Crédito: Ismagilov/Shutterstock
Incontáveis evidências apontam para um aumento no uso de tecnologias modernas para fins opressivos na Arábia Saudita. Nos últimos anos, o mundo testemunhou esquemas que mandam mensagens de texto para homens, para avisá-los quando suas esposas estão prestes a embarcar em voos, programas que tentam censurar aplicativos de mensagens populares no mundo todo, e outros que tentam monitorar redes sociais.Agora, pesquisadores afirmam que um malware governamental parece estar sendo usado para contaminar computadores de membros de minorias xiitas, que recentemente expressaram preocupação sobre marginalização política. “Não estamos na posição de determinar a identidade do grupos ou indivíduos que são alvos do malware. Entretanto, acreditamos que o ataque possa estar ligado a protestos políticos na Arábia Saudita oriental”, o Citizen Lab afirmou em seu relatório. Acredita-se que os xiitas do distrito de Qatif, berço de protestos em 2011, talvez sejam alvos.O malware em questão é uma “tecnologia de interceptação lícita”, vendida por uma empresa italiana chamada Hacking Team. O Sistema de Controle Remoto da Hacking Team foi criado para ser usado por autoridades, para monitorar criminosos genuínos, mas foi encontrado em vários países que contêm um histórico questionável de direitos humanos e regimes totalitários, as pesquisas declararam.O Motherboard já documentou o uso de um software semelhante para atingir ativistas pró-democracia do Bahrein e da Etiópia.Nesse caso mais recente, um aplicativo falso para Android, mascarado como cópia funcional do app de notícias Qatif Today , foi encontrado por pesquisadores do Citizen Lab, um laboratório baseado em Toronto que analisou o malware e indentificou os servidores que ele utiliza."Com a Internet, achamos que seria tudo liberdade e liberdade de comunicação. Mas ela está dando aos governos o poder de impor ideologias antigas com tecnologias modernas."
Ao ser baixado, o app malicioso para Android tentava administrar e controlar o aparelho. Depois, deslocava chamadas, mensagens de textos e outros arquivos do telefone. A ferramenta também é capaz de tirar fotos da tela e do usuário, e tenta acessar arquivos locais armazeados por redes sociais populares e softwares de mensagens, incluindo Facebook, Viber, WhatsApp e Skype.O malware não apareceu em lojas oficiais ou terceirizadas, mas foi linkado no Twitter por um usuário chamado @_bhpearl, um ativista xiita que mora em Bahrein, de acordo com o Citizen Lab. Embora não seja possível ter certeza de quem estava executando a operação da Hacking Team ou quem especificamente eles tentavam monitorar, Morgan Marquis-Boire, um pesquisador do Citizen Lab, agora diretor de segurança da First Look Media, me contou que ele acha que o usuário do Twitter talvez tenha sido alvo por conta de sua lista de seguidores, que provavelmente inclui outros xiitas que interessam as agências de inteligência sauditas.Quem quer que seja o infrator e quem quer que seja o alvo, o surgimento de um malware governamental assim “aponta para a tecnologia agindo como amplificador de poder”, Marquis-Boire acrescentou. “Com a Internet, achamos que seria tudo liberdade e liberdade de comunicação. Mas ela está dando aos governos o poder de impor ideologias antigas com tecnologias modernas.”Enquanto isso, o Citizen Lab recebeu um extenso documento, que eles acreditam ser um manual de uso, do ano passado, para as ferramentas da Hacking Team. Embora não consigam determinar a autenticidade do documento, as descrições condiziam com muito do que os pesquisadores já haviam descoberto.O arquivo vazado, que inclui demonstrações de uso, mostra como o processo de acrescentar módulos ao malware foi facilitado por uma interface GUI chamada Factory. Mecanismos simples de slide podem ligar e desligar funções, como monitoramento do Skype e do histórico da web:Crédito: Citizen Lab
Dentro da interface Factory, o técnico pode escolher, de um leque de opções, ferramentas para atacar usuários, incluindo o uso de um “aplicativo forjado”, em que o código da Hacking Team é inserido num aplicativo-isca. Essa técnica parece ter sido usado no caso do Qatif Today. Outros métodos incluem contaminação por meio de códigos QR, websites malicioso ou USB.Marquis-Boire disse que o vetor de contaminação mais comum para aparelhos móveis era via mensagens de texto enviadas pelo Protocolo de Aplicativos Wireless (WAP), embora não funcione no iOS, da Apple. O software da Hacking Team funciona em todos os grandes sistemas operacionais, incluindo iOS, Mac, Windows, Windows Phone e BlackBerry, assim como Android. Outro método comum é abrir um download de malware no aparelho móvel quando ele se conecta a um PC infectado.O manual vazado também mostrou a funcionalidade do monitoramento por GPS com base no Google Maps, incluindo uma imagem que pode ter revelado uma demonstração de uso para as autoridades americanas, pois mostrava um alvo chamado Jimmy Page no estacionamento da polícia de Los Angeles. Porém, pode ser apenas uma coincidência ou uma escolha infeliz de local.Crédito: Citizen Lab
Embora muitas informações reveladas pelo Citizen Lab sejam preocupantes para ativistas ao redor do mundo, há algumas boas notícias: os usuários da Hacking Team não realizaram um trabalho perfeito ao cobrir seus vestígios. Embora o software use um “sentinela”, que checa se o sistema é passível de contaminação segura (ou se o sistema pertence a analistas que tentam descobrir seus segredos), pesquisadores do Citizen Lab e a firma de antivírus Kaspersky conseguiram mapear as operações do Sistema de Controle Remoto e os servidores que as executam.Marquis-Boire disse que não é culpa da Hacking Team – são os clientes da empresa que parecem estar abrindo o jogo, pois não treinam as autoridades para usar o software devidamente. “É responsabilidade do operador garantir que suas ferramentas não sejam descobertas. O produto da Hacking Team é bom, acontece que há riscos substanciais em operações de segurança quando alguém vende um produto para muitos governos ao redor do mundo”, disse ele.Graças às lacunas no uso da infraestrutura da Hacking Team, a Kaspersky conseguiu detectá-la em 40 países ao redor do mundo e descobrir 326 servidores que executam o software. A maioria encontrava-se nos Estados Unidos, Cazaquistão, Equador, Reino Unido e Canadá. A imagem abaixo mostra a propagação do malware:Crédito: Kaspersky
Sergey Golovanov, da Kaspersky, também contou ao Motherboard que, antes, seu empregador recebeu um pedido para não detectar malware de autoridades, mas não quis dizer quem abordou o fornecedor de anti-vírus. Ele disse que a Kaspersky, que demandou informações mais específicas, jamais aceitaria um pedido do gênero.
Até o momento de publicação deste artigo, a Hacking Team não respondeu o pedido para comentar o caso.Há muitas outras empresas que fazem coisas semelhantes à Hacking Team, e podem estar fazendo um trabalho melhor ao ficar forta dos radares. “O mais interessante nesses caras [fornecedores de ‘interceptação lícita’ em geral] é a natureza generalizada da adesão por parte de autoridades em muitos países diferentes. É a democratização de ferramentas de vigilância, e isso diz respeito à militarização das autoridades”, disse Marquis-Boire.A esperança é que o software seja usado para encontrar criminosos genuínos, em vez de ativistas que estão exercendo sua liberdade de expressão.
Tradução: Stephanie Fernandes
