Um consórcio de media, incluindo o francês Le Monde e a unidade de investigação da Radio France, coordenado pela organização Forbidden Stories, teve acesso a mais de 50 mil números de telefone potencialmente visados e espiados por duas dezenas de países, usando o software israelita Pegasus.
O caso teve um grande efeito mediático porque continha, misturados, jornalistas, empresários, opositores políticos e outras figuras da vida pública.
Mas, relativamente à técnica por trás deste software, quando nasceu o Pegasus? Como é usado? Porque ganhou tanta importância?
Como funciona
O software Pegasus é desenvolvido pela empresa israelita NSO Group [com fundos de investimento europeus]. É um software-espião (spyware) para smartphones, cujo objectivo é desviar todos os seus dados: coordenadas GPS, conteúdo de mensagens, escuta de chamadas telefónicas, tudo o que passa pelo telefone é visto, lido e ouvido pelo software e transmitido para o seu utilizador (o atacante). Este spyware está a evoluir há vários anos e adapta-se às alterações nos níveis de segurança dos telefones.
Nas versões anteriores, o invasor enviava uma mensagem contendo um link, que, ao ser clicado pelo utilizador, accionava a instalação do Pegasus. Essa técnica, um pouco grosseira, pode funcionar com pessoas não acostumadas ou não treinadas em cibersegurança. Mas com alvos de elevado nível (públicos ou privados) é muito mais arriscado. Assim, a NSO desenvolveu uma nova versão que é capaz de instalar o “cookie” sem clicar, o que é chamado de ataque “zero click“.
Como se instala o software sem o conhecimento do proprietário do telefone? O método mais eficaz, a versão de filme de espionagem, é simplesmente pegar no telefone num momento de desatenção e transferir o software para esse equipamento.
Também existe um método mais subtil e mais tecnológico: usar uma vulnerabilidade de segurança do dispositivo para assumir o controlo do telefone por um curto período de tempo para instalar o spyware remotamente.
A exploração das vulnerabilidades de segurança
Para controlar um smartphone à distância, é essencial explorar uma falha de segurança. Esta pode vir no hardware – por exemplo, num microprocessador -, ou no software dos sistemas operativos iOS ou Android. Os clientes da NSO, geralmente, não precisam de procurar as vulnerabilidades sozinhos, só precisam do número de telefone do alvo e o Pegasus trata da invasão pirata e da exfiltração dos dados. Por cada alvo visado, o cliente paga à NSO uma licença de várias dezenas de milhares de euros.
Geralmente, procuram-se vulnerabilidades de “dia zero” (“zero day exploit”), assim chamadas porque nunca foram publicadas ou exploradas. A maioria dos softwares vendidos pode ter vulnerabilidades. Na verdade, os seus editores organizam regularmente concursos abertos a hackers para as encontrar. Se alguém descobrir uma falha, pode conseguir vendê-la em “zero day markets”.
Assemelham-se a uma bolsa internacional em que os produtos são as falhas. Em geral, são compradas pelos próprios editores, que têm interesse em corrigi-las o mais depressa possível. Uma vulnerabilidade num sistema operativo iOS pode ser negociada na casa dos milhões de dólares. Estes mercados são legais. O objectivo é impedir que um hacker, tendo encontrado uma falha, a venda a um grupo cibercriminoso.
Um exemplo concreto foi relatado pelo Citizen Lab (laboratório da Amnistia Internacional e da Universidade de Toronto que trabalhou neste recente escândalo) no final de 2020. Tamer Almisshal, jornalista de investigação que trabalhava para a Al Jazeera, suspeitou que o seu telefone tinha sido pirateado. Para o provar, o laboratório registou todos os seus metadados para rastrear ao que ele se ligava.
Assim, encontraram algumas ligações muito suspeitas: o seu telefone tinha visitado várias vezes um site conhecido por servir para a instalação do Pegasus .
Estes acessos foram supostamente provocados por hackers que exploraram uma falha no sistema de mensagens do iPhone (falha depois corrigida), e dado que o jornalista não clicou em nenhum link suspeito, foi um ataque de “zero click”. Também foi demonstrado que houve uma transferência de dados. A NSO negou qualquer envolvimento.
Um túnel de exfiltração de dados
Após activar o Pegasus, este deve enviar os dados de volta ao responsável pela instalação. Como se faz isso? É criado um túnel. Se o hacker estiver fisicamente próximo do seu alvo, é possível aceder aos dados usando técnicas de radiofrequência. O telefone irá transmitir as informações, por exemplo, através de comunicação Wi-fi, para serem captadas por uma outra antena.
As vulnerabilidades de segurança que afectam os cartões SIM podem ser exploradas por um invasor para assumir o controlo do telefone ou para instalar spyware. Por exemplo, a falha SIMjacker afecta milhões de telefones. Ela permite, a partir de uma simples mensagem de texto, assumir o controlo total de um smartphone e recolher dados. Concretamente, o atacante envia um SMS com um código específico que ordena ao cartão SIM para assumir o controlo do telefone e executar certos comandos que provocam a transferência de dados.
Também é possível usar as comunicações 3G ou 4G convencionais. Mesmo se o telefone estiver em áreas com velocidades de débito limitadas, a largura de banda irá ser mais lenta e a transferência de dados demorará mais, mas ainda assim será possível exfiltrar os dados.
Pode-se dizer que transferências massivas de dados podem ser detectadas pelo utilizador, observando os seus fluxos de dados. É aqui que o Pegasus é muito bom, porque pode passar despercebido. Os dados que envia do telefone são criptografados, pelo que o proprietário do smartphone não pode saber o que foi enviado. Além disso, ele mistura essas remessas com as transferências de dados quando, por exemplo, se faz um pagamento online e se enviam dados criptografados para o banco ou um vendedor e, nesse momento, o software aproveita para enviar informações para o atacante.
Portanto, é muito difícil saber, realmente, o que foi enviado após se ter sido vítima do ataque. Especialmente porque, uma vez a missão concluída, o Pegasus pode auto-destruir-se e não deixar rasto, de acordo com o seu fabricante.
Esta última informação é desmentida pela Amnistia Internacional que afirma ter detectado vestígios do software em vários telefones analisados nos registos de eventos que registam uma parte da actividade do sistema.
Em geral, a retro-análise do funcionamento de um tal spyware ainda é muito complexa de realizar. Da mesma forma, a análise detalhada do ataque requer importantes meios técnicos e analíticos, incluindo um conhecimento humano de alto nível e tempo.
Por isso, deve-se ter cuidado com as declarações de qualquer pessoa que atribua a origem de um ataque ou afirme que um telefone foi comprometido, especialmente por um software que é furtivo por natureza.
* Artigo de Thierry Berthier publicado na The Conversation (CC).
[Nota: após a divulgação do caso, o NSO Group considerou tratarem-se de “falsas acusações” e que a lista não era de “alvos ou potenciais alvos do Pegasus“. No entanto, como foi salientado, “a própria negação da NSO é internamente incoerente. Se eles não têm acesso aos dados do cliente, como podem saber se esta é ou não uma lista de alvos do Pegasus?” A empresa declarou ainda que não pretende falar com os media sobre o assunto.
A BBC sintetizou a posição da empresa como “culpem os nossos clientes, não a nós” e a Forbes com “se não é um criminoso, não tem nada a temer“.
No entanto, perante este ataque a mais de 180 jornalistas e ao “jornalismo na era da vigilância“, foram pedidas “regras globais para governar a proliferação destas armas de repressão massiva“.]
TICtank 