Pesquisadores de segurança descobriram os dedos do spyware Pegasus do NSO Group no meio de um conflito militar, marcando a primeira vez que o spyware foi usado dessa maneira.
O insidioso spyware conhecido como Pegasus existe desde pelo menos 2014, mas nos últimos anos, mais relatórios têm se acumulado lentamente sobre seu uso indevido e abuso.
A ferramenta poderosa e sofisticada, desenvolvida pela empresa de tecnologia israelense NSO Group, baseia-se na descoberta de vulnerabilidades de segurança no iPhone e no iOS que permitem obter acesso quase completo às informações pessoais de um usuário, muitas vezes sem nada mais do que uma mensagem de texto, e-mail ou link de página da Web formado de forma maliciosa. Na maioria das vezes, os pesquisadores do NSO Group conseguem encontrar “exploits de clique zero” que permitem que eles comprometam um iPhone sem nenhuma interação do proprietário do dispositivo.
De acordo com o NSO Group, o Pegasus foi projetado para ser usado para o bem, como combater o terrorismo e o crime organizado. Infelizmente, qualquer ferramenta desse tipo é uma faca de dois gumes — pode espionar os inocentes tão facilmente quanto os culpados — e é inevitável que algo tão poderoso quanto Pegasus seja usado para propósitos nefastos.
O NSO Group apenas licencia a Pegasus para governos, mas também não parece particularmente exigente sobre quais governos conta como clientes. Embora tenha revogado as licenças para aqueles que usam o Pegasus de forma indevida, isso só é feito após o fato- e diante de evidências sólidas de abuso.
Infelizmente, embora seja fácil encontrar as impressões digitais do Pegasus no iPhone da vítima, é mais difícil rastrear isso de volta à sua fonte. Dois anos atrás, uma análise forense conduzida por Amnistia Internacional e o Citizen Lab da Universidade de Toronto revelaram que o spyware foi usado para segmentar e espionar dezenas de “ defensores dos direitos humanos (HRDs) e jornalistas em todo o mundo” e que era a fonte de “vigilância ilegal generalizada, persistente e contínua e abusos dos direitos humanos”. No entanto, os pesquisadores só podiam especular sobre a origem desses ataques.
No entanto, este relatório foi sério o suficiente para que a Apple decidisse que era hora de tentar processar o NSO Group, descrevendo a empresa israelense como um grupo de “mercenários amorais do século 21”. Na mesma época, a Apple também prometeu começar a notificar os usuários do iPhone que podem ter se tornado alvos de spyware patrocinado pelo estado.
As medidas que estamos tomando hoje enviarão uma mensagem clara: sociedade, é inaceitável armar um poderoso spyware patrocinado pelo estado contra aqueles que buscam tornar o mundo um lugar melhor.
Ivan Kristin, chefe de engenharia e arquitetura de segurança da Apple
Embora Pegasus seja talvez o mais conhecida dessas ferramentas de spyware de nível militar, não é a única. Alguns meses depois, surgiram notícias do Predator, outra perigosa ferramenta de spyware desenvolvida por um dos concorrentes do NSO Group, com relatos de que ele havia sido encontrado ao lado do Pegasus em iPhones de indivíduos que haviam caído politicamente em desgraça com seus governos.
Enquanto isso, assim que a Apple iniciou seu programa de notificação, vários funcionários do Departamento de Estado dos EUA descobriram que haviam sido alvos da Pegasus, junto com dezenas de ativistas tailandeses pró-democracia, a promotor polonês e vários altos funcionários da UE, incluindo Primeiro Ministro da Espanha. Embora evidências circunstanciais apontassem para o governo de Uganda como a fonte do ataque aos funcionários do Departamento de Estado dos EUA, tal ligação nunca foi comprovada.
Pegasus entra em conflito militar
Agora, The Guardian relata que pelo menos um país levou o Pegasus, e possivelmente o Predator, a um nível totalmente novo ao distribuí-los contra oponentes em um conflito militar.
Uma coalizão de pesquisadores do Access Now, CyberHUB-AM, Citizen Lab da Universidade de Toronto, Laboratório de Segurança da Anistia Internacional e o pesquisador independente Ruben Muradyan identificaram uma”campanha de hackers”que visava funcionários envolvidos em um longo-conflito militar entre a Armênia e o Azerbaijão.
Os dois países têm contestado a propriedade do Nagorno-Karabakh região desde 1994 e foi à guerra em 2020 pelo controle da região. Embora existam sinais recentes de que esse conflito pode chegar a um fim pacífico em breve, parece que Pegasus e Predator foram usados como armas de guerra durante a campanha.
Pesquisadores descobriram que dispositivos pertencentes a indivíduos baseados na Armênia foram comprometido em novembro de 2021 como resultado das notificações que a Apple começou a enviar naquela época. O Guardian relata que uma funcionária do governo, Anna Naghdalyan, foi “hackeada pelo menos 27 vezes entre outubro de 2020 e julho de 2021” enquanto servia como porta-voz do Ministério das Relações Exteriores da Armênia.
Em sua função, Naghdalyan esteve fortemente envolvida em discussões e negociações sensíveis relacionadas ao conflito, “incluindo as tentativas de mediação do cessar-fogo da França, Rússia e Estados Unidos e visitas oficiais a Moscou e Karabakh”. Ela disse à equipe do Access Now que tinha “todas as informações sobre os desenvolvimentos durante a guerra em [seu] telefone” no momento do hacking e que agora sente que não há como se sentir totalmente segura.
Isso levanta questões importantes sobre a segurança de organizações internacionais, jornalistas, humanitários e outros que trabalham em conflitos. Também deve causar um calafrio na espinha de todos os governos estrangeiros cujo serviço diplomático se envolveu em torno do conflito.
John Scott-Railton, pesquisador sênior do Citizen Lab
Naghdalyan estava longe de ser o único vítima que descobriu que seu iPhone havia sido comprometido pelo Pegasus. Outros incluíam um jornalista de rádio cobrindo a crise política e pelo menos um convidado que apareceu em seu programa, junto com vários outros jornalistas, professores e defensores dos direitos humanos “cujo trabalho se centrou no conflito militar”.
Segundo Ao Access Now, um total de 12 indivíduos foram identificados como tendo iPhones comprometidos durante o conflito, embora cinco tenham optado por permanecer anônimos. Isso inclui um representante da ONU que não pode se apresentar devido aos regulamentos da ONU.
Como em outros casos recentes, as impressões digitais de Pegasus foram encontradas nos iPhones em questão, mas os pesquisadores não conseguiram vincular os dados de forma “conclusiva” a um cliente específico do NSO Group. O governo do Azerbaijão é o culpado mais provável, e os pesquisadores encontraram evidências de que é um cliente do NSO Group, incluindo infecções de um clique Pegasus vinculadas a domínios do Azerbaijão e sites políticos.
Os pesquisadores reconheceram que também é possível que o governo da Armênia tivesse interesse em hackear pelo menos alguns dos indivíduos. No entanto, a Armênia parece ser apenas um cliente da Cytrox, que desenvolve o rival Predator spyware.
Proteja-se contra o Pegasus
Felizmente, por mais perigosos que sejam o Pegasus e o Predator, a boa notícia é que essas ferramentas estão disponíveis apenas para governos e são usadas para fins altamente direcionados e ataques específicos. Isso significa que a maioria de nós provavelmente não será vítima de spyware de nível militar como este. Simplesmente não somos tão interessantes.
Além disso, a Apple continua jogando um jogo de gato e rato com os especialistas em segurança de chapéu cinza que trabalham para empresas como NSO Group e Cytrox. Quase todas as novas versões do iOS atualmente incluem patches para falhas de segurança, resultando na necessidade de desenvolvedores de spyware descobrirem novos para aproveitar.
A Apple também fornece ferramentas para jornalistas e outros indivíduos de alto risco para ajudar a mitigar o risco, incluindo um modo de bloqueio de alta segurança no iOS 16 e verificação de chave de contato do iMessage que provavelmente chegará no iOS 16.6. Embora esses sejam recursos que a maioria das pessoas nunca precisará habilitar, eles oferecem segurança mais rígida para quem pensa que provavelmente será vítima de spyware como Pegasus ou Predator.
