Gustavo Gusmão,
Responsável pelo desenvolvimento de algumas das mais perturbadoras ferramentas de espionageme vigilância em massa, a Gamma International foi vítima de um ciberataque. A invasão, feita por um hacker identificado como Phineas Fisher, foi iniciada nesta semana e fez com que 40 GB de dados da empresa fossem vazados – o que inclui códigos-fonte e informações sobre soluções do “kit de espionagem” (ou de spywares) FinFisher, conhecido também como FinSpy.
Os vazamentos foram divulgados por Fisher no fórum de anarquia do Reddit e em uma conta paródia no Twitter, a @GammaGroupPR, além de gerarem repercussão no WikiLeaks. Um torrent com todos os arquivos (entre PDFs, documentos com instruções, vídeos e gráficos) foi hospedado pelo site alemão NetzPolitik e está sendo mantido por internautas. Além disso, a estrutura de uma das soluções do pacote FinFisher, a FinFly Web (para monitoramento remoto), foi colocada no GitHub.
O FinFisher é vendido a governos que querem vigiar a população na rede de alguma forma ou a agências e autoridades que têm alvos em mente, e inclui softwares maliciosos para realizar monitoramento em massa. O produto até é usado para fins justos – como o rastreamento de criminosos virtuais pela polícia –, mas a empresa responsável pelo kit de espionagem é acusada de ter ligação com governos ditatoriais, como os do Egito, do Turcomenistão e do Bahrein. Os três são conhecidos por censurar o acesso de seus cidadãos, de ativistas e da mídia à internet, entre outros atentados aos direitos humanos.
Mas, curiosamente, nenhum deles aparece em gráficos divulgados pelo hacker, que são parte do conteúdo vazado. Eles mostram informações de uso das ferramentas por país, e o mais recente, de junho deste ano, revela que a também polêmica China é o que mais apela aos produtos da Gamma, com 13% de participação. Os EUA aparecem logo em seguida, com 9%, enquanto Japão e Tailândia (outro país com histórico recente de censura), com 3% e 2%, vêm em terceiro e quarto.
As porcentagens maiores, no entanto, se referem a “Desconhecidos” nas imagens mais recentes. Mas basta uma viagem no tempo, até dezembro de 2009, para ver mais alguns dos velhos compradores da Gamma. Alemanha, Coreia do Sul, Uruguai, Ucrânia e Austrália já usaram soluções do FinFisher em algum momento, e o Líbano, a França e a Rússia são outros que aparecem em gráficos referentes a outros meses. Aliás, vale lembrar que documentos publicados pelo WikiLeaks no ano passado também colocaram o Brasil como possível cliente.
As táticas – O código-fonte do FinFly Web hospedado no GitHub, apesar de não poder ser usado, dá um bom panorama das táticas usadas pela Gamma, e complementa o que já sabíamos sobre a solução. Pelos arquivos no repositório, dá para ver que o malware pode aparecer como se fosse um instalador do Flash Player, da Adobe, identificado inclusive como “adobe_flash_player.exe” (para Windows) ou “flash-player-installer.dmg” (voltado para Macs).
O download dele é oferecido por meio de uma janela pop-up, inserida na tela do alvo por um agente próximo, que intercepta o tráfego da rede Wi-Fi. Como a oferta aparece normalmente em um site confiável, o usuário aceita e baixa o instalador, infectando a máquina logo em seguida – e dando acesso total ao espião. Há mais detalhes em documentos e no vídeo publicados pelo WikiLeaks ainda em 2011, ano em que a empresa de vigilância começou a ser criticada.
As soluções, de forma geral, exploram vulnerabilidades potencialmente desconhecidas em programas populares ou nos sistemas para infectar as máquinas. Vídeos em um pacote ZIP chamado de “FinPlot Sales”, por exemplo, apresentam brechas no Adobe Reader, no Word, no Excel e nos navegadoresChrome, Firefox, IE e Opera. Os clipes ainda vêm acompanhados de um arquivo TXT com perguntas frequentes, que mostram a ligação da empresa com a VUPEN, companhia de segurança que procura por falhas em software e desenvolve soluções.
Preços – Licenças para os programas maliciosos do FinFisher são vendidas por preços relativamente elevados aos interessados. Uma do FinFly Web, por exemplo, pode sair por mais de 55 mil euros, enquanto uma do FinSpy (mais completo, usado para monitorar e invadir computadores e dispositivos móveis remotamente) chega a quase 1,5 milhão de euros. Aliás, o uso deste último programa foi detectado em 25 países no ano passado pelo CitizenLab.
E fora as licenças, a Gamma oferece pacotes de treinamentos para agentes de eventuais clientes. Os preços variam, começando em 21 mil euros (“Basic IT Instrusion” e “Advanced IT Instrusion”) e chegando aos quase 30 mil euros (“Training in FinFisher Facilities”). O download da tabela completa, com todos os preços, foi disponibilizado pelo NetzPolitik (XLS).
Limitações – Mas além das capacidades das ferramentas do FinFisher, o vazamento ainda mostra que as soluções podem ter suas limitações. Um PDF com as novidades do FinSpy, por exemplo, mostra que, até a versão 4.51, de abril deste ano, o software ainda não conseguia evitar totalmente o Skype nos Macs – um ícone indicando a instalação de um módulo de gravação (o FinSpy, no caso) teimava em aparecer quando o usuário abria o programa. E no Windows, o programa-espião também não funcionava com a versão Metro do mensageiro.
A Gamma também não garante que esses malwares funcionarão para sempre em qualquer máquina com antivírus, “devido às mudanças constantes nesses produtos”. Da versão 4.50 para a 4.51, correções foram feitas para evitar a detecção do Avast e do Microsoft Security Essentials – e mais delas provavelmente serão feitas em uma próxima atualização, já que o site VirusTotal cadastrou osinstaladores falsos do Flash Player no banco de dados de ameaças.
Contatada pelo NetzPolitik, a empresa primeiro negou ser da FinFisher/Gamma International. E após admitir, se recusou a comentar o vazamento de dados.
