讲述：一个天真的美国国家安全局工作人员如何帮助外国建立一个进攻性的安全部门

今天带大家看看昨天BLACK HAT USA 2021最佳讲述：

最初是为一个天真、年轻的安全分析师提供的令人难以置信的工作机会，变成了一个爆炸性的案例，前美国专家在不知不觉中帮助外国服务机构建立了一个进攻性的安全部门。

被称为“乌鸦计划”的一个由十多名前美国情报人员组成的团队被挖走，他们承诺的工作角色似乎好得令人难以置信——只是为了让他们代表阿拉伯联合酋长国 (UAE) 参加活动，至少值得怀疑。 

正如《纽约时报》和路透社此前报道的那样，“乌鸦计划”涉及对其他政府、激进组织、人权活动家、记者和其他对君主制感兴趣或批评君主制的各方进行秘密监视。 

其中一名特工是大卫·埃文登（David Evenden），他曾是一名前攻击性情报分析师、海军成员，现在是 StandardUser LLC的创始人，曾为美国国家安全局 (NSA) 工作。 

在拉斯维加斯的Black Hat USA，Evenden描述了他在阿联酋工作的时间，这个故事之前也曾在Darknet Diaries播客中被广泛报道过。 

在为NSA工作了大约三年之后，2014 年，CyberPoint的一名招聘人员，据报道已经通过美国政府的审查，向埃文登提出了一个新的职业机会。 他被告知，他将参与阿布扎比的安全工作，并将帮助打击恐怖主义活动并减少他家乡政府机构的工作量，这是与美国达成的更广泛的国防协议的一部分。 

“一切都是光明正大的，我们都对自己所做的事情充满信心，”埃文登说。 正如所指出的：“这是他们如何告诉我，工作的目的，”妮可Perlroth执笔，总体合同被称为Project DREAD -或发展研究开发和分析部门。 

Perlroth写道，Project DREAD严重依赖于分包商，包括CyberPoint以及“像埃文登这样的数十名才华横溢的前NSA黑客”。

安全专家解释说，到达后，设置了两次背靠背的简报。紫色文件夹中的“封面”故事是，他将致力于采取防御措施。然而，在接下来的会议中，发出了一个黑色文件夹。 黑色文件夹显示，埃文登将与阿联酋国家安全局的对应机构 NISSA合作，进行进攻性安全、监视和收集感兴趣目标的数据——这从未被公众承认。 如果这不是一个危险信号，使用改建的别墅进行运营——以及免税生活方式和丰厚薪水的承诺——应该会让埃文登意识到一些不太对劲的事情。 

在最初的几个月里，进行了打击恐怖主义的侦察，例如从TwitterAPI、关键字分析和社交媒体聊天的计算增量中提取数据。然而，虽然最初被告知他将代表美国和盟友工作，但该特工在暗网日记中表示，不久之后CyberPoint代表其客户而不是恐怖分子攻击了“真实的和感知的”阿联酋敌人. ISIS是范围最早的团体之一，但这最终转向了从民权活动家到记者和在Twitter上批评阿联酋的个人的所有人。 

“然后我们开始收到有关追踪资金的问题，”安全专家说，并补充说该组织随后被要求进入卡塔尔，看看是否有任何现金被用于支持穆斯林兄弟会-当被告知时他们需要入侵该国的系统获得许可。 提交的材料随后开始出现偏差——例如对卡塔尔王室飞行计划的要求。 

2015 年，属于Michelle Obama的电子邮件登陆他的电脑的那一刻改变了游戏规则。这些电子邮件与前第一夫人的团队和中东之行有关，以促进“让女孩学习”倡议。 “这是我说的那一刻，‘我们不应该这样做。这不正常，”埃文登告诉Perlroth。

2015 年底，当地实体DarkMatter接管了Project Raven“乌鸦计划”的运营。该组织被允许对外国组织进行进攻性行动，并要求特工加入或回家。 “忠于美国的人不会那样做，所以我们跳槽回家，”埃文登说。 

该团队的另一名成员是洛里·斯特劳德（Lori Stroud），她是一位曾在 NSA 工作的网络安全专家。据报道，DarkMatter的一项要求针对一名美国记者，一旦斯特劳德表达了她的担忧，她就被迅速从该项目中删除。斯特劳德在接受路透社采访时说，那一刻，她变成了“坏间谍”。

埃文登错过的危险信号可以作为其他考虑移居国外的安全专业人士的教训，他有一些建议要提供-希望其他人不要犯同样的错误。 

“检验你的领导能力——这是我从中学到的主要东西之一，”埃文登评论道。“如果你让那些头发竖起来，你需要退后一步[并]确保你有一个退出策略——无论一个组织是否为你提供了一个，你也需要一个。”