Spyware israelense é vendido a regimes autoritários e usado para atingir ativistas, políticos e jornalistas, sugerem dados vazados.
Segundo reportagem do The Guardian, ativistas de direitos humanos, jornalistas e advogados em todo o mundo têm sido alvos de governos autoritários, usando software de hackeamento vendido pela empresa de vigilância israelense NSO Group, de acordo com uma investigação sobre um vazamento de dados de grandes proporções.
A investigação do Guardian, em conjunto com 16 outras organizações de mídia, sugere abuso generalizado e contínuo do spyware Pegasus, que a empresa NSO insiste ser destinado apenas para uso contra criminosos e terroristas.
Pegasus é um malware (vírus) que infecta iPhones e dispositivos Android para permitir que os operadores da ferramenta extraiam mensagens, fotos e e-mails, gravem chamadas e ativem microfones secretamente.
A lista vazada contém mais de 50.000 números de telefone que, acredita-se, foram identificados como de pessoas de interesse dos clientes da NSO desde 2016.
Forbidden Stories, uma organização de mídia sem fins lucrativos com sede em Paris, e a Anistia Internacional inicialmente tiveram acesso à lista vazada e compartilharam o acesso com parceiros de mídia como parte do consórcio de reportagem denominado Projeto Pegasus.
A presença de um número de telefone nos dados não revela se um dispositivo foi infectado com Pegasus ou apenas sujeito a uma tentativa de hackeamento. No entanto, o consórcio acredita que os dados são indicativos dos alvos potenciais dos governos clientes da NSO, identificados antes de possíveis tentativas de vigilância.
A análise forense de um pequeno número de telefones, que constam da relação, também mostrou que mais da metade tinha rastros do programa espião (spyware) Pegasus.
O Guardian e seus parceiros de mídia irão revelar a identidade das pessoas cujo número apareceu na lista nos próximos dias. Entre elas estão centenas de executivos de empresas, religiosos, acadêmicos, funcionários de ONGs, dirigentes sindicais e funcionários do governo, incluindo ministros, presidentes e primeiros-ministros.
A lista também contém o número de parentes próximos do governante de um país, sugerindo que o governante pode ter instruído suas agências de inteligência a explorar a possibilidade de monitorar seus próprios parentes.
As divulgações começam no domingo (18), com a revelação de que os números de mais de 180 jornalistas constam dos dados, entre repórteres, editores e executivos do Financial Times, CNN, New York Times, France 24, The Economist, Associated Press e Reuters.
O número de telefone de um repórter freelance mexicano, Cecilio Pineda Birto, foi encontrado na lista, aparentemente por interesse de um cliente mexicano nas semanas que antecederam seu assassinato, quando seus algozes conseguiram localizá-lo em um lava-jato. Seu telefone nunca foi encontrado, então nenhuma análise forense foi possível com vistas a estabelecer se ele estava infectado.
A NSO disse que mesmo que o telefone de Pineda tenha sido visado por algum cliente do Pegasus, isso não significa que os dados coletados de seu telefone contribuíram de alguma forma para sua morte, enfatizando que os assassinos poderiam ter descoberto sua localização por outros meios. Ele estava entre pelo menos 25 jornalistas mexicanos aparentemente selecionados, ao longo de um período de dois anos, como candidatos para serem vigiados.
Sem o exame forense dos dispositivos móveis, é impossível dizer se os telefones foram submetidos a uma tentativa ou efetivamente hackeados com sucesso usando Pegasus.
A NSO sempre sustentou que “não opera os sistemas que vende para clientes governamentais verificados e não tem acesso aos dados dos alvos de seus clientes”.
Em declarações emitidas por seus advogados, a NSO negou “falsas alegações” feitas sobre as atividades de seus clientes, mas disse que “continuaria a investigar todas as alegações confiáveis de uso indevido e tomaria as medidas cabíveis”. A empresa disse que a lista poderia não ser uma lista de números “visados por governos que usam Pegasus” e descreveu 50.000 como um número “exagerado”.
A empresa vende apenas para militares, policiais e agências de inteligência em 40 países, que não identificou, e diz que examina rigorosamente os registros de direitos humanos de seus clientes antes de permitir que usem suas ferramentas de espionagem.
O ministro da defesa israelense regula de perto a NSO, concedendo licenças de exportação individuais antes que sua tecnologia de vigilância possa ser vendida a um novo país.
No mês passado, a NSO divulgou um relatório de transparência no qual afirmava que sua abordagem em relação aos direitos humanos era líder no setor e publicou trechos de contratos com clientes estipulando que eles deveriam usar seus produtos apenas para investigações criminais e de segurança nacional.
Não há nada que sugira que os clientes da NSO também não tenham usado o Pegasus em investigações de terrorismo e crimes, e o consórcio também encontrou números nos dados pertencentes a suspeitos de crimes.
No entanto, a ampla gama de números na lista pertencente a pessoas que aparentemente não têm conexão com a criminalidade sugere que alguns clientes da NSO estão violando seus contratos com a empresa, espionando ativistas pró-democracia e jornalistas que investigam corrupção, bem como oponentes políticos e críticos do governo.
Essa tese é apoiada por análises forenses nos telefones de uma pequena amostra de jornalistas, ativistas de direitos humanos e advogados cujos números constavam da lista vazada. A pesquisa, conduzida pelo Laboratório de Segurança da Anistia, um parceiro técnico do Projeto Pegasus, encontrou rastros da atividade do Pegasus em 37 dos 67 telefones examinados.
A análise também revelou algumas correlações sequenciais entre a hora e a data em que um número foi inserido na lista e o início da atividade de Pegasus no dispositivo, o que em alguns casos ocorreu apenas alguns segundos depois.
A Anistia compartilhou seu trabalho forense em quatro iPhones com o Citizen Lab, um grupo de pesquisa da Universidade de Toronto especializado em estudar o Pegasus, que confirmou que eles apresentavam sinais de infecção por Pegasus. O Citizen Lab também conduziu uma revisão dos métodos forenses da Anistia e concluiu que eles eram sólidos.
A análise do consórcio dos dados vazados identificou pelo menos 10 governos considerados clientes da NSO que estavam inserindo números no sistema: Azerbaijão, Bahrein, Cazaquistão, México, Marrocos, Ruanda, Arábia Saudita, Hungria, Índia e Emirados Árabes Unidos.
A análise dos dados sugere que o país cliente da NSO que selecionou a maioria dos números – mais de 15.000 – foi o México, onde se sabe que várias agências governamentais diferentes compraram o Pegasus. Tanto o Marrocos quanto os Emirados Árabes Unidos selecionaram mais de 10.000 números, de acordo com a análise sugerida.
Os números de telefone selecionados, possivelmente antes de um ataque de vigilância, abrangiam mais de 45 países em quatro continentes. Havia mais de 1.000 números em países europeus que, segundo a análise, foram selecionados por clientes da NSO.
A presença de um número nos dados não significa que houve uma tentativa de infectar o telefone. A NSO diz que havia outros propósitos possíveis para os números serem registrados na lista.
Ruanda, Marrocos, Índia e Hungria negaram ter usado o Pegasus para hackear os telefones dos indivíduos citados na lista. Os governos do Azerbaijão, Bahrein, Cazaquistão, Arábia Saudita, México, Emirados Árabes Unidos e Dubai não responderam aos convites para comentar.
O Projeto Pegasus provavelmente gerará debates sobre a vigilância do governo em vários países suspeitos de usar a tecnologia. A investigação sugere que o governo húngaro de Viktor Orbán parece ter implantado a tecnologia da NSO como parte de sua chamada guerra à mídia, visando jornalistas investigativos no país, bem como o círculo próximo de um dos poucos executivos de mídia independentes da Hungria.
Os dados vazados e as análises forenses também sugerem que a ferramenta de espionagem da NSO foi usada pela Arábia Saudita e seu aliado próximo, os Emirados Árabes Unidos, para alcançar os telefones de associados próximos do jornalista assassinado do Washington Post, Jamal Khashoggi, nos meses após sua morte. A lista vazada também inclui o número de telefone do promotor turco que está investigando a morte do jornalista.
Claudio Guarnieri, que dirige o Laboratório de Segurança da Anistia Internacional, disse que uma vez que um telefone for infectado com Pegasus, um cliente da NSO pode efetivamente assumir seu controle, permitindo-lhe extrair mensagens, ligações, fotos e e-mails de uma pessoa, ativar secretamente câmeras ou microfones e ler o conteúdo de aplicativos de mensagens criptografadas, como WhatsApp, Telegram e Signal.
Ao acessar o GPS e sensores de hardware no telefone, ele acrescentou, os clientes da NSO também podem garantir um registro dos movimentos anteriores de uma pessoa e rastrear sua localização em tempo real com grande precisão, por exemplo, estabelecendo a direção e a velocidade em que um carro estava viajando.
Os avanços mais recentes na tecnologia da NSO permitem que ela penetre em telefones com ataques de “clique zero”, o que significa que o usuário nem mesmo precisa clicar em um link malicioso para que seu telefone seja infectado.
Guarnieri identificou evidências que a NSO tem explorado vulnerabilidades associadas ao iMessage, que vem instalado em todos os iPhones, e foi capaz de penetrar até mesmo em iPhones mais atualizados com a versão mais recente do iOS. A análise forense de sua equipe descobriu infecções bem-sucedidas e tentadas pelo Pegasus em telefones ainda neste mês de julho.
A Apple disse: “Os pesquisadores de segurança concordam que o iPhone é o dispositivo móvel mais protegido e seguro do mercado para o consumidor.”
A NSO recusou-se a fornecer detalhes específicos sobre seus clientes e sobre as pessoas que são seus alvos.
No entanto, uma fonte familiarizada com o assunto disse que o número médio de alvos anuais por cliente é de 112. A fonte disse que a empresa tinha 45 clientes para seu spyware Pegasus.
*Com informações da Carta Maior