Uma rede de piratas informáticos contratada para realizar ataques direcionados foi identificada a atacar ativamente jornalistas, ativistas e funcionários governamentais no Médio Oriente e no Norte de África. A descoberta, detalhada nos dados partilhados pelo Surveillance Watch, expõe uma tendência crescente de agências governamentais que subcontratam as suas operações de espionagem a empresas privadas. Em vez de desenvolverem as próprias ferramentas, muitos governos optam agora por soluções comerciais criadas por terceiros para aceder aos dados nos telemóveis de alvos específicos.
As investigações foram conduzidas de forma colaborativa por organizações de direitos digitais como a Access Now e a SMEX, juntamente com a empresa de cibersegurança Lookout. Estes especialistas documentaram casos recentes contra dois jornalistas egípcios e um jornalista libanês, mas a lista de alvos estende-se a membros dos governos do Bahrein, Egito, Emirados Árabes Unidos, Arábia Saudita, Reino Unido e, potencialmente, dos Estados Unidos ou ex-alunos de universidades norte-americanas.
A rede de espionagem a pedido
Os investigadores da Lookout atribuíram a esta campanha o nome de código BITTER e suspeitam que o grupo tenha ligações ao governo da Índia. Segundo os especialistas, a empresa por trás destas operações poderá dar pelo nome de Rebsec Solutions, uma possível ramificação da startup indiana de ciberespionagem Appin. Esta última já tinha sido alvo de investigações aprofundadas por parte da Reuters em 2022 e 2023, que revelaram como estas empresas são contratadas para vigiar executivos, políticos e oficiais militares.
A grande vantagem para os clientes que contratam estes grupos mercenários é a negação plausível, uma vez que toda a operação e infraestrutura são geridas por terceiros sem ligação oficial ao estado contratante. Além disso, recorrer a uma entidade como a BITTER acaba por ser uma alternativa bastante mais económica do que comprar software de espionagem comercial de alto nível. Entretanto, a Rebsec parece ter apagado os seus perfis nas redes sociais e o respetivo site da internet, e a embaixada indiana em Washington não prestou declarações sobre o caso.
Táticas de invasão e roubo de dados
Embora grupos como o BITTER possam não ter as ferramentas informáticas mais avançadas do mercado, as suas táticas provaram ser altamente eficazes. Quando o alvo utilizava equipamentos da Apple, os atacantes recorriam a campanhas de phishing para enganar as vítimas e obter as credenciais do Apple ID. Com esta informação, conseguiam aceder às cópias de segurança do iCloud, ganhando acesso total aos conteúdos do dispositivo de forma muito mais barata do que usando malware complexo focado no iOS.
No caso dos utilizadores de Android, a estratégia passava por instalar um software espião chamado ProSpy. Este malware disfarçava-se de aplicações de comunicação populares, como o Signal, WhatsApp, Zoom, ToTok e Botim. Noutros cenários reportados, os piratas informáticos tentavam enganar as vítimas para registarem um novo equipamento controlado pelos atacantes nas suas contas do Signal, uma tática de interceção de mensagens que também tem sido muito utilizada por grupos de ciberespionagem russos.
Nenhum comentário
Seja o primeiro!