Почалося все у 2016-му, і за кілька років жертвами кіберстеження стали сотні людей — від еміра Катару і турецького високопосадовця до правозахисника і лауреата Нобелівської премії з Ємену.
У підрозділі працювали співробітники служби безпеки Еміратів, а підрядниками були колишні розвідники США. Розробка називалася Project Raven.
Що ж таке Karma? Це інструмент, який може дистанційно надавати доступ до даних iPhone. Для телефонів на Android програма безпечна. Плюс шпигунського ПЗ у тому, що Karma не вимагала перейти за посиланням, але за її допомогою крали фотографії, електронні листи, геолокацію і збережені паролі. Одна з особливостей Karma — вона може зламувати відразу кілька iPhone одночасно. Зараз немає точної інформації, чи використовується програма досі, але після останнього оновлення iPhone 2017 року Karma стала набагато менш ефективною.
Інформацію про зломи розкрили, тому що країни Перської затоки змагаються у створенні хакерських програм. Як говорить Майкл Деніел, який був головою відділу кібербезпеки за президентства Барака Обами, лише близько 10 країн — Росія, Китай, Сполучені Штати та їхні найближчі союзники — здатні розробляти такі шпигунські програми.
Крім збору інформації, додаток збирав ще й компромат: відверті фото і відео політиків та активістів. Цілі атак оновлювалися щодня, а основною дірою в безпеці iPhone стала система iMessage.
Наприклад, у 2017 році за допомогою Karma зламали iPhone еміра Катару шейха Тамім бін Хамада аль-Тані, колишнього віце-премʼєр-міністра Туреччини Мехмета Шимшека і глави зовнішньополітичного відомства Оману бен Юсуфа Алауї. Що саме поцупили з їхніх телефонів — невідомо. Ще однією жертвою злому стала правозахисниця з Ємену, яку називають Залізною жінкою Сходу, — Тавакуль Карман. Вона була одним з головних ідеологів Арабської весни, яка призвела до революції в Єгипті та повалення Хосні Мубарака в 2011 році. Участь американських розвідників у шпигунстві шокувала Карман: «Ми думали, що Америка завжди на боці демократії та надасть засоби безпеки, щоб боротися з тиранами». Американцям платили через компанію DarkMatter з ОАЕ, яка займається кібербезпекою. Компанія не відповіла на жоден дзвінок чи лист від Reuters.
Уряд ОАЕ купив Karma через іноземного продавця, і, як стверджують у Reuters, відстежити її творця неможливо. Оперативники знали, як використовувати програму, щодня «згодувуючи» їй нові цілі, але ніхто точно не розумів, як саме вона зламує iPhone.
Reuters не змогли отримати жодних коментарів ані від Apple, ані від правителів ОАЕ, а стаття заснована лише на розповідях співробітників Project Raven. Доказів, що отриману завдяки Karma інформацію хоч якимось чином використовували, знайти теж не вдалося.