​Hackers de governo árabe foram pegos usando uma nova ferramenta espiã de iPhone

Na manhã de 10 de agosto, o ativista do Emirados Árabes, Ahmed Mansoor, de 46 anos, recebeu uma estranha mensagem de texto de número desconhecido em seu iPhone. "Novos segredos sobre a tortura de emiradenses em prisões estaduais", dizia a mensagem acompanhada de um link.

Alvo de spywares comerciais de empresas como FinFisher e Hacking Team no passado, Mansoor suspeitou que havia algo de errado. Em vez de abrir o link, mandou a mensagem para Bill Marczak, pesquisador do Citizen Lab e defensor de direitos digitais na Escola Munk de Assuntos Globais da Universidade de Toronto, no Canadá.

No fim, a mensagem não era nada daquilo que dizia. O link não levava a lugar algum; era, na verdade, um sofisticado malware que se valia de três vulnerabilidades desconhecidas no iOS da Apple que permitiriam aos hackers tomarem controle total do iPhone de Mansoor, de acordo com relatórios divulgados nesta quinta pelo Citizen Lab e pela empresa de segurança mobile Lookout.

Até este mês, ninguém nunca tinha visto uma tentativa de infecção por spyware usando três bugs desconhecidos, também conhecidos como brechas de dia zero, no iPhone. As ferramentas e tecnologia necessárias para um ataque como esse, essencialmente um jailbreak remoto do iPhone, pode valer até um milhão de dólares. Após os pesquisadores terem alertado a Apple, a empresa se mexeu para dar jeito nas tais vulnerabilidades em um update lançado nesta quinta.

A pergunta que fica no ar é: quem estava por trás do ataque e o que usaram para levá-lo adiante?

Aparentemente, quem forneceu o spyware e exploits aos hackers que atacaram Mansoor foi uma desconhecida empresa de segurança israelita chamada NSO Group, que o vice-presidente de pesquisa da Lookout Mike Murray chamou de "basicamente um traficante de armas cibernéticas".

Os pesquisadores do Citizen Lab e Lookout ficaram impressionados com o inédito tipo de malware. "Percebemos que estávamos diante de algo que ninguém nunca tinha visto antes. Literalmente um clique para destravar um iPhone num único passo", disse Murray ao Motherboard. "Um dos softwares de ciber-espionagem mais sofisticados que já vimos."

Desde sua fundação em 2010, a NSO ganhou reputação de fornecedora de malwares avançados para governos que precisavam de acesso a celulares em suas investigações, por mais que o uso de suas ferramentas nunca tivesse sido documentado anteriormente.

A empresa afirma que seus produtos são 100% discretos, como um "fantasma". A NSO é tão reservada quanto aos seus softwares que nunca nem teve um site e raramente concede entrevistas ou faz quaisquer comentários à imprensa. Mas algumas informações vazaram, incluindo aí um investimento de US$ 120 milhões de uma empresa de investimento de risco norte-americana em 2014 e uma atualização patrimonial subsequente de US$ 1 bilhão.

O malware da NSO, que recebeu o codinome Pegasus, foi criado de forma a infectar silenciosamente um iPhone, roubando e interceptando dados de dentro dele, bem como quaisquer comunicações.

"Ele basicamente rouba todas as informações do seu telefone, intercepta todas as chamadas, mensagens, rouba emails, contatos, chamadas do FaceTime. Ele abre uma brecha para todo e qualquer mecanismo de comunicação no celular", explicou Murray. "Ele rouba as informações no app do Gmail, as mensagens do Facebook, todas as informações do Facebook incluindo contatos, tudo do Skype, WhatsApp, Viber, WeChat, Telegram — tudo que você possa imaginar."

Marczak e John Scott-Railton do Citizen Lab analisaram o malware com ajuda de Murray e seus colegas da Lookout. Os pesquisadores clicaram no link que Mansoor compartilhou com seu iPhone de testes, infectando-o com o Pegasus, o que lhes permitiu ver exatamente o que o malware havia sido criado pra fazer.

Este ataque a Mansoor, assim como outro que a Citizen Lab descobriu ter sido feito a um jornalista no México, mostra que os já famosos Hacking Team e FinFisher não são os únicos no mercado crescente de empresas privadas que oferecem material hacker a governos. O que também mostra que os clientes destas empresas, muitas vezes governos autoritários que comprovadamente infringiram direitos humanos e atacaram dissidentes e ativistas, não pensam duas vezes antes de usar este tipo de software.

"Isso é um sinal da incrível força das vozes de jornalistas e ativistas que atraem este tipo de spyware caríssimo", disse Railton.

No fim das contas, pode ser um indicativo do que vem por aí. "As pessoas que estão sendo alvos destas mensagens hoje – dissidentes, ativistas – são pessoas que estão nas linhas de frente do que nos aguarda amanhã, como os canários na mina de carvão", disse Marczak. "As ameaças que eles enfrentam hoje são as ameaças que os usuários comuns poderão enfrentar amanhã."

COMO A NSO FOI PEGA

No começo deste ano, em maio, a Citizen Lab revelou um novo grupo hacker chamado Stealth Falcon. Os pesquisadores não puderam confirmar, mas suspeitava-se que o grupo tinha alguma ligação com o governo dos Emirados Árabes Unidos, atacando dissidentes dentro e fora do país.

Como parte de sua pesquisa sobre o Stealth Falcon, o Citizen Lab pôde mapear grandes partes da infraestrutura do grupo, incluindo servidores e domínios usados para captação de dados de suas vítimas durante suas operações. Os pesquisadores não encontraram quaisquer amostras do malware usado pelos hackers, o que mudou no dia 10 de agosto, quando Mansoor enviou a Marczak aquela mensagem suspeita.

Assim que Marczak e Scott-Railton puderam observar tudo de perto, seguiram uma intrincada trilha online e perceberam que o spyware se comunicava com um servidor; depois, se depararam com um IP que haviam identificado antes como integrante da infraestrutura do Stealth Falcon. A seguir descobriram que um servidor registrado em nome de um funcionário do NSO apontava para o mesmo endereço de IP.

Além disso, seus desenvolvedores deixaram uma reveladora linha de código dentro do malware: "PegasusProtocol", uma aparente referência ao codinome do spyware do NSO, Pegasus.

Pela primeira vez, os pesquisadores puderam ter noção das funcionalidades do malware da empresa. Desde sua fundação em 2010, o NSO Group ganhou uma aura quase lendária, com rumores não-confirmados sobre seus poderes. Seus executivos raramente falavam com a imprensa e os poucos artigos escritos sobre a empresa estavam cheios de boatos e descrições vagas.

"Somos um fantasma por completo", disse o co-fundador do NOS Omri Lavie à Defense News, publicação voltada ao setor militar, em 2013. (A empresa não respondeu aos nossos pedidos e entrevista).

Um perfil publicado em 2014 no The Wall Street Journal afirmava que o NSO havia vendido seu produto ao governo do México, o que chamou atenção da CIA. Seu spyware, de acordo com o artigo, era vendido no mundo todo.

Agora que o tal spyware foi exposto, talvez a empresa não possa mais afirmar ser um fantasma – embora seja bem possível que ainda tenha algumas cartas na manga. Os pesquisadores não esperam que seus relatórios e a atualização da Apple vá impedir as atividades dos hackers por muito tempo.

"Não vamos quebrar as pernas do NSO ao resolvermos estas vulnerabilidades", disse Murray.

O malware está programado com configurações que vão até o iOS 7, o que indica que a empresa é capaz de hackear os iPhones desde o iPhone 5.

A APPLE REAGE

Os pesquisadores do Citizen Lab e Lookout entraram em contato com a Apple assim que souberam das vulnerabilidades, que chamaram de Trident. Foram necessários dez dias para que a Apple desenvolvesse e lançasse um patch, que integra a atualização 9.3.5 do iOS e que os usuários deveriam instalar o quanto antes.

"Soubemos desta vulnerabilidade e logo tratamos desta com o iOS 9.3.5", disse porta-voz da Apple em nota, negando-se a comentar mais que isso.

Dan Guido, CEO da empresa de segurança cibernética Trail of Bits, que trabalha bastante com sistemas da Apple, disse que tais ataques, que raramente vemos no mundo real, são esperados. Apesar das brechas inéditas utilizadas, Guido acredita que o iPhone é uma escolha mais segura que o Android, por exemplo.

"A Apple dificultou a invasão de seus aparelhos bem mais que qualquer outra marca por aí", disse Guido. "Mas esta descoberta destaca a necessidade de melhor detecção no iOS." "

OUTRAS VÍTIMAS

Os pesquisadores não conseguiram encontrar quaisquer outras amostras do Pegasus. Ao buscar por links associados ao ataque a Mansoor e a infraestrutura de um grupo hacker que chamaram de Stealth Falcon, encontraram um tuíte que aparentemente tem como alvos vítimas desconhecidas no Quênia, bem como um ataque ao jornalista investigativo mexicano Rafael Cabrera.

Me han llegado estos dos supuestos mensajes de UnoTV desde este número: (55) 6106 7277. No es gracioso Rafael CabreraAugust 30, 2015

Cabrera foi alvo do malware do NSO pela segunda vez em maio deste ano. Na última série de ataques, os hackers tentaram fazer com que o jornalista clicasse em mensagens que ofereciam revelações de corrupção no governo, em avisos de cobrança em sua conta telefônica e até mesmo na promessa de um vídeo de sexo que provaria que sua mulher o estava traindo. Ele afirma não ter clicado em nada que lhe foi enviado.

"Está claro que queriam que eu clicasse em algo", disse Cabrera ao Motherboard. "Pode-se até dizer que estavam desesperados."

Cabrera não quis especular quem seriam os hackers. Comentou apenas que poderia ser o governo ou qualquer outa pessoa.

O México é um dos países suspeitos de serem clientes do NOS, mas não está claro se a polícia ou alguma agência de inteligência do país está usando o malware. O país também era o maior cliente do Hacking Team, e algumas de suas agências utilizavam spyware para atacar jornalistas e dissidentes em vez de criminosos.

No final das contas, Cabrera e Mansoor não foram hackeados porque tinham noção o bastante para não caírem no golpe. De certa forma, tiveram sorte, pois ao serem alvo de ataques anteriores do governo, estavam mais alertas que o de costume.

Suas histórias, como disse Marczak, podem ser um alerta do futuro. Se governos pelo mundo tem grana para bancar ferramentas hackers, empresas como Hacking Team e NSO continuarão a fornecê-las. No passado, o Citizen Lab registrou diversos ataques contra dissidentes, jornalistas e defensores dos direitos humanos feitos por governos pelo mundo todo com spywares semelhantes ao fornecido pelo NSO Group.

E por mais que tornem públicos e emitam alertas contra tais ataques, os calçadores de malware do Citizen Lab descobrem cada vez mais tentativas de golpe, por vezes feitos pelos mesmos governos –e contra os mesmos alvos.

"Não há incentivos para que empresas como a NSO mantenham tais ferramentas longe das mãos de abusadores em série como os Emirados Árabes Unidos", disse Marczak.

Este também é o primeiro sinal da ascensão de uma nova superforça na indústria de spywares. O NSO Group tem potencial para crescer mesmo após as invasões – não fatais – a FinFisher e Hacking Team, os mais conhecidos fornecedores de tecnologia espiã dos dias de hoje. Não saberíamos de nada disso se Mansoor tivesse clicado no link que recebeu no dia 10 de agosto.

Tradução: Thiago "Índio" Silva