De FBI heeft malware ingezet bij de zoektocht naar een verdachte die dreigde om op vliegvelden en universiteiten bommen af te laten gaan, zo meldt de Washington Post aan de hand van gerechtelijke stukken. De verdachte die de FBI zocht communiceerde alleen via e-mail en Google Voice.

Doordat er geen telefoon was om af te tappen of een huis om te doorzoeken besloot de FBI malware te ontwikkelen die stilletjes werd geïnstalleerd als de verdachte op zijn Yahoo e-mailaccount zou inloggen. De malware had als doel het verzamelen van informatie over websites die de verdachte had bezocht en moest zijn IP-adres doorsturen.

Dreigement

De bommeldingen begonnen nadat de Amerikaanse autoriteiten een man hadden opgepakt die in een bioscoop in Aurora 12 mensen had doodgeschoten. De verdachte, die zich voordeed als een vriend van de bioscoopschutter, waarschuwde de autoriteiten zowel via Gmail als Google Voice. De FBI vroeg aan Google informatie over het Gmail-adres dat de verdachte gebruikte.

Die had via een virtuele proxy zijn IP-adres afgeschermd. In de maanden daarna dreigde de verdachte dat hij verschillende bommen zou laten afgaan, hoewel dit geen enkele keer gebeurde. Wel stapte hij over op een ander e-mailadres, namelijk texan.slayer@yahoo.com. De verdachte beweerde dat hij een Iraanse soldaat was en had eerder foto's van een man in een Iraans legeruniform gemaild.

Ook had hij bij het aanmaken van zijn Yahoo-account als land Iran ingevuld. Dat kwam overeen met het IP-adres dat voor de registratie was gebruikt. Verder had hij ook een verjaardag ingevuld, waaruit zou blijken dat hij 27 jaar zou zijn. Een leeftijd die overeenkwam met de foto's die hij eerder naar de Amerikaanse autoriteiten had gestuurd.

Toestemming

Vijf maanden na de eerste bommelding gaf de rechter de FBI op 11 december 2012 toestemming om malware in te zetten voor de opsporing van de verdachte. De opsporingsdienst kreeg twee weken de tijd om de surveillancesoftware die naar het Yahoo-adres zou worden gestuurd te activeren. Bij het huiszoekingsbevel dat de FBI had ingediend was er echter een typefout gemaakt, waardoor er een nieuw bevel moest worden aangevraagd.

Daarnaast waren er twijfels over de werking van een software-update voor een programma dat de FBI wilde gebruiken om de computer van de verdachte te infecteren. Dit zorgde ervoor dat de FBI de malware moest aanpassen. Het bevel van de rechter stond het gebruik van een "Internet weblink" toe die de surveillancesoftware op de computer van de verdachte zou installeren zodra hij op zijn Yahoo-account inlogde.

Drie dagen nadat de rechter het bevel had verstrekt werd de malware ook daadwerkelijk verstuurd, maar die bleek niet goed te werken. Wel stuurde de computer twee nieuwe IP-adressen naar de FBI, die zouden aangeven dat de verdachte zich nog steeds in Iran bevond. Hoe de aanval via de malware precies werd uitgevoerd blijft onduidelijk. Yahoo zegt in een reactie niets van de operatie af te weten en zou op geen enkele manier hebben meegeholpen.