No verão de 2014, um pequeno empresário desconhecido de Nova Deli, na Índia, tentou entrar na indústria bilionária de serviços de vigilância e hacking terceirizados para governos.Para impressionar clientes em potencial, a empresa, chamada Aglaya, descreveu um leque de serviços notáveis — e obscuros — em um panfleto detalhado de 20 páginas. O documento, obtido pela Motherboard, dá um panorama do mercado de fornecedores de ferramentas de vigilância e hackingque anunciam seus produtos em congressos ao redor do mundo.
Publicidade
Nunca publicado de fato, o papel não só expõe os serviços duvidosos da Aglaya, como também oferece um vislumbre ímpar das negociações obscuras entre hackers, intermediários de segurança da informação e governos dos quatro cantos, que buscam, às pressas, aprimorar suas competências em vigilância à medida que se percebem vulneráveis.O documento de vendas também mostra como as ferramentas comerciais de spyware viraram lugar comum. Por três mil euros por licença, a empresa oferecia spyware para Android e iOS, semelhante aos produtos de malware disponibilizados no passado por figuras como a Hacking Team, a FinFisher e, recentemente, o Grupo NSO, cuja ferramenta de invasão de iPhones foi pega em flagrante quinze dias atrás. Por um montante maior, de 250.000 euros, a empresa prometia rastrear qualquer telefone celular no mundo.São serviços-padrão, oferecidos por uma cambada de companhias que vendem seus wares na ISS World, congresso anual informalmente conhecido como "Baile dos Grampos". Mas a Aglaya tinha ainda muito mais para oferecer. Com campanhas de oito a doze semanas, a 2.500 euros por dia, a empresa prometia "poluir" os resultados de buscas online e redes sociais como o Facebook e o Twitter "para manipular eventos atuais". Para esse serviço, intitulado "Informações Armadas", a Aglaya oferecia operações de "infiltrações", "emboscadas" e "planos infalíveis" para "descreditar um alvo", fosse "um indivíduo ou uma empresa".
Publicidade
"Continuaremos a barrar informações até o resultado desejado 'alçar voo' e figurar nos 10 melhores retornos em QUALQUER ferramenta de busca", descreveu a empresa como benefício extra de seus serviços.
A Aglaya também oferecia a supressão de informações, bem como ataques DDoS, por apenas 600 euros por dia, usando botnets (redes infectadas por bots) para "gerar tráfego-fantasma" no site-alvo e tirá-lo do ar, segundo o panfleto. Como parte do serviço, os clientes poderiam ainda comprar uma extensão para "gerar falsas acusações criminosas contra os Alvos em seus respectivos países" pela bagatela de 1 milhão de euros.Também a partir de 1 milhão de euros, os clientes poderiam comprar um "Serviço de Armamento Cibernético" para atacar unidades de "produção", "matrizes elétricas", "redes essenciais de infraestrutura" e até satélites e aviões. A Aglaya oferecia ainda a possibilidade de revelar defeitos desconhecidos, ou vulnerabilidades zero-days, em sistemas de controle industrial da Siemens por 2 milhões de euros.
Segundo especialistas que analisaram o documento para a Motherboard, algumas ofertas da Aglaya provavelmente não passam de exagero. É capaz que sejam até mesmo pura farsa. Mas o documento mostra que há governos interessados nesses serviços, o que significa que haverá empresas dispostas a preencher as lacunas do mercado e vender para eles."A empresa oferece alguns produtos muito, muito suspeitos", diz Christopher Soghoian, principal tecnólogo da União Americana pelas Liberdades Civis, que acompanha o mercado emergente de fornecedores de tecnologia há anos. "Se você oferecer a capacidade de atacar satélites e aviões, não é uma interceptação lícita. É basicamente 'o que você quiser, tentaremos fazer'. É óbvio que são mercenários; o que não está claro é se conseguem entregar as promessas de fato. Não é uma empresa fingindo estar focada somente no mercado de interceptações lícitas; são operações cibernéticas terceirizadas."
Publicidade
Ankur Srivastava, CEO e fundador da Aglaya, não negou que o panfleto é legítimo. Em entrevista ao Motherboard, disse apenas que esse catálogo em particular foi repassado somente a "um cliente em particular"."Esses produtos não estão no nosso site, junto aos nossos clientes, e não representam nossa visão de portfólio de produto", falou Srivastaval, via email. "Era uma proposta customizada para apenas um cliente, e sequer foi desenvolvida, visto que a negociação não foi para frente."Srivastava acrescentou que se arrepende de ter participado da ISS pois a Aglaya não conseguiu fechar negócios e vender seus serviços. Ele também alegou que a empresa não oferece mais esse tipo de trabalho. (Um organizador da ISS World não nos respondeu quando perguntamos se o congresso vetava ou aceitava empresas que oferecem serviços do gênero.)"Gostaria de deixar claro que não fazemos parte desse mercado. Não quero comparecer ao evento de marketing errado", acrescentou.Quando a Motherboard lançou uma série de perguntas mais detalhadas, contudo, Srivastava se recusou a elaborar mais. Em vez disso, reiterou que sua companhia jamais vendeu serviços de hacking a um governo contratante. Ele reclamou que o fracasso da empresa provavelmente se deu por conta de não ser situada "no Ocidente", lançando a hipótese de que a maioria dos clientes buscam fornecedores "ocidentais".Quando a Motherboard solicitou a identidade do cliente em potencial que demonstrou interesse pelos serviços, Srivastava disse que não sabia quem era, que ele negociou apenas com um revendedor, um "agente" da América do Sul que "alegava ter ligações internacionais" e "estava interessado em tudo, qualquer coisa".
Publicidade
O documento em si não contém pistas sobre o país interessado. Mas governos da América Latina, como o México e o Equador, têm fama de usar bots de Twitter e outras táticas para lançar campanhas de desinformação online, exatamente como os serviços oferecidos pela Aglaya. Além disso, o México não poupa gastos no mercado de ferramentas de spyware, produzidas por empresas como a Hacking Team e FinFisher.
Srivastava também desviou das questões sobre os produtos de spyware da empresa. Uma fonte que costumava trabalhar com tecnologia de vigilância, que perdiu para permanecer no anonimato, dado o tópico sensível, porém, alega ter visto uma amostra do malware da Aglaya em ação."Era uma bosta", disse a fonte. "O código estava cheio de referências à Aglaya."Um de seus clientes foi infectado pelo malware no fim do ano passado quando recebeu um novo celular pelo correio, sob o pretexto de que havia ganhado uma promoção (pura invencionice, claro). Por mais ridículo que soe, é assim que a Aglaya atingia suas vítimas, visto que não conseguia burlar as medidas de segurança da Apple e invadir os aparelhos para infectá-los.Essa alternativa desleixada foi descrita em um artigo da revista Insider Surveillance, especializada na indústria de spyware."Para a instalação, o acesso da Aglaya ao iOS requer um telefone em desuso e uma senha", dizia o artigo. "Quando falam em 'desuso', torço para que queiram dizer 'parado', e não 'roubado'. Ou que não contem com agentes para entrar de fininho no quarto do alvo e plantar o malware… ou que não esperem o alvo divulgar a senha durante o sono.""Gostaria de deixar claro que não fazemos parte desse mercado."
Publicidade
A fonte anônima disse que, de qualquer forma, certamente há um mercado para os serviços oferecidos pela Aglaya, inclusive os mais obscuros. "Acho possível haver um interesse por esse tipo de serviço, pelo menos em alguns países do Oriente Médio", disse a fonte.Outra fonte, que também pediu para permanecer no anonimato para falar abertamente, disse que um representante da Aglaya comentou uma vez que a empresa tinha clientes no Oriente Médio. A fonte também disse que as declarações da companhia afirmando ter abandonado o segmento de tecnologia de vigilância são "mentirosas". Ele acrescentou que chegou a ver uma versão atualizada do panfleto ano passado.A Aglaya pode até ter clientes, mas é um peixe pequeno na indústria de vigilância e hacking. Certamente há mais empresas, com serviços melhores e mais clientes, que não conhecemos. E capaz que sigam para sempre na miúda, a não ser que sejam apreendidas, caso os clientes abusem de suas ferramentas — como nos casos do Grupo NSO e da Hacking Team —, ou caso seus materiais de marketing vazem na rede.Essas empresas costumam vender serviços de defesa e ataque. Depois de se esquivar da maioria das questões, Srivastava perguntou ao Motherboard se gostaria de dar uma olhada no produto mais recente da Aglaya, o SpiderMonkey, aparelho que detecta dispositivos Stingray e outros rastreadores IMSI, cacarecos de vigilância utilizados por agências policiais e de inteligência ao redor do mundo inteiro para rastrear e interceptar dados de telefones celulares."Por favor, considere os nossos serviços", disse ele, provavelmente repetindo a fala que soltou para aquele "único" cliente desconhecido dois anos atrás.Tradução: Stephanie Fernandes