Spyware foi usado contra alvos catalães, Primeiro-Ministro e Ministério das Relações Exteriores do Reino Unido

Pesquisadores do The Citizen Lab da Universidade de Toronto revelaram duas descobertas significativas que destacam ainda mais o uso generalizado de aplicativos de spyware de mercenários israelenses. Primeiro, o grupo divulgou novas rodadas de resultados forenses que identificaram os telefones dos catalães visados na Espanha. Em segundo lugar, eles descobriram que o spyware se infiltrou nos escritórios do Primeiro Ministro e de Foreign and Commonwealth no Reino Unido.

Essas revelações também apareceram em conjunto com uma longa investigação do jornalista Ronan Farrow que apareceu no New Yorker. A pesquisa de Farrow oferece novos detalhes sobre a ascensão da indústria de spyware, os problemas enfrentados pelos fornecedores de spyware, os esforços das empresas de tecnologia para circunscrever o malware altamente sofisticado e as ações planejadas do governo Biden em relação a essa tendência.

Esforço para plantar spyware abrange amplo espectro na Catalunha

No que chama de CatalanGate, o Citizen Lab, em colaboração com grupos da sociedade civil catalã, identificou pelo menos 65 indivíduos em um amplo espectro da sociedade na Catalunha que foram alvos ou infectados com spyware mercenário em “um esforço generalizado e extremamente bem informado para monitorar os processos políticos catalães”. Sessenta e três desses indivíduos foram alvos ou infectados pelo spyware Pegasus do NSO Group, enquanto quatro foram alvos de um spyware feito por um rival do NSO, o israelense Candiru. Além disso, 51 vítimas foram confirmadas como infectadas com o Pegasus por meio de testes forenses em seus telefones.

Membros do Parlamento Europeu, presidentes catalães, legisladores, juristas, membros de organizações da sociedade civil e alguns familiares foram alvos ou infectados com o spyware. Quase todos os incidentes de spyware ocorreram entre 2017 e 2020, embora o Citizen Lab tenha encontrado uma instância de segmentação em 2015. Como a Espanha tem uma alta prevalência de usuários de Android sobre iOS e as ferramentas forenses do Citizen Lab são muito mais desenvolvidas para iOS, a organização acredita que seu relatório subestima fortemente o número de indivíduos provavelmente visados e infectados com Pegasus.

Todos os membros catalães do Parlamento Europeu (MEP) que apoiaram a independência foram visados diretamente com a Pegasus ou por meio de segmentação relacional suspeita. Três foram infectados diretamente e mais dois tiveram funcionários, familiares ou associados próximos como alvo do Pegasus.

Várias organizações da sociedade civil catalã que apoiam a independência política catalã foram alvos da Pegasus, incluindo Òmnium Cultural e Assemblea Nacional Catalana (ANC). Os catalães que trabalham nas comunidades de votação digital e de código aberto também foram alvos. Além disso, advogados representando proeminentes catalães foram alvos e infectados com Pegasus, alguns extensivamente.

As técnicas incluíam um novo exploit de zero clique chamado Homage

Os invasores catalães infectaram as vítimas do Pegasus por meio de pelo menos duas explorações: explorações sem cliques e mensagens SMS maliciosas. As explorações de clique zero são difíceis de se defender, uma vez que não exigem que as vítimas se envolvam em nenhuma atividade.

O Citizen Lab descobriu um novo exploit, não descrito anteriormente, chamado Homage, que parece ter sido usado nos últimos meses de 2019. O Homage foi disparado em pelo menos seis datas em 2019 e 2020 e não foi usado contra um dispositivo executando uma versão do iOS superior a 13.1.3. O Citizen Lab relatou a exploração à Apple e disse que não tem evidências que os usuários de dispositivos da Apple em versões atualizadas do iOS estejam em risco.

Outro exploit de clique zero implantado foi o KISMET, um dia zero usado no iOS 13.5.1 e iOS 13.7 durante o verão de 2020. Embora o exploit nunca tenha sido capturado e documentado, aparentemente foi corrigido por alterações introduzidas no iOS14, incluindo o BlastDoor framework, um novo sistema de segurança que a Apple adotou em janeiro de 2021.

Forte ligação com o governo espanhol

Os ataques por SMS envolveram operadores enviando mensagens de texto convincentes contendo links maliciosos para induzir os alvos a clicar. Por exemplo, Jordi Baylina, Líder de Tecnologia na popular plataforma de dimensionamento descentralizada Ethereum Polygon, recebeu uma mensagem de texto disfarçada como um link de cartão de embarque para um voo da Swiss International Air Lines que ele havia comprado, sugerindo que os invasores tinham acesso ao registro de nomes de passageiros de Baylina (PNR) ou outras informações coletadas da operadora.

A análise do Citizen Lab do spyware do Candiru mostrou que o Candiru foi projetado para acesso extensivo ao dispositivo da vítima, como extrair arquivos e conteúdo do navegador e roubar mensagens salvas no aplicativo criptografado Signal Messenger Desktop. Três dos alvos da Candiru receberam um e-mail de phishing malicioso no início de fevereiro de 2020 com o emblema oficial do governo da Espanha e informando que a Organização Mundial da Saúde havia declarado a Covid-19 como uma “emergência de saúde pública de importância internacional” em janeiro. Um dos alvos do Candiru recebeu um e-mail representando o Mobile World Congress (MWC) com um link para ingressos.

Embora o Citizen Lab não esteja atribuindo conclusivamente essas operações de hackers a um governo específico, ele diz que uma série de evidências circunstanciais aponta para um forte vínculo com uma ou mais entidades dentro do governo espanhol.

Emirados Árabes Unidos, Índia, Chipre e Jordânia ligados às infecções no Reino Unido

Embora o Citizen Lab se concentre principalmente em ameaças digitais à sociedade civil, ele encontrou casos em que os governos usam spyware para realizar espionagem internacional contra outros governos. Em 2020 e 2021, a organização observou e notificou o governo do Reino Unido sobre várias instâncias suspeitas de infecções por spyware Pegasus nas redes oficiais do Reino Unido

As instâncias do Reino Unido incluem várias que afetam o Gabinete do Primeiro Ministro (10 Downing Street) e o Foreign and Commonwealth Office (FCO, agora Foreign Commonwealth and Development Office, ou FCDO). O Citizen Lab descobriu que telefones conectados ao Foreign Office foram hackeados usando o Pegasus em pelo menos cinco ocasiões, de julho de 2020 a junho de 2021.

A suspeita de infecção no Gabinete do Primeiro-Ministro do Reino Unido foi associada a um operador da Pegasus ligado aos Emirados Árabes Unidos. As suspeitas de infecções relacionadas ao FCO foram associadas a operadores da Pegasus que o Citizen Lab vincula aos Emirados Árabes Unidos, Índia, Chipre e Jordânia.

Em seu relatório, Ron Deibert, Diretor do Citizen Lab, disse: “Acreditamos que é extremamente importante que os esforços [do governo do Reino Unido] [relacionados à política cibernética] sejam liberados da influência indevida de spyware. Dado que um advogado do Reino Unido envolvido em um processo contra o NSO Group foi hackeado com a Pegasus em 2019, nos sentimos compelidos a garantir que o governo do Reino Unido estivesse ciente da ameaça de spyware em andamento e tomasse as medidas apropriadas para mitigá-la”.

Quase todos os governos europeus usam ferramentas NSO

Além de revelar novos detalhes e oferecer mais detalhes sobre as infecções por spyware mercenário do governo catalão e do Reino Unido, a investigação de Farrow na New Yorker oferece outras novidades relacionadas à indústria de spyware. Por exemplo, Farrow começou a entrevistar Shalev Hulio, CEO do NSO Group, em 2019 e, desde então, teve acesso à equipe, escritórios e tecnologia do NSO Group.

O pioneiro do spyware em apuros está enfrentando vários processos judiciais, lidando com dívidas, lutando contra seus patrocinadores corporativos e deixando de vender seus produtos para as autoridades dos EUA. No ano passado, o Departamento de Comércio dos EUA adicionou o NSO Group e vários outros fabricantes de spyware a uma lista de entidades impedidas de comprar tecnologia de empresas americanas sem licença.

A empresa disse a Farrow que havia sido “alvo de várias organizações de defesa politicamente motivadas, muitas com conhecidos preconceitos anti-Israel”, e acrescentou que “cooperamos repetidamente com investigações governamentais… e aprendemos com cada uma dessas descobertas e relatórios e aprimoramos as salvaguardas em nossas tecnologias”.

A empresa também disse a Farrow sobre as infecções no Reino Unido: “Informações levantadas no inquérito indicam que essas alegações são, mais uma vez, falsas e não podem estar relacionadas a produtos NSO por razões tecnológicas e contratuais”.

Hulio disse a Farrow: “Quase todos os governos da Europa estão usando nossas ferramentas”. Um ex-alto funcionário da inteligência israelense disse que “o NSO tem um monopólio na Europa. Autoridades alemãs, polonesas e húngaras admitiram usar o Pegasus. A polícia belga também o usa, embora não admita”.

A administração de Biden está lançando uma revisão

Embora o New York Times já tenha relatado que a CIA pagou para Djibuti adquirir a Pegasus para combater o terrorismo, Farrow revela uma investigação não relatada pelo WhatsApp que afirma que a tecnologia também foi usada contra membros do próprio governo de Djibuti, incluindo seu Primeiro-Ministro, Abdoulkadar Kamil Mohamed, e seu Ministro do Interior, Hassan Omar.

Ele também revela que o governo Biden está investigando alvos adicionais de funcionários dos EUA. No ano passado, surgiram relatos de que os iPhones de 11 pessoas que trabalham para o governo dos EUA no exterior, muitos deles em sua embaixada em Uganda, foram hackeados usando o Pegasus.

Além disso, o governo lançou uma revisão das ameaças representadas por ferramentas de hackers comerciais estrangeiras. Além disso, a Casa Branca disse a Farrow que também está analisando “uma proibição de compra ou uso pelo governo dos EUA de spyware comercial estrangeiro que represente riscos de contrainteligência e segurança para o governo dos EUA ou tenha sido usado indevidamente no exterior”.