O presidente Donald Trump se comprometeu, ontem (20), a permanecer com a Arábia Saudita em meio a um furor global pelo brutal assassinato do jornalista Jamal Khashoggi. Mas a campanha do regime saudita contra os dissidentes que vivem fora do país era aparentemente mais difundida do que se sabia anteriormente, e incluía uma série de ataques digitais insidiosos nos meses que antecederam a morte de Khashoggi.
VEJA TAMBÉM: Google+ tem dados de usuários expostos e já indicou a solução
Um desses dissidentes é o conhecido humorista do YouTube, Ghanem Almasarir, que vive em Londres. Quando nos encontramos, há duas semanas, ele estava debruçado sobre um café com leite em um bar no centro da capital inglesa, resmungando sobre o regime saudita do qual passou sua vida inteira zombando. E isso por uma boa razão: depois que eu passei uma hora com seu iPhone X, parece claro que ele foi alvo de uma ameaça cibernética chamada Pegasus. O spyware é capaz de, silenciosamente, obter informações privadas de um iPhone – de bate-papos pelo WhatsApp a e-mails -, e pode espionar as pessoas através da câmera e do microfone do smartphone. O programa espião é uma criação de um revendedor de vigilância israelense avaliado em US$ 1 bilhão, altamente sigiloso, chamado NSO Group.
Almasarir seria o segundo alvo saudita confirmado do Pegasus no Reino Unido, ao lado do ativista político Yahya Assiri. Ambos estão contando à FORBES, pela primeira vez, seus casos de invasão digital. Como publicado anteriormente, o Pegasus expandiu suas asas ainda mais para atacar oponentes do regime saudita. Outros ataques atingiram um funcionário que trabalhava em questões relacionadas à Arábia Saudita para a Anistia Internacional, uma ONG de direitos humanos fundada em Londres, e o ativista Omar Abdulaziz, de Quebec, no Canadá. E Assiri revelou que, assim como Abdulaziz, ele estava em contato frequente com o falecido escritor Khashoggi, que foi morto de forma odiosa na embaixada da Arábia Saudita, em Istambul, no mês de outubro.
Os defensores dos direitos humanos estão, agora, gritando ao mundo sobre a invasão de dispositivos de ativistas por meio do software da NSO. “Temos inúmeros exemplos de que esta ferramenta está sendo usada para assediar e ameaçar ativistas em todo o mundo”, diz Danna Ingleton, vice-diretora da divisão de tecnologia da Anistia Internacional. E das empresas que fornecem as ferramentas de vigilância, ela avisa: “Eles estão usando a segurança nacional como uma desculpa para agir fora da lei”.
A embaixada da Arábia Saudita em Londres não respondeu às ligações e e-mails com pedidos de entrevista. O NSO Group acusou o recebimento da solicitação da FORBES para falar sobre o assunto mas, até o momento da publicação desta matéria, não se manifestou. A Francisco Partners, empresa norte-americana de private equity que tem a NSO em seu portfólio, não havia se manifestado na época da publicação.
A empresa de spyware de Israel tornou-se alvo de críticas de ativistas de direitos humanos. No México, está sob fogo pesado. Seus instrumentos de vigilância foram vistos apontados para os advogados que representam os pais dos estudantes que desapareceram em 2014, como parte de um suposto sequestro em massa e assassinato perpetrado por policiais corruptos e por uma gangue local. Na época, a NSO não confirmou ou negou se tinha clientes no México. Mas a empresa disse que tinha um comitê de ética que analisou o suposto abuso de suas ferramentas, que deveriam ser usadas apenas pela polícia para investigações criminais.
No início deste verão norte-americano, os pesquisadores disseram que o malware da NSO chegou a 45 países, incluindo os Estados Unidos.
Uma mensagem maliciosa
A evidência de que o telefone de Almasarir era um alvo veio na forma de uma mensagem de 23 de junho, que parecia ter sido enviada pela DHL. Parecia o tipo de mensagem que pessoas de todo o mundo recebem todos os dias, dizendo que ele tinha uma encomenda que chegaria no dia 28. Ela continha um link encurtado onde ele poderia gerenciar sua entrega. Mas clicar nesse link levaria à instalação do Pegasus, capaz de coletar dados. Isso segundo dois pesquisadores que revisaram a mensagem para a FORBES. Um deles é Bill Marczak, do Citizen Lab, uma organização da Universidade de Toronto que construiu sua reputação ao rastrear empresas de vigilância. O outro é Claudio Guarnieri, pesquisador de vigilância da Anistia Internacional.
LEIA MAIS: Google investe US$ 700 milhões em centro de dados ecológico
O Pegasus poderia ter coletado as conversas do WhatsApp que usávamos para organizar nosso encontro – isso sem falar nas outras comunicações entre Almasarir e seus contatos. Seu telefone poderia, inclusive, estar escutando nossa conversa ali mesmo, ou nos observando através da câmera cristalina do iPhone. Almasarir já está culpando o regime saudita. “Eles querem torturá-lo emocionalmente, mentalmente”, diz, balançando a cabeça. “Eles são especialistas em fazer isso.”
A mensagem de texto no telefone de Almasarir despertou suspeitas, pois parecia quase idêntica a uma recebida por outro ativista saudita, Omar Abdulaziz, que vive no Canadá. Em agosto, Abdulaziz descobriu no Citizen Lab que seu telefone havia sido invadido pelo Pegasus. Nas últimas semanas, ele soou o alarme de que suas conversas com Khashoggi certamente foram bisbilhotadas antes de sua morte.
Ao olhar para o telefone de Almasarir, a impressão que dá é que suas comunicações poderiam ter sofrido o mesmo destino. Mas ele é cauteloso com essas mensagens, e diz que nunca clicaria em links de remetentes desconhecidos. O pânico inicial desaparece, enquanto ele fala sobre como lida com um constante ataque à sua vida virtual. Ele alega que sua conta no YouTube tem sido repetidamente sujeita a solicitações de remoção; seu Instagram foi hackeado e deletado; alertas em seu telefone frequentemente o avisam de que alguém, em algum lugar, está tentando acessar suas contas do Google e do Twitter. Todos os esforços persistentes, diz ele, de agentes sauditas tentando assustá-lo, satirizando a realeza de seu país de origem.
Mas a calma não persiste. Questionado sobre qual versão do software para dispositivos móveis da Apple, o iOS, ele está rodando, Almasarir responde com confiança que é o mais recente. Uma verificação rápida mostra que ele está enganado. Ele está executando o iOS 11.2.6, lançado em fevereiro. A Apple lançou várias atualizações com melhorias de segurança, sendo a última delas a versão 12.1. Quando ele tenta verificar se há uma atualização de software, é recebido com uma mensagem de “carregamento” perpétua. Não é um bom sinal. É uma indicação de que o Pegasus poderia estar escondido no dispositivo, de acordo com Marczak, que acompanha o malware da NSO nos últimos anos como parte do trabalho para a organização sem fins lucrativos, Citizen Lab.
O pesquisador confirma que não apenas a mensagem de texto é uma tentativa de atrair o telefone de Almasarir para o Pegasus, mas também o software clandestino previne as atualizações do iOS.
Nos dias seguintes, novas tentativas de validar que o Pegasus havia se infiltrado com sucesso em seu dispositivo foram inconclusivas. Nenhuma evidência adicional foi encontrada.
AINDA: Facebook diz que hackers roubaram dados de 29 mi de usuários
Mas a tentativa de infectar o iPhone acrescenta mais peso à crença de que a Arábia Saudita construiu uma pequena, mas poderosa, máquina de vigilância global, que está perseguindo os críticos do regime. E enquanto não há evidências claras de que os hackers do regime saudita estão por trás da onda de ataques com o Pégasus, os pesquisadores estão ligando os pontos. “Como Yahya, Omar e Ghanem são todos dissidentes sauditas de alto perfil, parece bastante provável que a segmentação seja conduzida para o benefício da Arábia Saudita”, diz Marczak.
Ele observa que dos 12 países que a chamada tripulação hacker do Reino tem como alvo, há “um claro foco no Oriente Médio”. Os países-alvo incluem Arábia Saudita, Bahrein, Egito, Jordânia, Iraque, Catar, Líbano, Turquia, Marrocos, Canadá, Reino Unido e França. “Então não podemos dizer com certeza que é alguém sentado em Riad que aciona essas mensagens, mas, no final das contas, acreditamos fortemente que as operações estão sendo conduzidas em benefício da Arábia Saudita”, acrescenta Marczak.
Apetite por destruição de dados
Um tipo muito diferente de ativista de Almasarir, o solene e sério Yahya Assiri, fundador da organização de direitos humanos da Arábia Saudita ALQST, foi alvejado em maio.
Ao contrário de Almasarir, Assiri tinha estado em contato frequente com Khashoggi até o assassinato em Istambul – e a realeza saudita estava prestando atenção nisso. Em dezembro do ano passado, Assiri organizou a primeira conferência da ALQST em Londres. Participando ao lado de integrantes da Human Rights Watch, da Anistia Internacional e de uma miríade de outras organizações ativistas estava o próprio Khashoggi, discando pelo Skype e aparecendo em uma tela grande. Poucos dias depois da conferência, o jornal diário árabe “Al-Hayat” publicou uma declaração de seu proprietário, o príncipe saudita Khalid bin Sultan. A mensagem dizia que o jornal encerrava oficialmente seu relacionamento com Khashoggi, já suspendendo-o em setembro. Como parte de seu raciocínio, o príncipe apontou para “a participação em reuniões suspeitas visando minar o Reino”. Assiri acha que o evento “suspeito” era dele mesmo.
No final de maio, o spyware tentou um outro alvo. Uma estranha mensagem de um número alemão dizia a Yahya Assiri que ele deveria comparecer ao tribunal. Temendo que o link fosse malicioso, ele abriu a mensagem em um Mac, da Apple, que ele não se importava de ser infectado. Isso levou ao que parecia ser o site oficial do Ministro da Justiça da Arábia Saudita, o que fez com que Assiri acreditasse que fosse legítimo. Mais tarde, ele abriu o link em seu iPhone.
Pouco depois, coisas estranhas começaram a acontecer em seus dispositivos da Apple, diz ele à FORBES em seu escritório em West London, onde cartazes de protesto com o rosto de Khashoggi estão esparramados sobre uma mesa. Primeiro, seu iPhone começou a esquentar enquanto acabava a bateria. Quando ele tentou reiniciar o telefone, ele não ligou mais. Depois, ele tentou recuperar um backup de seu Mac, mas o computador simplesmente congelou após o pedido.
SAIBA MAIS: Regulador do Facebook na UE investiga vazamento de dados
“Eu não acho que eles hackearam meu celular”, diz ele. “Mas acho que eles tentaram e destruíram coisas no processo.” Ele optou por limpar o iPhone e o Mac, apesar de nunca ter confirmado que seu telefone havia sido invadido.
Assiri continua a receber mensagens duvidosas todos os dias. Algumas contêm links para comentários caluniosos ou ofensivos sobre ele, às vezes supostamente feitos por seus amigos próximos e contatos, incluindo Abdulaziz. Elas são, obviamente, projetadas para enganá-lo, mas ele não está mais acreditando nessas tentativas.
Há um ano, Assiri não achava que houvesse muita ameaça da vigilância saudita. Agora, no entanto, mudou de ideia. E adverte: as revelações sobre o uso de ferramentas de vigilância do Reino provocaram efeitos inibidores. Até recentemente, ele usaria o aplicativo de mensagens de texto russo Telegram para coletar informações de ativistas que ainda viviam na terra natal. Eles forneceriam detalhes, como a saúde e o bem-estar dos prisioneiros, em poucos minutos. Agora, leva dias ou semanas para obter as mesmas informações – se elas chegarem a todos.
Mas ainda há espaço para otimismo. Por causa da morte de Khashoggi, a operação saudita é agora o foco do escrutínio global. Pelo menos um governo está agindo. Investigadores no Canadá estão investigando o hackeamento do iPhone de Abdulaziz. Embora a Real Polícia Montada do Canadá tenha se recusado a comentar qualquer possível investigação, Abdulaziz disse que ela está particularmente interessada no que aconteceu com o jornalista. “Eles acreditam que tem algo a ver comigo”, diz Abdulaziz à FORBES. “Com certeza eles estavam nos ouvindo através do meu telefone.”
Em vez de ser intimidado pelo Big Brother que os vigia, Abdulaziz e colegas ativistas não vão deixar de expressar sua discordância. “Suas ameaças vão me fortalecer”, acrescenta Abdulaziz. “Isso me mostra como eles são fracos.”