Anistia Internacional revelou que telefones pertencentes a ativistas e jornalistas sérvios foram hackeados pela inteligência e pela polícia sérvias usando spyware israelense e outras ferramentas forenses de dispositivos móveis.

O software está a ser usado “para atingir ilegalmente jornalistas, ativistas ambientais e outros indivíduos numa campanha de vigilância secreta”, disse a Amnistia na segunda-feira.

Muitos indivíduos visados ​​não foram presos ou acusados ​​de qualquer crime, acrescentou.

A Agência Sérvia de Inteligência de Segurança, conhecida como BIA, rejeitou as acusações de que spyware havia sido usado ilegalmente.

“A ferramenta forense é usada da mesma forma por outras forças policiais em todo o mundo”, afirmou em comunicado. “Portanto, não podemos nem comentar alegações absurdas contidas no texto (da Anistia), assim como normalmente não comentamos conteúdo semelhante.”

Então, o que aconteceu na Sérvia e o que tudo isso significa?

Como surgiu o uso de spyware?

De acordo com o relatório de 87 páginas da Amnistia intitulado Uma Prisão Digital: Vigilância e Supressão da Sociedade Civil na Sérvia, a jornalista independente Slavisa Milanov foi levada para uma esquadra da polícia depois do que parecia ser uma operação de trânsito de rotina em Fevereiro.

Quando recuperou seu telefone após uma entrevista policial, Milanov percebeu que tanto as configurações de dados quanto de Wi-Fi haviam sido desativadas. Reconhecendo isto como uma possível indicação de pirataria informática, Milanov contactou o Laboratório de Segurança da Amnistia Internacional e solicitou um exame do seu dispositivo móvel.

O laboratório encontrou vestígios digitais da tecnologia Universal Forensic Extraction Device (UFED) do grupo de software Cellebrite, que parecia ter sido usada para desbloquear o dispositivo Android de Milanov.

Também encontrou spyware que a Amnistia afirma ser até então desconhecido – um programa chamado NoviSpy – que tinha sido instalado no telefone de Milanov.

Milanov disse que nunca foi informado de que a polícia pretendia revistar seu telefone e que a polícia não apresentou nenhuma justificativa legal para fazê-lo. Ele disse que não sabia quais dados específicos foram extraídos de seu telefone.

A Amnistia afirmou que a utilização deste tipo de tecnologia sem a devida autorização é “ilegal”.

“A nossa investigação revela como as autoridades sérvias utilizaram tecnologia de vigilância e táticas de repressão digital como instrumentos de controlo estatal mais amplo e de repressão dirigida contra a sociedade civil”, afirmou Dinushika Dissanayake, vice-diretora regional da Amnistia Internacional para a Europa.

O que descobriu a investigação da Amnistia?

A investigação da Amnistia Internacional fez duas conclusões significativas. Primeiro, encontrou “evidências forenses” que indicavam o uso da tecnologia Cellebrite para acessar o dispositivo do jornalista.

A Cellebrite, uma empresa de inteligência digital com sede em Israel, produz tecnologia de extração de dados amplamente utilizada legitimamente por departamentos de aplicação da lei em todo o mundo, especialmente nos Estados Unidos.

Em resposta ao relatório da Anistia, a Cellebrite emitiu um comunicado dizendo: “Estamos investigando as alegações feitas neste relatório e estamos preparados para tomar medidas alinhadas com nossos valores éticos e contratos, incluindo o término do relacionamento da Cellebrite com quaisquer agências relevantes”.

A Anistia também encontrou o segundo tipo de spyware no telefone do jornalista. Não está claro quem criou o NoviSpy ou de onde ele vem.

Esta tecnologia parece ser capaz de permitir que invasores acessem e extraiam remotamente informações confidenciais de smartphones infectados.

O NoviSpy, que pode ser usado para recuperar dados de dispositivos Android, também pode conceder controle não autorizado sobre o microfone e a câmera de um dispositivo, representando riscos significativos de privacidade e segurança, concluiu o relatório.

O relatório da Anistia afirmou: “Uma análise de várias amostras de aplicativos spyware NoviSpy recuperadas de dispositivos infectados descobriu que todas se comunicavam com servidores hospedados na Sérvia, tanto para recuperar comandos quanto para monitorar dados. Notavelmente, uma dessas amostras de spyware foi configurada para se conectar diretamente a um intervalo de endereços IP associado diretamente à BIA da Sérvia.”

O NoviSpy funciona de forma semelhante ao spyware comercial, como Pégasoum spyware sofisticado desenvolvido pela empresa israelense de ciberinteligência NSO, que esteve envolvida em um escândalo de hackers destaque em 2020.

De acordo com o relatório, o programa NoviSpy se infiltra nos dispositivos, capturando uma série de capturas de tela que mostram informações confidenciais, como o conteúdo de contas de e-mail, conversas do Signal e do WhatsApp, bem como interações nas redes sociais.

Num outro incidente relatado pela Amnistia Internacional envolvendo o software NoviSpy em Outubro, as autoridades sérvias convocaram um activista da ONG Krokodil, sediada em Belgrado, uma organização apartidária da sociedade civil que se concentra na cultura, literatura e activismo social, para o escritório da BIA.

Enquanto o ativista estava na sala de interrogatório, o telefone Android do ativista foi deixado do lado de fora. Um exame forense subsequente conduzido pelo Laboratório de Segurança da Anistia Internacional revelou que, durante esse período, o spyware NoviSpy foi instalado secretamente no dispositivo.

Por que jornalistas e ativistas estão sendo alvos?

A Amnistia Internacional e outras organizações de direitos humanos afirmam que os ataques de spyware são utilizados para restringir a liberdade dos meios de comunicação social e exercer um controlo mais amplo sobre as comunicações dentro dos países.

“Esta é uma forma incrivelmente eficaz de desencorajar completamente a comunicação entre as pessoas. Qualquer coisa que você diga pode ser usada contra você, o que é paralisante tanto no nível pessoal quanto profissional”, disse um ativista alvo do spyware Pegasus e que foi referido no relatório como “Branko”. A Anistia disse que mudou alguns nomes para proteger a identidade dos indivíduos.

“Goran” (cujo nome também foi alterado), um ativista também alvo do spyware Pegasus, disse: “Estamos todos na forma de uma prisão digital, um gulag digital. Temos uma ilusão de liberdade, mas na realidade não temos liberdade alguma. Isto tem dois efeitos: ou você opta pela autocensura, o que afeta profundamente sua capacidade de trabalhar, ou você opta por se manifestar de qualquer maneira e, nesse caso, você tem que estar pronto para enfrentar as consequências.”

O spyware também pode ser usado para intimidar ou dissuadir jornalistas e ativistas de divulgar informações sobre pessoas em posição de autoridade, disse a Amnistia.

Em fevereiro, a Human Rights Watch (HRW) descobertas publicadas que de 2019 a 2023, o spyware Pegasus foi usado para atingir pelo menos 33 indivíduos na Jordânia, incluindo jornalistas, ativistas e políticos. A HRW baseou-se num relatório da Access Now, uma organização sem fins lucrativos sediada nos EUA que se concentra na privacidade online, liberdade de expressão e protecção de dados.

Esse relatório, que se baseou numa investigação forense colaborativa com o Citizen Lab, um centro de investigação académica canadiano, descobriu evidências de spyware Pegasus em dispositivos móveis. Descobriu-se que alguns dispositivos foram infectados várias vezes.

No entanto, a investigação não conseguiu identificar quais organizações ou países específicos foram responsáveis ​​pela orquestração destes ataques.

“Tecnologias de vigilância e armas cibernéticas, como o spyware Pegasus do Grupo NSO, são usadas para atingir defensores dos direitos humanos e jornalistas, para intimidá-los e dissuadi-los do seu trabalho, para se infiltrarem nas suas redes e para recolherem informações para utilização contra outros alvos”, afirmou o relatório.

“A vigilância direcionada de indivíduos viola o seu direito à privacidade, liberdade de expressão, associação e reunião pacífica. Também cria um efeito inibidor, forçando os indivíduos a autocensurar-se e a cessar o seu activismo ou trabalho jornalístico, por medo de represálias.”

O uso de spyware é legal?

Isso depende das leis de cada país.

O Artigo 41 da Constituição da Sérvia garante a confidencialidade da correspondência e outras formas de comunicação dos indivíduos para proteger a privacidade individual. Tal como noutros países, a recuperação de dados de dispositivos é permitida pelo Código de Processo Penal da Sérvia, mas está sujeita a restrições – como ser ordenada por um tribunal.

O relatório da Amnistia Internacional afirma: “O Código de Processo Penal da Sérvia não utiliza o termo “prova digital”, mas considera como um documento os dados informáticos que poderiam ser utilizados como prova em processos penais (“isprava”).

“A vigilância das comunicações, incluindo dados digitais, poderia ser obtida através de medidas probatórias gerais, tais como inspecção e buscas de dispositivos móveis ou outros equipamentos que armazenem registos digitais. Estas medidas normalmente não são secretas e são conduzidas com o conhecimento e na presença de um suspeito.”

A BIA e a polícia também têm o direito de monitorizar secretamente as comunicações para recolher provas para investigações criminais, mas este tipo de vigilância também é regido pelo Código de Processo Penal.

Devido à complexidade das leis de diferentes países, pode ser difícil provar definitivamente se os dados foram extraídos ilegalmente, dizem os especialistas.

Existe um precedente internacional relacionado à forma como o spyware pode ser usado. O Artigo 17 do Pacto Internacional sobre Direitos Civis e Políticos declara:

• Ninguém será sujeito a interferências arbitrárias ou ilegais na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem a ataques ilegais à sua honra e reputação.
• Toda pessoa tem direito à proteção da lei contra tais interferências ou ataques.

Até Junho, 174 países, incluindo a Sérvia, tinham ratificado o pacto, tornando-o num dos tratados de direitos humanos mais amplamente adoptados.

Quem mais foi alvo de spyware nos últimos anos?

• Em outubro de 2023o Laboratório de Segurança da Amnistia Internacional revelou que dois jornalistas proeminentes foram alvo, através dos seus iPhones, do spyware Pegasus. As vítimas foram Siddharth Varadarajan, editor fundador do The Wire, e Anand Mangnale, editor do Sul da Ásia do Organized Crime and Corruption Report Project. Não se sabe quem foi o responsável.
• Em 2022a HRW informou que Lama Fakih, um membro sênior da equipe e diretor do escritório da HRW em Beirute, foi submetido a vários ataques cibernéticos usando spyware Pegasus em 2021. Pegasus supostamente se infiltrou no telefone de Fakih em cinco ocasiões, de abril a agosto daquele ano. Fakih, que supervisiona a resposta da HRW à crise em países que incluem o Afeganistão, a Etiópia, Israel, Mianmar, o território palestiniano ocupado, a Síria e os EUA, foi alvo, por razões desconhecidas, de uma parte não identificada.
• Em 2020uma investigação colaborativa do grupo de direitos humanos Access Now, do Citizen Lab da Universidade de Toronto e do investigador independente Nikolai Kvantaliani da Geórgia descobriu que jornalistas e activistas da Rússia, Bielorrússia, Letónia e Israel, bem como vários que vivem no exílio na Europa, foram alvo de ataques Spyware Pegasus. Estes ataques começaram já em 2020 e intensificaram-se após a invasão em grande escala da Ucrânia pela Rússia em 2022. O Citizen Lab também identificou uma série de ataques a jornalistas e ativistas em El Salvador. Não se sabe quem foi o responsável pelos ataques de spyware.
• Em 2018, Jamal Khashoggium proeminente jornalista saudita, colunista do The Washington Post e crítico ferrenho do governo da Arábia Saudita, foi assassinado e esquartejado dentro do consulado saudita em Istambul, Turquia. Uma investigação subsequente revelou que o spyware Pegasus foi implantado para vigiar várias pessoas próximas a Khashoggi.