O Citizen Lab, laboratório interdisciplinar de pesquisas da Universidade de Toronto, no Canadá, detectou que 25 países estariam usando spyware vendido por uma empresa chamada Circles, que pode bisbilhotar chamadas de telefones celulares e mensagens de texto. Spyware é um dos tipos de malware mais difíceis de detectar, pois ele age de maneira silenciosa nos dispositivos e executa as operações em segundo plano, de modo que é capaz de espionar por um longo período sem que a vítima descubra.
A Circles é uma empresa de vigilância com sede na Bulgária que vende tecnologia cibernética ofensiva exclusivamente para países, coirmã do NSO Group de Israel, que também comercializa spyware. A tecnologia da Circles opera explorando uma falha de sinal comum no sistema global (SS7) de telefonia móvel para permitir espionagem de chamadas e texto, bem como rastreamento de telefones, de acordo com o Citizen Lab.
Com base na análise da infraestrutura da Circles, o Citizen Lab afirma que o spyware e a tecnologia da empresa estão sendo usados provavelmente por 25 países ao redor do mundo para espionagem cibernética. Os países seriam: Austrália, Bélgica, Botswana, Chile, Dinamarca, Equador, El Salvador, Estônia, Guiné Equatorial, Guatemala, Honduras, Indonésia, Israel, Quênia, Malásia, México, Marrocos, Nigéria, Peru, Sérvia, Tailândia, os Emirados Árabes Unidos, Vietnã, Zâmbia e Zimbábue.
“Alguns dos ramos específicos de governo que identificamos com vários graus de confiança como sendo clientes da Circles têm um histórico de alavancagem da tecnologia digital para abuso dos direitos humanos”, observa o relatório do Citizen Lab. “Em alguns casos específicos, pudemos atribuir a implantação a um cliente específico, como o Comando de Operações de Segurança do Exército Real da Tailândia, que supostamente torturou detidos.”
Explorando o protocolo SS7
O spyware da Circles opera explorando o SS7 (sistema de sinalização nº 7), um protocolo de telefonia que conecta as operadoras de todo o mundo, garantindo que as chamadas e mensagens de texto sejam entregues através de diferentes redes.
Veja isso
Facebook processa israelense NSO por spyware no WhatsApp
WhatsApp confirma que spyware monitora celulares globalmente
Os pesquisadores do Citizen Lab observam que, como o SS7 carece de autenticação adequada, os invasores podem explorar o protocolo enviando comandos para a operadora do serviço de um telefone alvo, observando que o alvo está em roaming. A operadora do serviço irá então permitir o rastreamento de um alvo, mesmo se a pessoa estiver viajando internacionalmente, já que o SS7 se conecta à “rede visitada”, observa o relatório. Os cibercriminosos, ou firmas de vigilância, que compram acesso SS7 podem realizar o mesmo tipo de rastreamento de alvos.
“Esses comandos permitem que o invasor rastreie a localização da vítima e intercepte chamadas de voz e mensagens de texto SMS. Esses recursos também podem ser usados para interceptar códigos usados para autenticação de dois fatores enviada via SMS”, observa o relatório do Citizen Lab. “É desafiador e caro para as operadoras de telecomunicações distinguir o tráfego malicioso do comportamento benigno, tornando esses ataques difíceis de bloquear.”
Em março, o The Guardian relatou que a Arábia Saudita estava usando a falha de autenticação SS7 no sistema telefônico global para rastrear seus cidadãos enquanto eles viajavam nos EUA. Além disso, o Departamento de Segurança Interna dos EUA alertou sobre como os invasores podem explorar os pontos fracos do SS7.
Ligação com o NSO Group
A Circle, que começou a operar em 2008, foi adquirida em 2014 por uma empresa de private equity norte-americana que agora também controla o NSO Group, de acordo com a Forbes. No ano passado, o NSO Group foi investigado por vender recursos cibernéticos ofensivos que supostamente foram usados por governos para espionar jornalistas e ativistas.
“Ao contrário do spyware Pegasus do NSO Group, o mecanismo SS7 pelo qual o produto da Circles supostamente opera não tem uma assinatura óbvia no telefone de um alvo, como o SMS de direcionamento revelador com um link malicioso que às vezes está presente em um telefone direcionado com Pegasus”, diz o relatório do Citizen Lab.
