Sites falsos da Amnistia Internacional, OMS e Black Lives Matter usados para espiar activistas

Investigação revela que endereços de Internet disfarçados de sites de organizações de saúde, estações de televisão e organizações não governamentais eram usadas para governos espiarem em cidadãos específicos.

Foto
Os computadores das vítimas eram infectados quando estas carregavam em hiperligações que pareciam ser de sites de confiança Brian Snyder/Reuters

Um serviço de ciberespionagem com sede em Israel usou centenas de sites falsos de organizações como a Amnistia Internacional, a Organização Mundial da Saúde (OMS) e o movimento Black Lives Matter para infectar os computadores e telemóveis de activistas, dissidentes políticos e jornalistas. Os clientes do serviço incluem os governos da Arábia Saudita e Singapura. 

O alerta foi feito esta semana num relatório publicado pelo Citizen Lab, um laboratório de investigação da Universidade de Toronto, no Canadá. Os investigadores, que trabalharam em parceria com a Microsoft, descobriram que uma empresa de software de espionagem informática, que mudou de nome várias vezes nos últimos sete anos, estava a aproveitar vulnerabilidades escondidas nas ferramentas da Microsoft e na Google para distribuir o spyware — programas informáticos que permitem obter informação de outro computador, nomeadamente através da activação à distância dos microfones e câmaras. As tecnológicas já corrigiram as fragilidades que permitiam os ataques.

O relatório do Citizen Lab acentua a falta de transparência na indústria do spyware. Muitas vezes, estes serviços apresentam-se como produtos para “garantir a produtividade” dos trabalhadores numa empresa ou a segurança de menores de idade. Quando são vendidos a governos, a missão é evitar ataques terroristas e crime.

Só que a investigação mais recente do laboratório de Toronto mostra que os serviços também são usados para monitorizar cidadãos específicos. “Escolher um alvo com base nas suas crenças políticas e actividades, que não são nem de natureza terrorista nem criminosa é um exemplo preocupante”, sublinha a equipa do Citizen Lab. “Igualmente preocupante é o registo de domínios que se fazem passar por organizações de direitos humanos (Amnistia Internacional), movimentos sociais (Black Lives Matter), organizações internacionais de saúde (OMS), temas associados aos direitos da mulher e organizações noticiosas.”

Os computadores das vítimas eram infectados quando estas carregavam em hiperligações que pareciam ser de sites de confiança. Por exemplo: amnestyreports.com; blacklivesmatter.info; genderconference.org, e whoint.co. Também eram utilizados endereços falsos de estações de televisão internacionais como a CNN e a France 24.

A empresa que vendia o serviço de spyware usa o nome de Saito Tech Ld (uma cidade no Japão), mas já funcionou com o nome de Taveta Ltd (uma cidade no Quénia), Grindavik (uma cidade na Islândia) e é mais bem conhecida pelo nome Candiru (nome de uma espécie de peixe). O modelo de negócio baseia-se no número de vítimas: quanto mais computadores puderem ser infectados em simultâneo, mais caro é o serviço. 

Segundo uma acção judicial intentada por um antigo trabalhador da Candiru, a empresa amealhou mais de 30 milhões de dólares (cerca de 25 milhões de euros) entre 2014 e 2016, com clientes localizados na Europa, Ásia, antiga União Soviética, América Latina e Golfo Pérsico. Há relatos de possíveis negócios com o Uzbequistão, Arábia Saudita e Emirados Árabes Unidos, Singapura e Qatar. O caso foi revelado devido a documentos obtidos pelo jornal israelita Haaretz.

Questionada pelo PÚBLICO sobre a situação, a Microsoft remete para um comunicado desta quinta-feira assinado por Cristin Goodwin, directora geral da Unidade de Segurança da empresa, onde se lê que as vulnerabilidades do sistema foram corrigidas. “Levamos esta ameaça a sério”, escreve Goodwin, notando que pelo menos 100 pessoas foram afectadas através do estratagema da Candiru (a que a Microsoft chama de “Sourgum”). A empresa revela poucos detalhes, mas explica que os ataques eram direccionados a “contas de utilizadores” da Microsoft, o que indica que os clientes da Candiru têm alvos específicos.

O PÚBLICO também contactou a Google para mais informação, mas não obteve resposta até à hora de publicação deste artigo. No entanto, a equipa de Análise de Ameaças da Google publicou um comunicado sobre a correcção de várias vulnerabilidades nas ferramentas da empresa esta semana. 

É preciso mais legislação contra spyware, conclui a equipa do Citizen Lab. “Este caso demonstra, mais uma vez, que na ausência de quaisquer salvaguardas internacionais ou fortes controlos governamentais a nível da exportação [de spyware], os vendedores de spyware venderão a clientes governamentais”, lê-se no relatório sobre os ataques. “Infelizmente, o Ministério da Defesa de Israel — de quem empresas israelitas como a Candiru devem receber uma licença de exportação antes de venderem para o estrangeiro — provou não estar disposto a submeter as empresas de vigilância ao tipo de escrutínio rigoroso que seria necessário para evitar abusos do tipo que nós e outras organizações identificámos.”

A directora geral da Unidade de Segurança da Microsoft, Cristin Goodwin, repete a ideia: “Um mundo onde as empresas do sector privado fabricam e vendem ciberarmas é mais perigoso para os consumidores, empresas de todas as dimensões e governos.”

Sugerir correcção
Comentar