Este ano, as autoridades locais invadiram os telefones de um jornalista e ativista sérvio usando um dispositivo de desbloqueio de celulares fabricado pela fabricante de ferramentas forenses Cellebrite. O objetivo das autoridades não era apenas desbloquear os telefones para aceder aos seus dados pessoais, como permite a Cellebrite, mas também instalar spyware para permitir uma maior vigilância. de acordo com um novo relatório da Amnistia Internacional.
A Anistia disse em seu relatório que acredita que estas são “as primeiras infecções de spyware documentadas forensemente possibilitadas pelo uso” das ferramentas da Cellebrite.
Esta técnica rudimentar mas eficaz é uma das muitas formas pelas quais os governos utilizam spyware para vigiar os seus cidadãos. Ao longo da última década, organizações como a Amnistia e o grupo de direitos digitais Citizen Lab documentaram dezenas de casos em que os governos utilizaram spyware avançado fabricado por fornecedores de tecnologia de vigilância ocidentais, como Grupo OSN, Intelexae o agora extinto pioneiro do spyware Equipe de hackersentre outros, para hackear remotamente dissidentes, jornalistas e opositores políticos.
Agora, como Zero dias e spyware implantado remotamente ficar mais caro graças a melhorias de segurançaAs autoridades poderão ter de recorrer mais a métodos menos sofisticados, como a apreensão física dos telefones que pretendem piratear.
Embora tenham ocorrido muitos casos de abuso de spyware em todo o mundo, não há garantia de que não possam (ou não ocorrerão) nos Estados Unidos. Em novembro, Forbes relatou que o Departamento de Imigração e Fiscalização Aduaneira (ICE) do Departamento de Segurança Interna gastou US$ 20 milhões para adquirir ferramentas de vigilância telefônica e hackers, incluindo a Cellebrite. Dada a prometida campanha de deportação em massa do presidente eleito Donald Trump, como Forbes Conforme relatado, os especialistas estão preocupados com o facto de o ICE aumentar as suas actividades de espionagem quando a nova administração assumir o controlo da Casa Branca.
Uma breve história dos primeiros spywares
A história tende a se repetir. Mesmo quando algo novo (ou não documentado) aparece pela primeira vez, pode na verdade ser uma iteração de algo que já aconteceu.
Há vinte anos, quando o spyware governamental já existia, mas pouco se sabia na indústria de antivírus encarregada de se defender contra ele, a instalação física de spyware no computador de um alvo era a forma como os agentes da lei podiam aceder às suas comunicações. As autoridades tiveram que obter acesso físico ao dispositivo do alvo (às vezes invadindo sua casa ou escritório) e depois instalar manualmente o spyware.
Contate-nos
Você tem mais informações sobre spyware governamental e seus criadores? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail. Você também pode entrar em contato com o TechCrunch via queda segura.
É por isso que, por exemplo, as primeiras versões do spyware Hacking Team de meados dos anos 2000 foram projetadas para serem executadas a partir de um pendrive ou CD. Ainda antes, em 2001, O FBI invadiu o escritório do mafioso Nicodemo Scaro instalou um software espião projetado para monitorar o que Scaro digitava em seu teclado, com o objetivo de roubar a chave que ele usava para criptografar seus e-mails.
Essas técnicas estão se tornando populares novamente, se não por necessidade.
Citizen Lab documentou um caso no início de 2024 em que A agência de inteligência russa FSB supostamente instalou spyware no telefone do cidadão russo Kirill Parubets.um ativista político da oposição que vivia na Ucrânia desde 2022, enquanto estava sob custódia. As autoridades russas forçaram Parabuts a revelar a senha do seu telefone antes de instalar spyware capaz de acessar seus dados privados.
Pare e pesquise
Nos casos recentes na Sérvia, a Amnistia encontrou novos spywares nos telefones do jornalista Slaviša Milanov e do jovem activista Nikola Ristić.
Em fevereiro de 2024, a polícia local parou Milanov no que parecia ser uma parada de trânsito de rotina. Posteriormente, ele foi levado a uma delegacia de polícia, onde os policiais levaram dele seu telefone Android, um Xiaomi Redmi Note 10S, enquanto o interrogavam, de acordo com a Anistia.
Quando Milanov o recuperou, disse que encontrou algo estranho.
“Percebi que meus dados móveis (transmissão de dados) e Wi-Fi estão desligados. O aplicativo de dados móveis do meu celular está sempre ativado. Esta foi a primeira suspeita de que alguém invadiu meu celular”, disse Milanov ao TechCrunch em uma entrevista recente.
Milanov disse que então usou fique livresoftware que rastreia por quanto tempo alguém usa seus aplicativos, e notou que “muitos aplicativos estavam ativos” enquanto o telefone estava supostamente desligado e nas mãos da polícia, que ele disse nunca ter pedido ou forçado a fornecer a senha do seu telefone.
“Mostrou que durante o período das 11h54 às 13h08 foram ativados principalmente os aplicativos Configurações e Segurança e Gerenciador de Arquivos, bem como Google Play Store, Gravador, Galeria, Contato, o que coincide com o horário em que o telefone não estava comigo”, disse Milanov.
“Durante esse período, eles extraíram 1,6 GB de dados do meu celular”, disse ele.
Na época, Milanov ficou “desagradavelmente surpreso e muito zangado” e teve um “mau pressentimento” de que sua privacidade estava comprometida. Ele contatou a Anistia para que seu telefone fosse verificado forensemente.
Donncha Ó Cearbhaill, chefe do Laboratório de Segurança da Anistia, analisou o telefone de Milanov e descobriu que ele havia sido desbloqueado usando Cellebrite e instalado um software espião Android que a Anistia chama de NoviSpy, da palavra sérvia para “novo”.
Spyware provavelmente será usado “amplamente” na sociedade civil
A análise da Amnistia sobre o spyware NoviSpy e uma série de erros de segurança operacional, ou OPSEC, aponta a inteligência sérvia como o criador do spyware.
De acordo com o relatório da Amnistia, o spyware foi utilizado para “infetar sistematicamente e secretamente dispositivos móveis durante a prisão, detenção ou, em alguns casos, durante entrevistas informativas com membros da sociedade civil. Em vários casos, as prisões ou detenções parecem ter sido orquestradas para permitir o acesso encoberto ao dispositivo de um indivíduo para permitir a extração de dados ou a infecção do dispositivo”, de acordo com a Amnistia.
A Anistia acredita que o NoviSpy provavelmente foi desenvolvido no país, a julgar pelo fato de haver comentários e strings em idioma sérvio no código, e que foi programado para se comunicar com servidores na Sérvia.
Um erro das autoridades sérvias permitiu que os investigadores da Amnistia ligassem o NoviSpy à Agência Sérvia de Informações de Segurança, conhecida como Bezbedonosno-informaciona Agencija, ou BIA, e a um dos seus servidores.
Durante a análise, os pesquisadores da Anistia descobriram que o NoviSpy foi projetado para se comunicar com um endereço IP específico: 195.178.51.251.
Em 2015, esse mesmo endereço IP foi vinculado a um agente sérvio da BIA. No momento, Citizen Lab descobriu que esse endereço IP específico foi identificado como “DPRODAN-PC” no Shodan, um mecanismo de busca que lista servidores e computadores expostos à Internet. Acontece que uma pessoa com um endereço de e-mail contendo “dprodan” estava em contato com o fabricante de spyware Hacking Team sobre uma manifestação em fevereiro de 2012. De acordo com e-mails vazados da Hacking Team, os funcionários da empresa realizaram uma manifestação em Belgrado, capital da Sérvia, por volta dessa data, levando o Citizen Lab a concluir que “dprodan” também é uma BIA sérvia . funcionário.
A mesma gama de endereços IP identificada pelo Citizen Lab em 2015 (195.178.51.xxx) ainda está associada à BIA, de acordo com a Amnistia, que afirmou ter descoberto que o site público da BIA foi recentemente alojado dentro dessa gama de IP.
A Anistia disse que conduziu análises forenses de duas dúzias de membros da sociedade civil sérvia, a maioria deles usuários de Android, e encontrou outras pessoas infectadas com o NoviSpy. Algumas pistas contidas no código do spyware sugerem que a BIA e a polícia sérvia o têm utilizado extensivamente, segundo a Amnistia.
A BIA e o Ministério do Interior da Sérvia, que supervisiona a polícia sérvia, não responderam ao pedido de comentários do TechCrunch.
O código NoviSpy contém o que os investigadores da Amnistia acreditam poder ser um ID de utilizador crescente, que no caso de uma vítima era 621. No caso de outra vítima, infectada cerca de um mês depois, esse número era superior a 640, sugerindo que as autoridades tinham infectado mais. de vinte pessoas naquele período de tempo. Pesquisadores da Anistia disseram ter encontrado uma versão do NoviSpy datada de 2018 no VirusTotal, um repositório online de verificação de malware, sugerindo que o malware estava em desenvolvimento há vários anos.
Como parte da sua investigação sobre spyware usado na Sérvia, a Amnistia também identificou uma exploração de dia zero em chipsets Qualcomm usados contra o dispositivo de um activista sérvio, provavelmente usando Cellebrite. A Qualcomm anunciou em outubro que corrigiu a vulnerabilidade após a descoberta da Anistia.
Quando contatado para comentar, o porta-voz da Cellebrite, Victor Cooper, disse que as ferramentas da empresa não podem ser usadas para instalar malware, “um terceiro teria que fazer isso”.
O porta-voz da Cellebrite recusou-se a fornecer detalhes sobre seus clientes, mas acrescentou que a empresa iria “investigar mais”. A empresa disse que se a Sérvia violasse o seu acordo de utilizador final, “reavaliaria se é um dos 100 países com quem fazemos negócios”.
