Funcionários de governos em todo o mundo - incluindo os que têm altos cargos de segurança nacional que são "aliados dos EUA" - foram alvos de governos com o spyware do NSO Group (Grupo NSO - inteligência cibernética para segurança e estabilidade globais) em um ataque de 2019 contra 1.400 usuários do WhatsApp, de acordo com o executivo-chefe do aplicativo de mensagens.
Will Cathcart revelou novos detalhes sobre os indivíduos-alvos do ataque após revelações esta semana do projeto Pegasus, uma colaboração de 17 organizações de mídia que investigaram a NSO, a empresa israelense que vende seu poderoso software de vigilância para clientes de governos em todo o mundo.
Cathcart disse que viu paralelos entre o ataque contra usuários do WhatsApp em 2019 – que move ação judicial – e relatos sobre um vazamento massivo de dados que estão no centro do projeto Pegasus.
O vazamento continha dezenas de milhares de números de telefone de indivíduos que, acredita-se, teriam sido selecionados como candidatos para possível vigilância por clientes da NSO, incluindo chefes de estado como o presidente francês, Emmanuel Macron, ministros de governo, diplomatas, ativistas, jornalistas, defensores dos direitos humanos e advogados. A lista inclui algumas pessoas cujos telefones mostraram infecção ou vestígios do spyware Pegasus da NSO, de acordo com exames de uma amostra dos dispositivos conduzidos pelo laboratório de segurança da Amnistia Internacional. “A reportagem coincide com o que vimos no ataque que derrotamos há dois anos, é muito consistente com o que falamos na época”, disse Cathcart em uma entrevista ao Guardian. Além dos “altos funcionários do governo”, o WhatsApp descobriu que jornalistas e ativistas de direitos humanos foram alvos no ataque de 2019 contra seus usuários. Muitos dos alvos no caso do WhatsApp, disse ele, “não tinham por que estar sob vigilância. Este deve ser um alerta para a segurança na internet ... os telefones celulares ou são seguros para todos ou não são seguros para todos.”
Quando o spyware Pegasus da NSO infecta um telefone, os clientes do governo que o usam podem obter acesso às conversas telefônicas, mensagens, fotos e localização de um indivíduo, bem como transformar o telefone em um dispositivo de escuta portátil, manipulando seu gravador.
O vazamento contém uma lista de mais de 50.000 números de telefones que, acredita-se, foram identificados como de pessoas de interesse de clientes da NSO desde 2016. O aparecimento de um número na lista vazada que foi acessada pelo projeto Pegasus não significa que foi objeto de uma tentativa ou sucesso de hack. A NSO disse que Macron não era um "alvo" de nenhum de seus clientes, o que significa que a empresa nega que tenha havido qualquer tentativa ou sucesso de infecção por Pegasus em seu telefone. A NSO também disse que os dados “não têm relevância” para a empresa e rejeitou o relatório do projeto Pegasus como “cheio de suposições erradas e teorias não corroboradas”. Ela negou que os dados vazados representassem aqueles alvos para vigilância pelo software Pegasus. A NSO chamou o número de 50.000 de exagerado e disse que era muito grande para representar os indivíduos visados pela Pegasus. Mas Cathcart questionou a afirmação da NSO de que o número em si era "exagerado", dizendo que o WhatsApp registrou um ataque contra 1.400 usuários em um período de duas semanas em 2019. “Isso nos mostra que durante um longo tempo, ao longo de um período de vários anos, o número de pessoas sendo atacadas é muito alto”, disse ele. “É por isso que sentimos que era tão importante levantar a preocupação em torno disso.”
Quando o WhatsApp diz acreditar que seus usuários foram “alvos”, isso significa que a empresa tem evidências de que um servidor NSO tentou instalar malware no dispositivo de um usuário. A NSO se recusou a fornecer detalhes específicos sobre seus clientes e as pessoas a que se destinam. Mas uma fonte afirmou que o número médio de metas anuais por cliente era 112. Quando o WhatsApp anunciou há dois anos que os usuários foram alvos do malware NSO, ele disse ter descoberto que cerca de 100 dos 1.400 alvos eram membros da sociedade civil - jornalistas, defensores dos direitos humanos e ativistas. Os usuários foram direcionados por meio de uma vulnerabilidade do WhatsApp que foi corrigida posteriormente.
Cathcart disse que discutiu os ataques de 2019 contra usuários do WhatsApp com governos em todo o mundo. Ele elogiou os movimentos recentes da Microsoft e de outros na indústria de tecnologia que estão falando sobre os perigos do malware e pediu à Apple - cujos telefones são vulneráveis a infecções por malware - que adote sua abordagem. “Espero que a Apple comece a adotar essa abordagem também. Fale alto, participe. Não basta dizer que a maioria dos nossos usuários não precisa se preocupar com isso. Não é suficiente dizer 'oh, isso são apenas milhares ou dezenas de milhares de vítimas'”, disse ele. “Se isso está afetando jornalistas em todo o mundo, se está afetando os defensores dos direitos humanos em todo o mundo, isso afeta a todos nós. Significa que o telefone de todos não está seguro."
Ele também pediu aos governos que ajudem a criar responsabilidades para os fabricantes de spyware. “O Grupo NSO afirma que um grande número de governos está comprando seu software, o que significa que esses governos, mesmo que seu uso seja mais controlado, estão financiando isso. Eles deveriam parar? Deveria haver uma discussão sobre quais governos estavam pagando para ter este software?”
O WhatsApp abriu seu processo contra a NSO no final de 2019, alegando que a empresa israelense era responsável por enviar malware aos telefones dos usuários do WhatsApp. Um juiz do caso apontou que os fatos subjacentes ao caso - que o código malicioso de propriedade da NSO foi enviado através do serviço do WhatsApp - não pareciam ser contestados. Em vez disso, o processo gira em torno de se os "clientes soberanos" da NSO eram os culpados ou a própria empresa.
A NSO argumentou que deveria ser imune ao processo porque seus clientes são governos estrangeiros. Ela disse que seus clientes são contratualmente obrigados a usar a Pegasus para atacar criminosos e que investiga alegações de abuso. Disse que não tem nenhuma ideia de como os clientes do governo usam o spyware ou quem eles visam, a menos que a empresa solicite uma investigação sobre as alegações de delito. Um porta-voz da NSO disse: “Estamos fazendo o nosso melhor para ajudar a criar um mundo mais seguro. O Sr. Cathcart tem outras alternativas que permitem que as agências de aplicação da lei e de inteligência detectem legalmente e previnam atos maliciosos de pedófilos, terroristas e criminosos usando plataformas de criptografia de ponta a ponta? Nesse caso, ficaríamos felizes em ouvir.”
Mas, se criou o veneno contra o veneno, tem que criar um novo estágio de veneno. Senão, em pouquíssimas palavras sussurradas, o mundo estará definitivamente entregue à lei do "se correr, o bicho pega... e se ficar, o bicho come!"
