Um serviço de ciberespionagem com sede em Israel usou centenas de sites falsos de organizações como a Amnistia Internacional, a Organização Mundial da Saúde (OMS) e o movimento Black Lives Matter para infectar os computadores e telemóveis de activistas, dissidentes políticos e jornalistas. Os clientes do serviço incluem os governos da Arábia Saudita e Singapura. 

O alerta foi feito esta semana num relatório publicado pelo Citizen Lab, um laboratório de investigação da Universidade de Toronto, no Canadá. Os investigadores, que trabalharam em parceria com a Microsoft, descobriram que uma empresa de software de espionagem informática, que mudou de nome várias vezes nos últimos sete anos, estava a aproveitar vulnerabilidades escondidas nas ferramentas da Microsoft e na Google para distribuir o spyware — programas informáticos que permitem obter informação de outro computador, nomeadamente através da activação à distância dos microfones e câmaras. As tecnológicas já corrigiram as fragilidades que permitiam os ataques.

O relatório do Citizen Lab acentua a falta de transparência na indústria do spyware. Muitas vezes, estes serviços apresentam-se como produtos para “garantir a produtividade” dos trabalhadores numa empresa ou a segurança de menores de idade. Quando são vendidos a governos, a missão é evitar ataques terroristas e crime.

Só que a investigação mais recente do laboratório de Toronto mostra que os serviços também são usados para monitorizar cidadãos específicos. “Escolher um alvo com base nas suas crenças políticas e actividades, que não são nem de natureza terrorista nem criminosa é um exemplo preocupante”, sublinha a equipa do Citizen Lab. “Igualmente preocupante é o registo de domínios que se fazem passar por organizações de direitos humanos (Amnistia Internacional), movimentos sociais (Black Lives Matter), organizações internacionais de saúde (OMS), temas associados aos direitos da mulher e organizações noticiosas.”

Os computadores das vítimas eram infectados quando estas carregavam em hiperligações que pareciam ser de sites de confiança. Por exemplo: amnestyreports.com; blacklivesmatter.info; genderconference.org, e whoint.co. Também eram utilizados endereços falsos de estações de televisão internacionais como a CNN e a France 24.

A empresa que vendia o serviço de spyware usa o nome de Saito Tech Ld (uma cidade no Japão), mas já funcionou com o nome de Taveta Ltd (uma cidade no Quénia), Grindavik (uma cidade na Islândia) e é mais bem conhecida pelo nome Candiru (nome de uma espécie de peixe). O modelo de negócio baseia-se no número de vítimas: quanto mais computadores puderem ser infectados em simultâneo, mais caro é o serviço. 

Segundo uma acção judicial intentada por um antigo trabalhador da Candiru, a empresa amealhou mais de 30 milhões de dólares (cerca de 25 milhões de euros) entre 2014 e 2016, com clientes localizados na Europa, Ásia, antiga União Soviética, América Latina e Golfo Pérsico. Há relatos de possíveis negócios com o Uzbequistão, Arábia Saudita e Emirados Árabes Unidos, Singapura e Qatar. O caso foi revelado devido a documentos obtidos pelo jornal israelita Haaretz.

Questionada pelo PÚBLICO sobre a situação, a Microsoft remete para um comunicado desta quinta-feira assinado por Cristin Goodwin, directora geral da Unidade de Segurança da empresa, onde se lê que as vulnerabilidades do sistema foram corrigidas. “Levamos esta ameaça a sério”, escreve Goodwin, notando que pelo menos 100 pessoas foram afectadas através do estratagema da Candiru (a que a Microsoft chama de “Sourgum”). A empresa revela poucos detalhes, mas explica que os ataques eram direccionados a “contas de utilizadores” da Microsoft, o que indica que os clientes da Candiru têm alvos específicos.

O PÚBLICO também contactou a Google para mais informação, mas não obteve resposta até à hora de publicação deste artigo. No entanto, a equipa de Análise de Ameaças da Google publicou um comunicado sobre a correcção de várias vulnerabilidades nas ferramentas da empresa esta semana. 

É preciso mais legislação contra spyware, conclui a equipa do Citizen Lab. “Este caso demonstra, mais uma vez, que na ausência de quaisquer salvaguardas internacionais ou fortes controlos governamentais a nível da exportação [de spyware], os vendedores de spyware venderão a clientes governamentais”, lê-se no relatório sobre os ataques. “Infelizmente, o Ministério da Defesa de Israel — de quem empresas israelitas como a Candiru devem receber uma licença de exportação antes de venderem para o estrangeiro — provou não estar disposto a submeter as empresas de vigilância ao tipo de escrutínio rigoroso que seria necessário para evitar abusos do tipo que nós e outras organizações identificámos.”

A directora geral da Unidade de Segurança da Microsoft, Cristin Goodwin, repete a ideia: “Um mundo onde as empresas do sector privado fabricam e vendem ciberarmas é mais perigoso para os consumidores, empresas de todas as dimensões e governos.”