FORÇAS POLICIAIS AO REDOR o mundo tem usado cada vez mais ferramentas de hackers para identificar e rastrear manifestantes, expor segredos de dissidentes políticos e transformar computadores e telefones de ativistas em inevitáveis bugs de espionagem. Agora, novas pistas em um caso na Índia conectam a aplicação da lei a uma campanha de hackers que usou essas ferramentas para dar um passo terrível: plantar arquivos incriminatórios falsos nos computadores dos alvos que a mesma polícia usou como base para prendê-los e prendê-los.
Mais de um ano atrás, analistas forenses revelaram que hackers não identificados fabricaram evidências nos computadores de pelo menos dois ativistas presos em Pune, na Índia, em 2018, ambos definhando na prisão e, junto com outros 13, acusados de terrorismo. Pesquisadores da empresa de segurança SentinelOne e das organizações sem fins lucrativos Citizen Lab e Anistia Internacional desde então associaram essa fabricação de evidências a uma operação de hackers mais ampla que atingiu centenas de indivíduos ao longo de quase uma década, usando e-mails de phishing para infectar computadores direcionados com spyware, bem como ferramentas de hackers de smartphones vendidas. pelo empreiteiro de hackers israelense NSO Group. Mas só agora os pesquisadores do SentinelOne revelaram laços entre os hackers e uma entidade governamental: ninguém menos que a mesma agência de polícia indiana na cidade de Pune que prendeu vários ativistas com base nas evidências fabricadas.
“Existe uma conexão comprovada entre os indivíduos que prenderam essas pessoas e os indivíduos que plantaram as evidências”, diz Juan Andres Guerrero-Saade, pesquisador de segurança do SentinelOne que, junto com o colega pesquisador Tom Hegel, apresentará descobertas no Black Hat Security conferência em agosto. “Isso está além do comprometimento ético. É além de insensível. Portanto, estamos tentando fornecer o máximo de dados possível na esperança de ajudar essas vítimas”.
As novas descobertas do SentinelOne que ligam a polícia da cidade de Pune à longa campanha de hackers, que a empresa chamou de Modified Elephant, concentram-se em dois alvos específicos da campanha: Rona Wilson e Varvara Rao. Ambos os homens são ativistas e defensores dos direitos humanos que foram presos em 2018 como parte de um grupo chamado Bhima Koregaon 16, nomeado para a vila onde a violência entre hindus e dalits – o grupo conhecido como “intocáveis” – estourou no início daquele ano. (Um desses 16 réus, o padre jesuíta Stan Swamy, de 84 anos, morreu na prisão no ano passado após contrair Covid-19. Rao, de 81 anos e com problemas de saúde, foi libertado sob fiança médica, que expira no próximo mês. Dos outros 14, apenas um recebeu fiança.)
No início do ano passado, a Arsenal Consulting, uma empresa forense digital que trabalha em nome dos réus, analisou o conteúdo do laptop de Wilson, junto com o de outro réu, a advogada de direitos humanos Surendra Gadling. Os analistas do Arsenal descobriram que as evidências foram claramente fabricadas em ambas as máquinas. No caso de Wilson, um malware conhecido como NetWire adicionou 32 arquivos a uma pasta do disco rígido do computador, incluindo uma carta na qual Wilson parecia estar conspirando com um grupo maoísta banido para assassinar o primeiro-ministro indiano Narendra Modi. A carta foi, de fato, criada com uma versão do Microsoft Word que Wilson nunca havia usado e que nunca havia sido instalada em seu computador. O Arsenal também descobriu que o computador de Wilson foi hackeado para instalar o malware NetWire depois que ele abriu um anexo enviado da conta de e-mail de Varvara Rao, que havia sido comprometida pelos mesmos hackers. “Este é um dos casos mais sérios envolvendo adulteração de provas que o Arsenal já encontrou”, escreveu o presidente do Arsenal, Mark Spencer, em seu relatório ao tribunal indiano.
Em fevereiro, o SentinelOne publicou um relatório detalhado sobre o Modified Elephant, analisando o malware e a infraestrutura de servidor usada na campanha de hackers para mostrar que os dois casos de fabricação de evidências que o Arsenal analisou faziam parte de um padrão muito maior: os hackers tinham como alvo centenas de ativistas, jornalistas, acadêmicos e advogados com e-mails de phishing e malware desde 2012. Mas nesse relatório, o SentinelOne não conseguiu identificar qualquer indivíduo ou organização por trás dos hackers do Modified Elephant, escrevendo apenas que a “atividade se alinha fortemente com os interesses do estado indiano.”
Agora, os pesquisadores foram mais longe na determinação das afiliações do grupo. Trabalhando com um analista de segurança em um determinado provedor de e-mail – que também falou com a WIRED, mas pediu que nem eles nem o empregador fossem identificados – o SentinelOne descobriu que três das contas de e-mail das vítimas comprometidas pelos hackers em 2018 e 2019 tinham um endereço de e-mail de recuperação e número de telefone adicionado como mecanismo de backup. Para essas contas, que pertenciam a Wilson, Rao e a um ativista e professor da Universidade de Delhi chamado Hany Babu, a adição de um novo e-mail e número de telefone de recuperação parece ter a intenção de permitir que o hacker recupere facilmente o controle das contas se suas senhas foram alteradas. Para surpresa dos pesquisadores.
As três contas hackeadas têm outras impressões digitais que as ligam – e, portanto, a polícia de Pune – à campanha maior de hackers do Modified Elephant: o provedor de e-mail descobriu que as contas hackeadas foram acessadas a partir de endereços IP que o SentinelOne e a Anistia Internacional haviam identificado anteriormente como os do Modified Elefante. No caso de Rona Wilson, o analista de segurança do provedor de e-mail diz que a conta de e-mail de Wilson recebeu um e-mail de phishing em abril de 2018 e depois parecia estar comprometida pelos hackers usando esses IPs e, ao mesmo tempo, o e-mail e o número de telefone vinculados ao A polícia da cidade de Pune foi adicionada como contatos de recuperação à conta. O analista diz que a própria conta de e-mail de Wilson foi usada para enviar outros e-mails de phishing para alvos no caso Bhima Koregaon por pelo menos dois meses antes de Wilson ser preso em junho de 2018.
“Geralmente não contamos às pessoas que os atacaram, mas estou meio cansado de ver a merda queimar”, disse o analista de segurança do provedor de e-mail à WIRED sobre sua decisão de revelar as evidências de identificação das contas hackeadas. “Esses caras não vão atrás de terroristas. Eles estão perseguindo defensores de direitos humanos e jornalistas. E não está certo.”
Para confirmar ainda mais a ligação entre o e-mail de recuperação e o número de telefone das contas hackeadas e a polícia da cidade de Pune, a WIRED recorreu a John Scott-Railton, pesquisador de segurança do Citizen Lab da Universidade de Toronto, que, juntamente com outros da Anistia Internacional, havia revelou a extensão da campanha de hackers contra o Bhima Koregaon 16 e mostrou que a ferramenta de hackers da NSO, Pegasus, havia sido usada para atingir alguns de seus smartphones. Para provar que a polícia da cidade de Pune controlava os contatos de recuperação nas contas hackeadas, Scott-Railton desenterrou entradas em bancos de dados de código aberto de números de telefones celulares indianos e e-mails para o número de telefone de recuperação que o ligava a um endereço de e-mail que terminava em pune@ic .in, um sufixo para outros endereços de e-mail usados pela polícia em Pune. Scott-Railton descobriu que o número também está vinculado no banco de dados ao endereço de e-mail de recuperação conectado às contas hackeadas do mesmo policial de Pune.
Separadamente, o pesquisador de segurança Zeshan Aziz encontrou o endereço de e-mail de recuperação e o número de telefone vinculado ao nome do policial de Pune no banco de dados vazado do TrueCaller, um aplicativo de identificação de chamadas e bloqueio de chamadas, e encontrou o número de telefone vinculado ao seu nome no banco de dados vazado do iimjobs.com, um site indiano de recrutamento de empregos. Finalmente, Aziz encontrou o número de telefone de recuperação listado com o nome do funcionário em vários diretórios da web arquivados para a polícia indiana, inclusive no site da polícia da cidade de Pune. (A WIRED também verificou que, no momento em que as contas foram comprometidas, o provedor de e-mail teria enviado um link de confirmação ou mensagem de texto para qualquer informação de contato de recuperação adicionada a uma conta de e-mail, o que sugere que a polícia, de fato, controlou esse endereço de e-mail e número de telefone.)
Scott-Railton descobriu ainda que a foto do perfil do WhatsApp para o número de telefone de recuperação adicionado às contas hackeadas exibe uma foto selfie do policial – um homem que parece ser o mesmo policial em coletivas de imprensa da polícia e até mesmo em uma fotografia de notícias tirada na a prisão de Varvara Rao.
A WIRED enviou vários e-mails e telefonemas para a polícia da cidade de Pune e para o policial de Pune, cujos dados pessoais estavam vinculados às contas invadidas e não receberam resposta.
Um advogado de defesa baseado em Mumbai representando vários dos Bhima Koregaon 16, Mihir Desai, diz que precisaria corroborar independentemente as novas evidências das ligações da polícia de Pune com a campanha de hackers. Mas, considerado pelo valor de face, diz ele, parece “muito contundente”. Ele acrescenta que espera que isso possa ajudar seus clientes, incluindo Anand Teltumbde, que foi acusado de conexões terroristas com base em parte em um documento aparentemente fabricado encontrado no computador de Rona Wilson. “Sabemos que as coisas foram plantadas, mas a polícia sempre poderia ter dito ‘não estamos envolvidos em tudo isso’”, diz Desai. “Ao mostrar que a polícia fez isso, significaria que havia uma conspiração para prender essas pessoas. Isso mostraria que a polícia agiu de maneira viciosa e deliberada, sabendo muito bem que essa era uma evidência falsa”.
A conclusão de que a polícia de Pune está ligada a uma campanha de hackers que parece ter enquadrado e encarcerado ativistas de direitos humanos apresenta um novo e perturbador exemplo dos perigos de hackear ferramentas nas mãos da aplicação da lei – mesmo em uma democracia ostensiva como a Índia. Guerrero-Saade, do SentinelOne, argumenta que também levanta questões sobre a validade de qualquer evidência retirada de um computador que foi hackeado por uma operação de vigilância policial. “Isso deve convidar a uma conversa sobre se podemos confiar na aplicação da lei com esses tipos de operações de malware”, diz Guerrero-Saade. “O que significa ter integridade de evidência quando você tem um dispositivo comprometido? O que significa para alguém hackear um dispositivo para apuração de fatos em uma operação de aplicação da lei quando também pode alterar o conteúdo do dispositivo em questão?”
Além de quaisquer questões maiores, Guerrero-Saade e seu colega pesquisador do SentinelOne, Tom Hegel, dizem que estão focados no destino das vítimas no caso Bhima Koregaon, quase todos os quais permaneceram na prisão mesmo quando as evidências contra eles provam ser mais corrupto a cada ano. Em última análise, os pesquisadores esperam que suas descobertas possam não apenas demonstrar irregularidades policiais no caso, mas também conquistar a liberdade desses ativistas e defensores dos direitos humanos. “A verdadeira preocupação aqui são as pessoas definhando na prisão”, diz Guerrero-Saade. “Esperamos que isso leve a alguma forma de justiça.”
Fonte: WIRED
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
