Tech by VICE

Britânicos usaram encurtador de URL para espionar dissidentes da Primavera Árabe

Hoje fora do ar, o Iurl.me foi criado por agentes britânicos para atrair ativistas e, de quebra, rastreá-los.

por Mustafa Al-Bassam
02 Agosto 2016, 1:38pm

Hoje fora do ar, o Iurl.me foi criado por agentes britânicos para atrair ativistas e, de quebra, rastreá-los. Ilustração: Shaye Anderson

Segundo documentos vazados por Edward Snowden, uma unidade misteriosa da agência de inteligência britânica GCHQ tentou influenciar ativistas digitais durante os protestos que precederam as eleições do Irã em 2009 e durante a revolta democrática conhecida como Primavera Árabe.

Essa unidade especial da GCHQ, conhecida como Grupo de Inteligência de Pesquisa em Ameaças Conjuntas (ou JTRIG, na sigla original), foi apresentada ao público em 2014, quando documentos confidenciais vazados revelaram suas tentativas de invadir e manipular — por meio do uso de táticas sujas conhecidas como honeypots — diversas comunidades digitais, dentre elas grupos comandados por ativistas do Anonymous.

Embora os ataques a hacktivistas já fossem de conhecimento público, a influência da agência no Oriente Médio nunca havia sido noticiada. Pude denunciar as práticas porque já fui um dos alvos; durante esse período, me familiarizei com uma de suas principais táticas: um serviço de encurtamento de URL citado nos documentos publicados por Snowden em 2014.

O HONEYPOT

Hoje fora do ar, esse serviço de encurtamento de URL — o lurl.me — foi criado pela GCHQ com o objetivo de mantê-la a par do que acontecia nas redes sociais. O lurl.me era utilizado no Twitter e em outras plataformas como forma de divulgar mensagens revolucionárias no Oriente Médio.

O objetivo era atrair pessoas insatisfeitas com seus governos a fim de manipulá-las e conseguir informações que aumentariam a influência da GCHQ ao redor do mundo. O encurtador de URL era, portanto, uma forma de rastrear esses indivíduos.

Pude denunciar essas práticas porque já fui um dos alvos da agência

De acordo com os documentos vazados, a missão era usar "truques sujos" para "destruir, negar, denegrir e perturbar" inimigos por meio da "desmoralização".

O serviço de encurtamento de URL, conhecido internamente como DEADPOOL, era umas das ferramentas "honeypot" ("pote de mel", em tradução livre) utilizadas pela agência, de acordo com um documento oficial vazado em 2014.

Um documento da GCHQ listando as ferramentas de vigilância utilizadas pelo JTRIG.

No começo do mesmo ano, a NBC News divulgou um documento que afirmava que o JTRIG havia atingido o Anonymous e o LulzSec, dois grupos de ativismo digital, com ataques Distribuídos por Negação de Serviço (ou DDoS, na sigla original) emitidos em canais do IRC.

Para identificar indivíduos envolvidos nesses movimentos, a agência utilizou engenharia social com intenção de induzi-los a clicar em determinados links — uma tática muito utilizada por hackers.

Um dos slides mostra um agente enviando um link para o ativista conhecido como P0ke. De acordo com o slide, isso permitiu que os agentes descobrissem a identidade do ativista, assim como suas contas de Facebook e de email.

Em 2010, eu fazia parte do canal IRC conhecido como AnonOps, na época utilizado por esse mesmo agente como forma de entrar em contato com P0ke. No ano seguinte fundei, com mais três ativistas, a LulzSec. O documento vazado também mostra que o JTRIG monitorava conversas entre P0ke e Jake Davis, um ex-membro da LulzSec que respondia pela alcunha de Topiary.

Após consultar várias fontes, pude confirmar que o link enviado a P0ke por um agente disfarçado era um atalho para o site lurl.me.

Um dos slides do documento intitulado "Hacktivismo: Ação Digital Secreta".

INTERFERÊNCIA CONFIDENCIAL

Uma investigação mais profunda desse encurtador de URL revelou como o JTRIG havia utilizado essa mesma ferramenta em operações secretas no Oriente Médio.

O Internet Archive mostra que o site entrou no ar em junho de 2009 e funcionou até novembro de 2013. Um print screen do site mostra que ele se apresentava como um "serviço de encurtamento de URL" cujo objetivo era "ajudar nossos usuários a compartilhar links com seus amigos e parentes".

Imagem retirada do site lurl.me.

Bancos de dados públicos, ferramentas de busca e redes sociais como o Twitter, o Blogspot e o YouTube mostram que esse site foi utilizado para cumprir os objetivos geopolíticos do GCHQ descritos em documentos anteriormente divulgados. Segundos os arquivos do Google, quase todas as 69 páginas do Twitter que fazem referência ao site lurl.me estão ligadas a contas revolucionárias mantidas por ativistas iranianos e árabes.

Embora a grande maioria desses tuítes tenha vindo de contas ativas apenas por alguns dias, alguns deles vêm de contas reais que retuitaram ou citaram essas primeiras.

De acordo com documentos publicados pelo site The Intercept, uma das formas de avaliar a eficácia da operação é checar se a mensagem foi "aceita, repassada e se ela causou alguma mudança de comportamento". Essas diretrizes envolvem, por exemplo, o monitoramento daqueles que compartilharam ou clicaram nos links criados pela GCHQ.

Para monitorar certos indivíduos, o grupo usou técnicas de engenharia social que os induziam a clicar em certos links

Outro documento do JTRIG publicado pelo The Intercept, intitulado "Confirmação da Ciência Comportamental para os Efeitos do JTRIG e Operações Online HUMINT" traz informações sobre o conteúdo associado às contas que utilizaram o encurtador de URL.

De acordo com o documento, o JTRIG tem um grupo de operações voltado para metas globais, que, por sua vez, possui uma subdivisão encarregada das operações no Irã. O documento também afirma que "a equipe encarregada das atividades no Irã visa alcançar a contra-proliferação da seguinte forma: (1) desmoralizando os líderes iranianos e seu programa nuclear; (2) postergando e bloqueando o acesso a materiais utilizados no programa nuclear; (3) conduzindo um HUMINT online; e (4) praticando a contra-censura".

Em seguida, o documento passa a detalhar os métodos utilizados pelo JTRIG para alcançar esses objetivos, tais como a criação de contas falsas, a publicação de vídeos no YouTube e a criação de grupos do Facebook que divulgam certas informações. Muitas das técnicas descritas podem ser observadas nas contas que utilizavam o encurtador de URL.

Página do documento publicado pelo The Intercept, intitulado "Confirmação da Ciência Comportamental para os Efeitos da JTRIG e Operações Online HUMINT"

AGENTES DA MISSÃO

Entre as diversas provas da atuação da agência britânica em grupos ativistas estão uma série de contas do Twitter que só permaneceram ativas durante o mês de junho de 2009, todas elas com poucos seguidores e muitas menções ao lurl.me. Uma das primeiras e mais prolíficas contas a utilizar o encurtador de URL pertence ao usuário 2009iranfree.

Imagem retirada da conta 2009iranfree.

Grande parte dessas contas falsas parece ter como objetivo permitir que os iranianos tenham acesso a informações censuradas pelo governo do país.

No documento citado anteriormente, esse objetivo é descrito como "fornecer acesso a informações não-censuradas (a fim de desestabilizar)". Para alcançá-lo, os agentes davam informações sobre sites bloqueados e acesso a sites de notícias internacionais. O site mais citado por essas contas é o ran-news.info, um canal de notícias sobre o Irã escrito em inglês.

Tudo indica que os objetivos dos ativistas de oposição e da GCHQ eram os mesmos, ao menos no que se refere a desmoralizar o regime e combater a censura estatal. Entretanto, vale lembrar que um dos objetivos do JTRIG é conduzir um serviço de inteligência digital, e que o lurl.me foi utilizado para revelar a identidade de diversos ativistas iranianos, como descrito no documento da GCHQ vazado por Snowden.

Muitas dessas contas falsas encorajavam os leitores que moravam fora do Irã a ligar para um número que supostamente pertenceria ao presidente do país. O número também foi publicado no fórum de ativismo WhyWeProtest. Uma das táticas descritas no documento do JTRIG é "emular um perfil real (para desmoralizar, promover a desconfiança, dissuadir, enganar, deter, atrasar ou perturbar)".

Independentemente do objetivo final da agência, que nunca é explicitado nos documentos, essas ações conseguiram, de fato, promover a desconfiança; em um comentário, um usuário do fórum diz que "esse número não é do Ahmedinijad #. E se fosse, a partir da segunda ligação o serviço de inteligência iraniano entraria em ação. Ainda assim, vivemos em tempos estranhos. Acho que qualquer coisa pode acontecer".

Imagem retirada do site whyweprotest.net.

UMA REDE DE MUITOS FIOS

O encurtador de URL não foi utilizado em 2010, sendo ressuscitado em 2011 pelo access4syria, uma conta que tuitava sobre a situação da Síria durante a Primavera Árabe. A conta esteve ativa entre maio e junho de 2011, tuitando apenas entre 9h e 17h, horário do Reino Unido, durante todos os dias úteis.

É curioso constatar que o JTRIG só é capaz de controlar um número limitado de contas, das quais todas funcionam durante um espaço de tempo limitado e utilizam principalmente o inglês. Entretanto, uma página do documento vazado apresenta alguns dos obstáculos enfrentados pelos agentes do JTRIG durante a execução de suas operações, incluindo a dificuldade de manter mais de duas ou três contas e o acesso limitado a tradutores.

Página do documento intitulado "Confirmação da Ciência Comportamental para os Efeitos da JTRIG e Operações Online HUMINT".

A conta de ativismo sírio, assim como as contas iranianas, também tinha como objetivo oferecer aos cidadãos desse país uma forma de contornar a censura de seu governo.

Imagens da conta de Twitter access4syria.

A conta em questão tuitou uma série de instruções em árabe que ensinavam como burlar a censura do governo sírio.

Imagem do site access4syria.blogspot.com.

As instruções sugerem que os leitores se conectem "a uma rede de Internet via satélite, por exemplo, ou na casa de amigos, lan houses e escritórios" a fim de burlar a censura. O site também recomenda que os usuários usem "um proxy para acessar páginas bloqueadas. Isso permitirá que você use a internet com segurança. Você pode usar os seguinte proxies, por exemplo:" seguido de dois endereços IP utilizados como proxies.

Aqueles que já utilizaram esses proxies sabem que eles não são o que parecem. Uma das ferramentas de vigilância listadas pelo JTRIG é o MOLTEN-MAGMA, um "proxy HTTP capaz de registrar todo o tráfego e executar um HTTP Man no Oriente Médio". Em outras palavras, o JTRIG pode espionar todos aqueles que utilizaram o proxy MOLTEN-MAGMA.

Segundo o archive.org, o encurtador de URL esteve online pela última vez em novembro de 2013, alguns meses após a divulgação dos documentos vazados por Snowden.

Quando indagada acerca da criação de contas falsas e das políticas que asseguram a supervisão das atividades de inteligência desempenhadas pelo JTRIG, a GCHQ forneceu a seguinte resposta:

"Nossa política nos proíbe de comentar assuntos confidenciais. Além disso, nosso trabalho é realizado em conformidade com a lei e com nossas próprias políticas internas, o que garante que nossas atividades são devidamente autorizadas, necessárias e proporcionais. Nossos procedimentos passam por uma fiscalização rigorosa, que inclui o Secretário de Estado, os Comissários de Serviços de Inteligência e o Comitê de Inteligência e Segurança Parlamentar. Todos nossos procedimentos seguem essa mesma política", disse um porta-voz da GCHQ por email.

Embora a internet seja uma ótima forma de protestar contra regimes opressivos, ela também permite que agências de inteligência tenham acesso a ativistas do mundo inteiro.

E, embora muitos grupos de ativismo usufruam da natureza aberta da internet, é necessário criar formas de impedir que essas agências se aproveitem dessa mesma abertura.

Essa operação conduzida por espiões britânicos mostra como na internet, toda ferramenta é uma faca de dois gumes.

Tradução: Ananda Pieratti