информацию от Twitter в рамках «экстренных запросов на раскрытие информации».
3 декабря 2015 г.аль-Забарах оставил свою работу в Twitter, внезапно вернувшись в Саудовскую Аравию со своей женой. Сообщается, что он отправил свое заявление об отставке компании с самолета после того, как покинул Соединенные Штаты. Точно, почему аль-Забарах покинул компанию, публично не известно, поскольку американские власти отредактировали семь абзацев из публично опубликованного письма, которые могли бы объяснить причины его внезапной отставки. Но учитывая поспешный отъезд аль-Забараха и количество звонков, которые он сделал саудовским чиновникам во время процесса, включая генерального консула в Лос-Анджелесе, весьма вероятно, что Служба безопасности Twitter и, возможно, ФБР допросили его о его деятельности 2 декабря 2015 года. В течение месяца после возвращения домой аль-Забарах начал работать на аль-Аскара в составе команды, работающей над проблемами социальных сетей. Из информации, полученной из приложения Apple Notes аль-Забараха, похоже, что он был мотивирован предложением прибыльной работы в королевстве, а также государственной помощью в решении проблемы лечения для своего отца; в случае в вербовкой Абуаммо главным стимулом были деньги. Тем не менее, он связался с аль-Аскаром, чтобы узнать, могут ли его усилия претендовать на часть из 1,9 млн долларов в качестве вознаграждения, которое саудовское правительство предлагало за информацию, которая помогла предотвратить террористические атаки, поскольку некоторые пользователи Twitter, представляющие интерес для Эр-Рияда, были подозреваемыми в терроризме.
В этой связи эксперты американского разведсообщества делают вывод о том, что в случае противодействия угрозам корпоративного шпионажа, важно определить, какие данные действительно важны для защиты; предоставлять доступ к такой информации только определенным людям; тщательно проверять таких сотрудников; а затем контролировать, когда, где и как они могут получить доступ к ней. Но с точки зрения определения того, какие данные следует защищать в первую очередь, принципиально признать, что для разных шпионов будет иметь ценность различная информация. В этом случае саудовцы не были заинтересованы в получении технологических секретов Twitter, что исключает коммерческий шпионаж. Вместо этого они стремились собрать информацию о личности очень специфического набора пользователей Twitter: до такой степени, что они были готовы заплатить сотни тысяч долларов, чтобы получить его. Это означает, что при принятии решения о том, какую информацию защищать, корпорации должны учитывать цели и желания различных субъектов шпионажа, а не только то, что они считают ценным для своего бизнеса внутри страны. В дополнение к предоставленным биографическим данным, Абуаммо и аль-Забарах преуспели в доступе к информации об устройствах и браузерах, используемых для доступа к Twitter, а также их IP — адресам-тип технической информации, которая была бы очень полезна для тех, кто хочет скомпрометировать эти устройства с помощью специально разработанного вредоносного ПО. В этом случае в иске по уголовному делу отмечалось, что ни Абуаммо, ни Аль-Забарах имели цель получить доступ к конфиденциальным данным о пользователях, которые они получили и передали правительству Саудовской Аравии. Сообщается, что Twitter решил сейчас эту проблему, ограничив доступ к пользовательским данным, но учитывая, что Эр-Рияд и другие правительственные и неправительственные субъекты явно заинтересованы в такого рода информации, такие страны, как Саудовская Аравия, безусловно будут продолжать использовать эту тактику по вербовке агентуры среди мусульман, которые работают в интересующих их компаниях и обслуживают сервисы мессенджеров и серверы социальных сетей. Из-за этого профилирование и стереотипизация могут быть контрпродуктивными. Кроме того, тот факт, что любой человек может оказаться мишенью для вербовки, подчеркивает необходимость обучения сотрудников тому, как определить и реагировать на вербовочные подходы не только в отношении самих себя, но и своих коллег. Этот случай также иллюстрирует, что, несмотря на нынешний цифровой век, низкотехнологичный и старомодный подход к агентурной разведке остается чрезвычайно актуальным. В случае, когда компания имеет хорошую кибербезопасность, злоумышленникам зачастую проще и дешевле просто завербовать агента, чем пытаться взломать трафик к информации, которую они хотят получить. Саудовское дело Twitter также показывает, как такие агенты могут представлять собой «продвинутую постоянную инсайдерскую угрозу» в течение нескольких месяцев или даже лет, когда они передают информацию враждебной разведке. Собственно последний по времени шпионский скандал в российском ФСБ, когда в шпионаже были уличены сотрудники центра информационной безопасности, воочию этот момент доказывает. Они представили именно тот объем информации, который чисто техническим путем американцы получить не смогли бы. А информация эта, по оценкам самих американцев, легла в том числе в основу обвинений (правда, недоказуемых юридически) о «вмешательстве Москвы в американские выборы». В данном случае американская история безусловно должна быть учтена и российском секторе информационной безопасности. Отметим особо, что саудовцев в первую очередь сейчас интересуют данные на своих собственных диссидентов или происки катарцев в этой сфере. При этом важно отметить, что и те, и другие уже практически пришли к выводу о том, что просто хакерские атаки имеют мало смысла с точки зрения их лимитированности по месту и времени. Попытки постоянной борьбы с новыми системами информационной защиты являются дорогостоящими и в ряде случаев бесперспективными. При этом один агент может дать гораздо больше информации за меньшие деньги, что останется в отличие от хакерских атак тайной для всех вплоть до момента разоблачения такого информатора. А это означает, что те же самые диссиденты не будут спешно менять свои электронные адреса и серверы, и это обстоятельство позволяет разведке негласно контролировать такие каналы коммуникации и получать своевременную упреждающую информацию. Собственно в этом и основной смысл контрразведывательной работы на любом направлении.