O homem encarregado da implacável campanha da Arábia Saudita para sufocar dissidências procurou maneiras de espionar pessoas consideradas uma ameaça para o reino. Ele sabia a quem procurar: uma sigilosa empresa israelense que oferece tecnologia desenvolvida por ex-agentes dos serviços de espionagem. Era fim de 2017 e Saud al-Qahtani - na época um dos principais assessores do poderoso príncipe herdeiro da Arábia Saudita - rastreava dissidentes sauditas em todo o mundo, parte dos esforços de vigilância que culminaram no assassinato do jornalista Jamal Khashoggi.
Em mensagens trocadas com funcionários da empresa NSO Group, al-Qahtani falou em planos grandiosos para o uso de suas ferramentas de vigilância no Oriente Médio e na Europa, incluindo países como Turquia, Catar, França e Grã-Bretanha. A dependência do governo saudita em relação à empresa oferece uma amostra de uma nova era de guerra digital regida por poucas regras, e de um mercado cada vez maior de espiões mercenários, avaliado atualmente em US$ 12 bilhões.
Hoje, até os países menores podem contratar serviços de espionagem digital, possibilitando que realizem sofisticadas operações como a instalação de escutas eletrônicas ou campanhas de influência que antes eram privilégio de grandes potências como Estados Unidos e Rússia. As operações de espionagem também podem ser encomendadas por empresas que desejam acesso aos segredos de uma concorrente, ou indivíduos com motivações pessoais, em um processo semelhante à compra de elementos isolados da Agência de Segurança Nacional (NSA), dos EUA, ou do Mossad, de Israel.
A NSO e outra concorrente, DarkMatter, uma firma dos Emirados Árabes Unidos, são exemplos da proliferação da espionagem privada. As firmas possibilitaram aos governos não apenas a espionagem contra elementos criminosos, como grupos terroristas e cartéis de traficantes, mas também a indulgência de impulsos mais sombrios, vigiando ativistas e jornalistas.
O Oriente Médio é o epicentro dessa nova era de espionagem privada. Além da DarkMatter e da NSO, há também a Black Cube, empresa particular administrada por ex-funcionários do Mossad e dos departamentos de espionagem do exército israelense que ganhou fama depois de ser contratada por Harvey Weinstein, empresário de Hollywood envolvido em numerosos casos de abuso, para obter informações comprometedoras a respeito de suas acusadoras. A empresa israelense Psy-Group, especializada na manipulação via redes sociais, trabalhou para oligarcas russos e, em 2016, apresentou à campanha de Trump um plano para a construção de um exército de bots e avatares para conquistar o voto de delegados republicanos.
“O menor dos países, com um orçamento muito limitado, pode ter acesso a capacidades ofensivas", ou iniciar ataques online contra adversários, disse Robert Johnston, fundador da firma de segurança cibernética Adlumin e um dos principais investigadores do caso da invasão do Comitê Nacional Democrata por hackers ligados à Rússia em 2016. “O custo para participar nessa arena está ficando cada vez mais baixo".
Explorando uma falha de segurança
Antes da NSO ajudar o governo saudita a rastrear seus adversários fora do reino, a empresa era formada por dois amigos da época do ensino médio e uma ideia. Usando tecnologia desenvolvida por funcionários formados pela Unidade de Espionagem 8200 - equivalente israelense da NSA - Shalev Hulio e Omri Lavie fundaram em 2008 uma empresa permitindo que operadoras de celular obtivessem acesso remoto aos dispositivos dos clientes para funções de manutenção.
A notícia logo chegou aos serviços de espionagem ocidentais, cujos agentes enxergaram uma oportunidade. Na época, funcionários dos governos europeus e americano alertavam que Apple, Facebook, Google e outras gigantes da área estavam desenvolvendo tecnologias, permitindo que criminosos e terroristas se comunicassem por canais criptografados indecifráveis para as agências de espionagem e policiamento.
Hulio e Lavie ofereciam uma forma de superar o problema ao hackear o terminal das comunicações - os próprios celulares - depois que os dados eram descriptografados. Já em 2011, a NSO tinha desenvolvido seu primeiro protótipo, uma ferramenta de vigilância celular que a empresa batizou de Pegasus. A ferramenta da NSO era capaz de coletar um vasto volume de dados, antes inacessíveis, a partir de smartphones sem deixar um único rastro - interceptando chamadas, mensagens de texto, e-mails, dados de localização e informações transmitidas por meio de aplicativos como Facebook, WhatsApp e Skype. “Depois que essas empresas invadem seu celular, elas se tornam donas do aparelho", disse Avi Rosen, da Kaymera Technologies, uma empresa israelense de defesa cibernética. “O usuário apenas o carrega no bolso".
A empresa logo encontrou o primeiro cliente para sua ferramenta Pegasus: o governo do México, envolvido numa campanha de repressão aos cartéis de traficantes de drogas. Já em 2013, a NSO tinha instalado o Pegasus em três agências mexicanas. O México pagava à empresa cerca de US$ 77 milhões pelo acesso a cada movimento e cada toque dos celulares de um grande número de alvos.
Os produtos da NSO foram importantes na guerra do México contra os cartéis, de acordo com quatro informantes a respeito do uso que o governo mexicano fez da ferramenta Pegasus. Autoridades mexicanas elogiaram o Pegasus por sua importância no rastreamento e captura do barão das drogas El Chapo. Não demorou para que a NSO começasse a vender seus serviços para o mundo todo, e a empresa encontrou clientes em todos os continentes, com excessão da Antártida.
Espionando cidadãos
O governo mexicano também estava usando as ferramentas de vigilância eletrônica como parte de uma iniciativa mais ampla de policiamento. O governo usou produtos da NSO para rastrear pelo menos duas dúzias de jornalistas, críticos do governo, investigadores internacionais que analisam o desaparecimento de 43 estudantes, e até os defensores de um imposto sobre os refrigerantes.
Um processo alegou no ano passado que, nos meses que antecederam a morte de Khashoggi, a Arábia Saudita usou produtos da NSO para espioná-lo. O colunista do Washington Post seria estrangulado e esquartejado por agentes sauditas em Istambul em outubro. A NSO nega a acusação.
A organização de pesquisas Citizen Lab, do Canadá, informou que muitos dos contatos mais próximos de Khashoggi foram alvo das ferramentas de invasão digital da NSO. Sem acesso aos dispositivos de Khashoggi, pesquisadores não confirmaram se ele foi alvo de vigilância da NSO. “A tecnologia da NSO ajudou a deter crimes violentos e mortíferos ataques terroristas em todo o mundo", pronunciou a empresa. “Não toleramos o uso equivocado dos nossos produtos e analisamos com regularidade nossos contratos para garantir que não sejam usados para finalidades diferentes da prevenção ou investigação do crime e do terrorismo”.
Mesmo nos casos de abuso claro, a NSO continuou a renovar contratos com os clientes. Em 2013, por exemplo, a NSO fechou seu primeiro acordo com os Emirados Árabes Unidos. Em questão de um ano, o governo dos Emirados foi apanhado instalando software da NSO no iPhone de Ahmed Mansoor, destacado ativista defensor dos direitos humanos.
A descoberta obrigou a Apple a lançar uma correção de emergência. Mas, quando isso aconteceu, Mansoor já tinha perdido o emprego, teve o passaporte confiscado, o carro roubado, o e-mail invadido, a localização rastreada, a conta bancária subtraída em US$ 140.000, e ainda foi espancado por desconhecidos duas vezes na mesma semana.
Mesmo depois de os Emirados Árabes Unidos terem sido flagrados espionando Mansoor, notas fiscais e documentos vazados mostram que a NSO continuou a vender aos EAU milhões de dólares em software e serviços de espionagem. Já Mansoor foi condenado a 10 anos de prisão por prejudicar a união nacional e é mantido em confinamento solitário, onde sua saúde está se deteriorando.
Exportando vigilância
A proliferação de empresas que tentam imitar o sucesso da NSO com o chamado software de espionagem e interceptação legais deu início a uma acirradíssima concorrência pela contratação de veteranos das agências de espionagem americanas, russas e israelenses. A DarkMatter, uma empresa dos EAU, tem escritórios dentro de uma torre na estrada que liga Abu Dhabi a Dubai, o mesmo edifício que abriga a agência de espionagem por sinais dos Emirados Árabes Unidos, versão local da NSA.
Isso não ocorre por acaso. A DarkMatter é, na prática, um braço do estado que trabalha diretamente com funcionários da espionagem dos Emirados. As origens da DarkMatter estão em outra empresa, a americana CyberPoint, contratada anos atrás pelos Emirados Árabes Unidos para ajudar o país a se proteger de ataques computadorizados. Mas os EAU tinham ambições maiores. A CyberPoint rechaçou os pedidos da espionagem dos EAU para quebrar códigos de criptografia e invadir sites hospedados em servidores americanos - operações que teriam violado as leis dos EUA.
Assim, em 2015, os Emirados fundaram a DarkMatter - criando uma empresa livre das amarras da legislação americana - e atraíram pelo menos meia dúzia de funcionários americanos da CyberPoint, que se juntaram à nova empresa. Seu quadro de funcionários inclui vários ex-analistas da NSA e da CIA. “Antes, todos supunham que, ao deixar a NSA, a pessoa jamais voltaria a se envolver com esse tipo de trabalho ofensivo", disse Johnston, especialista em segurança. “Agora, está claro que há um mercado para essas habilidades”.
Em 2017, uma ex-hacker da NSA começou a fornecer ao FBI informações a respeito das atividades da empresa. Posteriormente, a informante, Lori Stroud, deixou a empresa com vários outros americanos dizendo não poderem saber com certeza se a DarkMatter não seria usada contra os cidadãos em geral. Logo, agentes do FBI começaram a deter funcionários americanos nos aeroportos quando estes vinham aos EUA, interrogando-os a respeito das operações da DarkMatter.
O FBI está investigando a DarkMatter por possíveis crimes cibernéticos, concentrando-se em fraude pela internet e a possível transferência ilegal de tecnologia de espionagem para um país estrangeiro. Mas as leis americanas que regem essa nova era de guerra digital são vagas, ultrapassadas e mal-equipadas para lidar com os rápidos avanços tecnológicos. As regras tinham como objetivo manter sob controle táticas de guerra do século 20 - a venda de mísseis ou aeronaves, ou o treinamento de forças estrangeiras nas táticas do exército americano.
Mas elas não abordam habilidades de hackers que podem ser aperfeiçoadas diante de um notebook, ou nas agências de espionagem mais avançadas do mundo, para em seguida serem vendidas a quem oferecer o maior preço. “O pior de tudo isso é que as armas estão mais fáceis de se obter", concluiu Brian Bartholomew, principal pesquisador de segurança da Kaspersky Lab, empresa de segurança digital. “Temos muitos recém-chegados entrando na arena, e eles não jogam pelas mesmas regras. É como entregar armamento militar nas mãos de alguém na rua". / SCOTT SHANE CONTRIBUIU COM A REPORTAGEM
TRADUÇÃO DE AUGUSTO CALIL
