Motherboard

​Perícia revela que jornalista turco preso por terrorismo era inocente

Nova análise do computador de Barış Pehlivan mostra a implantação de um novo e raro malware chamado Ahtapot. As coisas ficam bem esquisitas a partir daí.

por Andrada Fiscutean
13 Setembro 2016, 1:20pm

Crédito: John Bolesky/Getty

O jornalista investigativo turco Barış Pehlivan passou 19 meses na prisão após ser acusado de terrorismo com base em documentos encontrados no seu computador. Quando peritos em computação forense examinaram seu equipamento, porém, eles descobriram que os arquivos em questão haviam sido plantados; segundo eles, alguém havia retirado o disco rígido do computador, copiado os documentos e depois o reinstalado.

Os culpados também tentaram controlar o computador do jornalista remotamente para usar vírus escondidos em emails e pen drives. Dentre os vírus detectados no computador estava o Ahtapot, um trojan extremamente raro.

"Nunca vimos um computador tão infectado quanto o de Barış. Quem o atacou usou todo seu arsenal de vírus e malwares", disse Mark Spencer, um especialista em perícia forense computacional da empresa Arsenal Consulting.

Pehlivan e seis de seus colegas foram presos em fevereiro de 2011, depois que provas digitais apreendidas durante uma batida policial no mesmo ano os ligaram ao Ergenekon, um suposto grupo armado acusado de terrorismo na Turquia.

Não se sabe quem é o responsável pelos ataques, mas o nível de sofisticação do malware empregado, o uso do Ahtapot e o timing da prisão de Pehlivan indicam um ataque altamente coordenado e muito bem financiado.

Este é um incidente determinante para a segurança digital e para a liberdade de imprensa de um país onde há, nas palavras de um grupo de direitos humanos, uma "caça às bruxas direcionada a jornalistas". Pelo menos 78 jornalistas, funcionários do setor midiático e donos de jornais foram presos na Turquia desde a tentativa de golpe ocorrida no dia 15 de julho.

O site para qual Pehlivan trabalhava, o OdaTV, já publicou críticas ao governo e ao Movimento Gülen, acusado pelo presidente turco Recep Tayyip Erdoğan como culpado pela recente tentativa de golpe. Os jornalistas foram libertados no dia 14 de setembro de 2012, mas o processo ainda está em curso.

"Somos inocentes", afirma Barış Pehlivan. "Os arquivos foram colocados em nossos computadores por um vírus quando eles [os culpados] invadiram o escritório da OdaTV. Nenhum de nós havia visto esses documentos até o promotor nos mostrá-los".

Um artigo publicado pelo especialista em computação Mark Spencer na Digital Forensics Magazine traz informações relevantes ao caso: segundo a publicação, vários outros relatórios identificaram a presença de vírus nos computadores utilizados para incriminar o jornalista.

Barış Pehlivan. Crédito: Jimkuras/Wikimedia

Spencer afirma que nenhum outro perito identificou a presença do trojan Ahtapot no caso da OdaTV, e que nenhum deles foi capaz de determinar como esses documentos surgiram no computador do jornalista. Entretanto, quase todos os relatórios concluíram que os documentos foram plantados.

A nosso pedido, especialistas em segurança de três diferentes empresas revisaram o artigo de Spencer e concluíram que o trabalho é confiável e bem fundamentado, contanto que os dados retirados do computador do jornalista sejam de fato reais.

"Sim, [o relatório] definitivamente chama a atenção", disse Tanel Kaivola, consultor de segurança sênior da F-Secure.

***

"É preciso muita confiança para atacar um computador quatro vezes localmente e sete vezes remotamente [entre 1º de janeiro de 2011 e 11 de fevereiro de 2011], assim como um certo nível de habilidade técnica para estabelecer a infraestrutura desses ataques, que incluem falsificação de documentos e manipulação de datas".

O que mais impressionou Spencer durante a investigação foi um malware que ele nunca havia visto. Ele havia sido instalado no computador de Pehlivan na tarde do dia 11 de fevereiro de 2011, uma sexta-feira. A batida policial aconteceu na manhã da segunda-feira seguinte.

Spencer ligou para Gabor Szappanos, pesquisador da Sophos que vem analisando vírus digitais há mais de duas décadas, e os dois logo se uniram para descobrir o que havia acontecido.

O malware aparentava ser uma versão beta de um RAT (ou Remote Access Trojan, no original), um software que permite que terceiros controlem um computador remotamente.

Esse RAT é hoje conhecido como Ahtapot, a palavra turca para "polvo". Há indícios — entre eles palavras em turco no código do malware — de que o ele tenha sido criado na Turquia; entretanto, a maioria dos especialistas em segurança não se arrisca a defender tais afirmações.

"O Ahtapot é uma anomalia. Ele nunca foi identificado em outra situação que não esse incidente", conta Szappanos.

O pesquisador da Sophos acredita que o RAT foi ativado às pressas, após o fracasso de vários ataques. "Ao observar o código percebemos uma série de erros comuns no início do processo de desenvolvimento de um malware", afirma.

Os invasores tentaram transferir o Ahtapot ao disco rígido de Pehlivan junto de outros documentos incriminadores. Entretanto, o malware não foi instalado corretamente: como um dos arquivos tinha o mesmo nome de um componente de um RAT utilizado previamente pelos invasores, houve uma falha.

Antes de instalar o Ahtapot, os invasores utilizaram malwares mais comuns. Primeiro, eles tentaram infectar o computador de Pehlivan com um RAT conhecido como Turkojan através de um pen drive e emails suspeitos.

Tabela que mostra a cronologia dos ataques. Imagem retirada do artigo Applying Anchors in Relative Tim de Mark Spencer ,Digital Forensics Magazine, Edição 27. Cortesia da Digital Forensics Magazine

***

Spencer, que também estudou os computadores e outros aparelhos ligados ao atentado da Maratona de Boston, diz que ele e sua equipe examinaram o computador de Barış Pehlivan com a ajuda de uma técnica desenvolvida especialmente para casos que envolvem provas adulteradas.

A técnica, conhecida como "Anchors in Relative Time" ("âncoras em tempo relativo", em tradução livre), consiste em colocar eventos registrados por um determinado computador, como iniciações e desligamentos, em ordem cronológica, independente das datas e horários que possam ter sido alteradas pelos invasores. Dessa forma, os especialistas forenses podem identificar atividades suspeitas, mesmo que alguém tenha alterado a data e o horário em que elas ocorreram.

Ao adotar a técnica, Spencer identificou uma anomalia nas noites de 9 e 11 de fevereiro. De acordo com Pehlivan, não havia nenhum jornalista na sede da OdaTV naquelas noites.

O computador do jornalista foi ligado após às 22h, apagando um minuto depois. O mais curioso é que os documentos incriminatórios foram criados enquanto o computador estava desligado. Segundo Arsenal, há apenas uma explicação: alguém retirou o disco rígido do computador, conectou-o a outro aparelho e copiou os arquivos.

Em seguida, os invasores reiniciaram o computador toda noite para certificar-se de que o disco rígido havia sido reinstalado corretamente e de que o malware estava funcionando.

Ao que tudo indica, afirma Spencer, os invasores transferiram tanto o malware quantos os documentos incriminatórios para o disco rígido de Pehlivan durante as noites do dia 9 e 11 de fevereiro. A tática tinha como objetivo garantir que o plano funcionasse caso eles não pudessem controlar o computador remotamente.

Segundo Arsenal, há apenas uma explicação: alguém retirou o disco rígido do computador, conectou-o a outro aparelho e copiou os arquivos.

Eles foram inteligentes o bastante para alterar as datas desses documentos, diz Spencer. A chave de sua investigação foi estabelecer a verdadeira cronologia dos eventos.

Ele suspeita que o computador do jornalista foi atacado diretamente durante as noite de 9 e 11 de fevereiro porque as tentativas anteriores de infectá-lo remotamente falharam.

"Os dois últimos ataques foram bem sucedidos no que se refere à transmissão dos documentos incriminatórios utilizados pela acusação", disse ele.

Arsenal estudou o computador de Pehlivan a pedido do advogado de defesa do jornalista. De acordo com Mark Spencer, este foi um caso pro bono.

Spencer e Szappanos chegaram a diversas conclusões após analisar o computador de Barış Pehlivan.

"Encontramos cerca de uma dúzia de malwares. Uma análise cuidadosa revelou que esse malwares não eram incidentes aleatórios; havia uma ligação entre eles", conta Szappanos.

Szappanos acredita que esse foi um ataque caro e direcionado, tese corroborada pelo uso de malwares e servidores exclusivos identificados no relatório.

"Os dados sugerem que esse Trojans e domínios foram utilizados somente nesse incidente, num total de um ou dois computadores. Isso não é comum em crimewares, ou mesmo em grupos APT, que costumam atacar um número maior de alvos. Esse escopo limitado indica um invasor com um objetivo muito específico", disse.

A maior parte dos especialistas evita apontar quem são esses invasores, posto que é difícil identificar culpados no mundo cibernético. "Acreditamos que o malware foi desenvolvido por alguém que fala turco. Os textos internos encontrados nas amostras de malware estavam todos nessa língua", conta Szappanos.

O Presidente turco Recep Tayyip Erdogan conversa com a jornalista Lucia Goracci da RAI News 24 TV em Ankara, Turquia, no dia 1º de agosto de 2016. O governo turco já prendeu dezenas de jornalistas desde o início do ano. Crédito: Kayhan Ozer/Anadolu Agency/Getty Images

Existem mais de uma dezena de relatórios de perícia sobre os computadores da OdaTV. Especialistas de três universidades turcas e da empresa Data Devastation reconheceram a existência de malwares e sugeriram que os jornalistas não tinham ligação com os arquivos encontrados em seus computadores.

Até mesmo um relatório escrito pela TÜBİTAK, uma agência turca, confirmou a presença de malwares. O relatório diz que "vírus foram detectados nos computadores examinados. No entanto, não foi possível concluir se os documentos foram ou não transferidos junto com os vírus".

Como cada pesquisador analisa apenas algumas amostras de malware, os relatórios chegam a conclusões ligeiramente diferentes. "Cada relatório é um pouco diferente", disse Taneli Kaivola, um consultor de segurança sênior da F-Secure. "A quantidade de dados é absurda. É preciso selecionar as partes relevantes e a partir delas chegar a conclusões significativas".

Kaivola diz que tudo depende da capacidade do analista em questão e dos dados que ele escolhe estudar.

Enquanto isso, na Turquia, Barış Pehlivan se prepara para sua próxima audiência, marcada para o dia 21 de setembro. Ele acredita que o julgamento pode terminar ainda esse ano, e espera ser absolvido.

Ao longo de sua carreira como jornalista investigativo, Pehlivan criticou tanto o governo quanto o Movimento Gülen, que supostamente organizou a recente tentativa de golpe de estado na Turquia.

Pehlivan acredita que, caso o golpe tivesse sido bem sucedido, ele estaria mais uma vez na prisão. "Ou talvez morto", conclui.

Tradução: Ananda Pieratti