Espiar através de uma chamada perdida: armas para entrar no seu celular

Governos e agências de inteligência conseguem programas maliciosos através de uma série de empresas privadas, que os desenvolvem ou os adquirem de outros ‘hackers’

Uma mulher fala pelo celular diante do edifício do NSO Group, perto de Tel Aviv (Israel).
Uma mulher fala pelo celular diante do edifício do NSO Group, perto de Tel Aviv (Israel).JACK GUEZ / AFP

MAIS INFORMAÇÕES

Costumam trabalhar na sombra, protegidos das notícias publicadas na mídia e nas redes sociais, mas às vezes o nome de alguma dessas empresas salta à luz. É o que acaba de ocorrer com o NSO Group, acusado recentemente pelo Facebook de estar por trás de uma falha no WhatsApp que permitia espionar os usuários fazendo-lhes apenas uma ligação perdida. A empresa acusada negou, como é habitual. Mas seu caso trouxe à luz o mundo obscuro das ciberarmas, um negócio milionário do qual participam empresas, Governos e hackers.

Empresas desse tipo mantêm um perfil baixo. Desenvolvem ferramentas para hackear aplicativos, celulares e sistemas operacionais. Mas se movem em um terreno legal. Governos, forças de segurança estatais e agências de inteligência compram armas cibernéticas dessas empresas.

Quais Governos? A Zerodium tem uma opinião especializada sobre o assunto. Essa empresa desenvolve suas próprias ciberarmas desde 2015, embora possa ser considerada uma herdeira da francesa Vupen, dos mesmos fundadores, que começou nesse ramo em 2004. O CEO da Zerodium, Chaouki Bekrar, é taxativo: “Se algum representante de um país desenvolvido nega ter capacidades ofensivas, está mentindo”.

Mas o nome dos clientes não é revelado. A não ser que haja um vazamento, como ocorreu com a italiana Hacking Team, da qual foram roubados 400 gigabytes de informações confidenciais. Entre os documentos figuravam compradores como o FBI (polícia federal dos EUA), a DEA (agência antidrogas americana), Governos de vários outros países e também, na Espanha, o Centro Nacional de Inteligência (CNI) e a Polícia Nacional.

“ Se qualquer representante de um país desenvolvido nega ter capacidades ofensivas, está mentindo ”

O discurso da Zerodium pode passar pelo de qualquer empresa de software. “Desenvolvemos e compramos exploits [programas maliciosos] para os aplicativos, dispositivos e plataformas mais populares. Damos suporte a Windows, Linux, MAC, iOS, Android e também a qualquer tipo de servidor ou aplicativo de escritório”, comenta Bekrar em declarações por correio eletrônico ao EL PAÍS. A naturalidade com que é usada a expressão “damos suporte a Windows” chama a atenção, já que seus produtos servem para atacar esse sistema operacional.

“Nossos clientes são Governos ocidentais na Europa e América do Norte e usam nossas capacidades para sua segurança nacional, apenas para lutar contra o terrorismo e o crime organizado ou conduzir operações de inteligência, como sempre fizeram desde antes da Internet”, diz Bekrar.

A Zerodium também compra vulnerabilidades de terceiros para revendê-las. Yago Hansen, um hacker espanhol com experiência no setor, explica como funciona o negócio: “Você informa essas empresas sobre uma vulnerabilidade e elas avaliam seu valor de acordo com a capacidade de exploração aberta por essa vulnerabilidade”. Quando a empresa adquire a vulnerabilidade, transforma-a em um exploit, um programa malicioso para aproveitar a falha descoberta, e o incorpora à sua oferta comercial.

“As [vulnerabilidades] mais bem pagas são as de smartphones, porque são as que mais interessam a Governos e serviços de inteligência”, explica Hansen. “As informações que você armazena em um smartphone hoje em dia são maiores do que aquelas que você armazena em seu computador pessoal”, acrescenta. As vulnerabilidades do WhatsApp e do Telegram também estão entre as mais valorizadas, assim como as que permitem a execução remota de código. Graças a estas últimas, é possível introduzir um “Cavalo de Troia” de forma remota, por meio de um telefonema, por exemplo.

São pagos valores significativos por essas ferramentas, muito maiores do que aqueles que as próprias empresas pagam a quem descobre uma falha em seus produtos. Hansen cita como referência a vulnerabilidade do WhatsApp, que levou o Facebook a acusar o NSO Group. Em uma estimativa superficial, “no melhor dos casos, talvez [o Facebook] pague a você 10.000 euros [44.000 reais] por uma vulnerabilidade como essa, enquanto [as empresas de armas cibernéticas] poderiam dar no mínimo 100.000 euros [440.000 reais]”, assinala o hacker.

As quantias podem ser ainda maiores. Há alguns meses, a Zerodium anunciou que procurava vulnerabilidades no WhatsApp, iMessage e SMS. Estava disposta a pagar até um milhão de dólares (3,9 milhões de reais) por uma falha deste tipo. Por uma vulnerabilidade que permitisse obter acesso ao iPhone, oferecia nada menos que dois milhões de dólares (7,8 milhões de reais).

Vigiando os vigilantes

A joia dessa indústria é a vulnerabilidade de dia zero. Trata-se da falha que não é conhecida publicamente. E, enquanto não é conhecida, os responsáveis pelo sistema operacional ou pelo aplicativo afetado não a corrigem. São produtos perecíveis, porque depois de alguns meses, ou no máximo um ano, acabam sendo descobertos.

Hansen condena as práticas em massa, como a espionagem indiscriminada da Agência de Segurança Nacional dos EUA que Edward Snowden revelou. Diz que os ataques com ciberarmas são dirigidos geralmente contra criminosos e terroristas, embora reconheça que sempre existe o risco de que as vulnerabilidades sirvam para controlar ativistas ou grupos políticos. No México, um programa desenvolvido pelo NSO Group foi usado para vigiar jornalistas, ativistas e políticos de oposição.

Também é preocupante a possibilidade de que essas armas cibernéticas caiam em mãos erradas, embora Hansen enfatize que as empresas que se dedicam a esse negócio são vigiadas: “Os próprios Governos que compram delas se encarregam de vigiar para quem elas estão vendendo. É muito parecido com o mercado de armas tradicionais. Aliás, a licença que as empresas desse tipo precisam é a mesma que é necessária para a venda de armas. É material de duplo uso [civil e militar]”.

Hansen sabe do que fala. Teve de pedir essa licencia na Espanha porque, durante alguns anos, teve uma empresa que desenvolvia produtos de interceptação de comunicações. Exportava para uma empresa israelense: “Sabíamos que éramos vigiados por todos os lados”.

As falhas pelas quais se paga mais são as dos ‘smartphones’

Embora à primeira vista existem diferenças em relação à indústria armamentista tradicional, Félix Arteaga, pesquisador de segurança do Real Instituto Elcano, explica que a venda de armas é uma indústria altamente governamental, na qual grandes empresas servem aos Estados. “No mercado da cibersegurança, isso não é tão claro. É muito difícil monitorar o que se faz com essas ciberarmas além de vendê-las aos Estados", diz o especialista.

“Antes só havia as grandes empresas privadas que fabricavam armamento”, assinala Arteaga. “Agora há todos os tipos de empresas, como consultorias, que prestam serviços de cibersegurança, fazem análise de risco, desenvolvem tecnologias de proteção e de ataque. Isso tem um valor de mercado para os Estados”, acrescenta.

Em nível geopolítico, o comércio dessas ferramentas de hacking segue a estrutura dos blocos internacionais. “No momento em que a tecnologia é objeto de confronto, busca-se um bloqueio, como o que os Estados Unidos querem impor agora à transferência de tecnologias sensíveis para outros países. E o campo da cibersegurança é dos mais sensíveis”, detalha Arteaga.

Os EUA e a Europa são um bloco. Rússia e China formam cada um o seu, enquanto a Coreia do Norte é outro. Obtêm ciberarmas desenvolvendo-as internamente ou comprando-as de empresas privadas, que se limitam a vender a apenas um dos blocos. “Pouco a pouco, o que se pede é que isto acabe sendo regulamentado, assim como foi regulamentado, embora com limitações, o comércio de armas”, reflete Arteaga. “O que acontece é que nenhum dos grandes países que tem esta capacidade ofensiva está interessado em uma regulamentação.”