Pegando o Pegasus: spyware mercenário e a responsabilidade do Grupo NSO

Vista da filial da empresa cibernética israelense NSO Group, no deserto de Arava, em 11 de novembro de 2021, em Sapir, Israel [Amir Levy/Getty Images]

O Grupo NSO, queridinho de Israel em termos de infecção e vigilância de malware para o mercado global de segurança, foi criado por três engenheiros oriundos da mais movimentada equipe cibernética das Forças de Defesa de Israel, conhecida como Unit 8200.  Niv Carmi, Shalev Hulio e Omri Lavie certamente causaram uma boa impressão desde que fundaram sua empresa de tecnologia em 2010.

A impressão inconfundível do grupo é sua deslumbrante amoralidade.  Não há literalmente nenhum governo que ele não adicione às suas listas de fornecimento, nenhuma carteira que ele não esvazie com satisfação.  A joia da cadeia de suprimentos tem sido, em sua maior parte, o spyware Pegasus, que o NSO afirma ser usado exclusivamente para “investigar terrorismo e crimes”.

Apesar de tal afirmação, esse delicado número infeccioso entrou no arsenal de vigilância de vários estados e clientes que consideram defensores dos direitos humanos, jornalistas e dissidentes dignos de serem alvos.  Mais notoriamente, ele foi adotado pela Arábia Saudita, que o utilizou para espionar as ligações entre o falecido jornalista saudita dissidente Jamal Khashoggi e Omar Abdulaziz, outra figura que havia conquistado a ira do reino saudita.  Em outubro de 2018, Khashoggi entrou despreocupadamente no consulado arábe em Istambul e foi esquartejado por um esquadrão da morte sob as ordens do príncipe herdeiro da Arábia Saudita, Mohammed bin Salman. Abdulaziz posteriormente reuniu uma equipe jurídica alegando que a invasão de seu telefone “contribuiu de forma significativa para a decisão de assassinar o Sr. Khashoggi”.

Em julho de 2021, o Projeto Pegasus, um esforço colaborativo que envolveu mais de 80 jornalistas de 17 organizações de mídia e grupos da sociedade civil, dirigido pela Forbidden Stories com assistência técnica do Laboratório de Segurança da Anistia Internacional, exibiu grande parte da roupa suja do NSO. Cerca de 50.000 números de telefone considerados interessantes para vários governos apareceram em uma lista de alvos hackeáveis. O Pegasus foi a chave para abrir a fechadura.

Em 20 de dezembro, a decisão jurídica mais importante até o momento em relação à conduta do NSO foi proferida pela juíza distrital Phyllis J. Hamilton, do Tribunal Distrital dos EUA para o Distrito Norte da Califórnia. Sua sentença dizia respeito à ação judicial do WhatsApp movida em 2019 contra o Grupo NSO, alegando que o Pegasus havia sido instalado em aproximadamente 1.400 telefones celulares e dispositivos pertencentes a jornalistas, ativistas e diplomatas para realizar vigilância sobre eles. Ao fazer isso, o WhatsApp alegou que o NSO havia violado a Lei Federal de Fraude e Abuso de Computador e a Lei de Acesso e Fraude de Dados de Computador da Califórnia. Depois de cinco anos, o caso teve uma reviravolta interessante com uma ação do WhatsApp para buscar um julgamento sumário parcial.

Ao longo do caso, a juíza distrital não ficou claramente impressionada com a conduta escorregadia do NSO.  “No geral, o tribunal conclui que os réus falharam repetidamente em produzir descobertas relevantes e não obedeceram às ordens do tribunal em relação a tais descobertas.”  Durante todo o processo, a empresa israelense se recusou a apresentar o código Pegasus, sua galinha dos ovos de ouro.  Em seguida, houve uma divulgação relutante do nível de instalação do código.  Insatisfeito com esse quadro incompleto, a juíza solicitou a divulgação completa.

O NSO fez isso, mas somente em Israel.  Isso dificultou as coisas: a lei israelense impediu a produção do código-fonte, tornando-o inacessível aos advogados do autor da ação ou a qualquer tribunal dos EUA.  Com audácia, para não dizer extravagância, a empresa insistiu que o WhatsApp e o tribunal poderiam contratar um advogado israelense para ver o código ou obter uma licença de exportação do governo israelense para usar o código nos EUA.  O juíza Hamilton ficou furiosa com a impraticabilidade de tudo isso, enquanto o representante legal do NSO, Aaron Craigh, da King & Spalding, afirmou que seus clientes haviam “cumprido” a ordem judicial.

A juíza não deu importância às alegações de que o Grupo NSO não estava sujeito ao alcance do tribunal, pois “o registro probatório apoia a conclusão de que [os] réus estão sujeitos à jurisdição pessoal neste distrito”.  Ela também tomou nota do pleno reconhecimento pelo NSO “de que o WIS (‘Whatsapp Installation Server’ – uma variante modificada do WhatsApp) enviou mensagens por meio dos servidores do Whatsapp que fizeram com que o Pegasus fosse instalado nos dispositivos dos usuários-alvo, e que o WIS pôde então obter informações protegidas ao enviá-las dos usuários-alvo, por meio dos servidores do Whatsapp, e de volta ao WIS”.  O NSO “fez com que as transmissões digitais entrassem na Califórnia, o que constituiu uma violação da lei naquela jurisdição”.

O caso pôs fim às afirmações anteriores do NSO de que o cliente, e não o criador do spyware, era essencialmente responsável ou “soberano”.  Citando o depoimento de um executivo, um documento do WhatsApp observa que “o cliente simplesmente faz um pedido de dados de um dispositivo alvo, e o NSO controla todos os aspectos do processo de recuperação e entrega de dados por meio de seu projeto do Pegasus”.  Segundo a própria empresa, a instalação do spyware por meio do WhatsApp era “uma questão para o NSO e o sistema resolverem, e não uma questão para os clientes operarem”.

A instalação do spyware foi, portanto, considerada como tendo violado a Lei Federal de Fraude e Abuso de Computador e a Lei Estadual de Acesso a Dados de Computador e Fraude. Mas a lei dos EUA também faz questão de enfatizar a santidade bíblica das obrigações contratuais. O NSO não violou os termos de serviço do WhatsApp ao fazer engenharia reversa e descompilar o software para desenvolver o WIS.  Com a astúcia de um rato, os réus argumentaram que tais modificações teriam ocorrido “antes de concordar com os termos de serviço”.  A juíza não se convenceu com a veracidade de tudo isso, já que os réus “ocultaram evidências sobre sua concordância com os termos de serviço”.  O NSO também não poderia “contestar de forma significativa que a concordância com os termos de serviço era necessária para criar uma conta no Whatsapp e usar o Whatsapp”.  Com a constatação de uma violação de contrato, a questão da decisão sobre os danos será determinada no julgamento.

Em uma declaração, o WhatsApp expressou alguma satisfação.  “Após cinco anos de litígio, estamos gratos pela decisão de hoje”. O Grupo NSO “não pode mais evitar a responsabilização por seus ataques ilegais ao WhatsApp, aos jornalistas, aos ativistas de direitos humanos e à sociedade civil”.  A consultora jurídica de tecnologia da Access Know, Natalia Krapiva, também ficou feliz com “o primeiro caso bem-sucedido contra o NSO, em que foi considerado responsável por comprometer a infraestrutura de segurança digital da qual milhões de pessoas dependem com o spyware Pegasus”.

Dada a conduta descarada do NSO, que a juíza Hamilton considerou “puro jogo de cintura”, podemos esperar uma luta para diminuir qualquer indenização. Apesar disso, nesse setor lamentavelmente desregulamentado, o garoto-propaganda do spyware israelense provavelmente vai se contentar e continuar a ganhar dinheiro com as patologias da insegurança do governo. A partir de agora, eles só terão que ficar atentos ao mercado dos EUA.

LEIA: A espionagem sionista ameaça o governo colombiano

As opiniões expressas neste artigo são de responsabilidade do autor e não refletem necessariamente a política editorial do Middle East Monitor.

Sair da versão mobile