Ilustração: Julia Coelho/Intercept Brasil.

Hacking de governo

Abin de Bolsonaro usou programa que pode espionar tudo que você faz na internet, mostram documentos


O governo de Jair Bolsonaro comprou secretamente uma controversa e poderosa ferramenta de espionagem chamada Augury para a Agência Brasileira de Inteligência, a Abin. A informação é sigilosa, mas o Intercept obteve documentos internos da agência que confirmam relatos detalhados, colhidos por mais de um mês, com fontes com diferentes níveis de vínculo com a agência. Questionada, a Abin confirmou a compra e também o uso da ferramenta.

A Augury é uma plataforma que permite o rastreamento digital contínuo de cidadãos, com a captura de dados de tráfego, como cookies de sessão, detalhes da navegação e credenciais de acesso a contas em plataformas privadas –usuário e senha. Em novembro de 2022, a revelação sobre o uso da ferramenta nas Forças Armadas dos Estados Unidos foi um escândalo no mundo da espionagem. Ao Intercept, um agente da Abin afirmou que, nos corredores, a suspeita era de que havia políticos, jornalistas e até ministros do Supremo Tribunal Federal na mira do Augury.

Segundo a Abin, a contratação foi feita para atuar em “inteligência de ameaças cibernéticas” nos sistemas de infraestruturas críticas do país. “Este tipo de ataque pode causar grandes prejuízos à sociedade brasileira”, disse a Abin. A Augury foi usada, segundo a agência, em análises sobre ataques à instituição de saúde na pandemia de covid-19 e na Fundação Biblioteca Nacional. “Atualmente, a Agência utiliza a ferramenta para análise de campanha de espionagem cibernética contra órgão estratégico nacional”, disse a Abin.

Criada pela empresa norte-americana Team Cymru, a solução permite que a Abin indique um endereço IP e passe a identificar os endereços acessados e o comportamento dos cidadãos na rede, segundo fontes internas da agência. Na prática, com a compra do Augury, a Abin passou a poder ter acesso aos sites visitados, padrão de navegação e até mesmo a informações de e-mails enviados e recebidos de uma pessoa – ou de um grupo.

A compra do Augury foi feita durante a gestão do delegado Alexandre Ramagem à frente da Abin – e a revelação do Intercept se soma a outras denúncias de aquisição de programas de espionagem pela Abin no governo Bolsonaro. Em março, o jornal O Globo mostrou que o programa FirstMile, comprado da empresa israelense Cognyte, permitia à Abin operar um sistema de até dez mil cidadãos no território nacional. O caso motivou a abertura de uma investigação na Agência Nacional de Telecomunicações e uma no Ministério Público Federal de Minas Gerais. Para especialistas, porém, o Augury pode ser ainda mais perigoso que o First Mile – e também que o Pegasus, famoso aplicativo de espionagem israelense.

Um empresário que já vendeu programas de inteligência ao governo disse ao Intercept que “se fosse montar uma estrutura de espionagem e tivesse de escolher entre Augury e Pegasus, escolheria o primeiro”. Segundo ele, o Augury permite ver muita coisa de quase todos os alvos, embora não veja tudo [comunicação criptografada e atividade offline], enquanto o Pegasus permite ver tudo de apenas um alvo [o que teve o dispositivo invadido].

O hacking da Abin

Um dos documentos confidenciais obtidos pelo Intercept é o Termo de Referência utilizado pela Abin para descrever o produto contratado e justificar internamente o desembolso de mais de R$ 1 milhão dos cofres da agência. O texto especifica, como requisito para o fornecedor, que a ferramenta colete dados por meio de malware, termo utilizado para descrever um software de computador com intenção maliciosa, entre outras formas.

Especialistas em privacidade e direitos digitais consultados pelo Intercept apontam que o documento, por si só, revela que a Abin de Bolsonaro tinha consciência que estaria praticando “hacking governamental“. Esse termo é usado para definir a prática do poder público de utilizar ferramentas que exploram vulnerabilidades de um determinado sistema eletrônico para obter informações – e não as extrai, simplesmente, de fontes abertas e públicas.

“Se a Abin está especificando como requisito para a contratação, entre os métodos que a ferramenta traz para acessar um conjunto de dados, o uso de um malware, eu acho que não poderia ser mais direto do que isso: contrataram, de forma consciente, uma ferramenta de hacking”, afirma o pesquisador André Ramiro, pesquisador visitante do Humboldt Institute for Internet and Society.

“O termo de referência diz, ainda, que os dados fornecidos a partir das pesquisas devem possuir tipicamente um prazo de tentativas, ou seja, o requisito já garante que os dados são atualizados, o que quer dizer que há uma exploração contínua e isso faz parte do produto. Então, eu olharia dessa forma: a Abin sabia que estava contratando plataforma de hacking, sim”, diz Ramiro.

‘A Abin sabia que estava contratando plataforma de hacking, sim.’

Outro documento explica a operação feita pela gestão bolsonarista da Abin para trazer o Augury ao país. Uma imagem com a lista de contratos vigentes da agência aponta a participação da empresa brasileira Apura Cyber Intelligence na intermediação do negócio. Segundo o estudo “Mercadores da Insegurança”, do Instituto de Pesquisa em Direito e Tecnologia do Recife, a empresa está entre os três maiores players nacionais na intermediação da venda de ferramentas de hacking governamental.

As informações extraídas do sistema interno da Abin revelam que a Apura foi contratada pela agência por meio de dispensa de licitação. O acordo foi firmado em dezembro de 2020, com custo inicial de R$ 1,1 milhão, por meio da Dispensa de Licitação Nº 91, com base no argumento de que o tema é relativo à “ameaça à segurança nacional”. Renovado em abril de 2021, sob custo de mais R$ 300 mil, está vigente até o fim deste mês. 

Na portaria do Diário Oficial da União que detalha a mesma Dispensa de Licitação Nº 91, o nome da Apura não aparece. O registro público apresenta o  nome do CNPJ contratado apenas como “Estrangeiro SIGILOSO”.

A Abin afirmou ao Intercept que todos os seus contratos atendem a lei. Neste caso, a dispensa de licitação foi amparada na possibilidade de “comprometimento da segurança nacional”. Segundo a agência, a publicação foi feita sem identificação do objeto e da empresa contratada pelo caráter sigiloso da contratação.

‘Até ministro do STF na mira’

Três fontes ligadas diretamente à Agência Brasileira de Inteligência confirmaram ao Intercept que o Augury foi utilizado dentro da agência. Embora a operação fosse de responsabilidade única do gestor do contrato e feita exclusivamente em um espaço físico na sede da agência em Brasília, o assunto, segundo os relatos, era de conhecimento geral entre os funcionários.

Um dos agentes afirmou que, como o quadro de servidores conhece os atores do mercado da inteligência e da cibersegurança, bem como os novos produtos e os lobistas, o arranjo para trazer o Augury era evidente.

Segundo o mesmo oficial de inteligência da Abin, apesar das suspeitas de que o Augury tenha sido usado contra adversários do governo Bolsonaro, a operação foi feita de forma meticulosa para não deixar rastros. Os registros das buscas nas plataformas não estariam hospedados no país, e o “arquivo já foi queimado”, concluiu.

Não se pode descartar que a empresa tenha obtido os dados por meio de hacking dos provedores de internet.

Um outro agente da Abin afirmou que, nos corredores, funcionários diziam que havia pessoas de interesse político para serem monitoradas pelo sistema. Segundo ele, não há logs no país, pois “deram um jeito de operar no exterior, tudo via web, mas o servidor e o sistema eram operados fora”.

De acordo com um dos oficiais, não se pode descartar que a empresa tenha obtido os dados por meio de hacking dos provedores de internet. A suspeita é corroborada por especialistas ouvidos pelo Intercept, que sustentam que o Marco Civil da Internet proíbe os provedores de conexão de vender os registros de acesso da internet. Segundo a lei, eles podem armazenar os dados por um ano, mas qualquer requisição a esses arquivos para fins de investigação só pode ser feita por meio de uma ordem judicial.

“Pela descrição do serviço do Augury, a TeamCymru desenvolve sua tecnologia com base em um mecanismo de acesso ilegal e malicioso a dados de navegação e comunicações privadas, bem como dados referentes ao tráfego de internet. É muito claro concluir que a Abin está contratando uma organização criminosa. Essa conclusão é possível e logicamente comprovada pelo fato de o modelo de negócios da empresa ser baseado em coleta ilegal de dados”, afirmou o pesquisador André Ramiro.

A Abin nega que a utilização do sistema viola a privacidade dos cidadãos. “Não há acesso a dados pessoais nem mesmo é possível identificar pessoas por meio da ferramenta”, disse a agência. Segundo a Abin, como requisito contratual, “é exigido à empresa fornecedora da solução tecnológica não ter acesso a informações consultadas pelo órgão por meio da ferramenta. Esses dados são de controle do contratante”. Questionada sobre como garante que o uso do sistema seja limitado aos fins autorizados pela lei brasileira, a Abin disse apenas que “vem aprimorando seus mecanismos de controle interno, inclusive no uso de ferramentas contratadas”.

‘Não há mais nada para capturar’

Em novembro de 2022, a revista Vice mostrou que o Comando Cibernético dos EUA, o Exército, o FBI e o Serviço Secreto usaram o Augury. A reportagem explica que a ferramenta captura uma série de dados disponíveis para disponibilizar aos clientes. Eles incluem dados de pacotes, conhecidos como PCAP, relacionados a e-mail, compartilhamento de arquivos e área de trabalho remota. Um profissional de segurança cibernética ouvido pela Vice se referiu ao Augury da seguinte forma: “[Captura] tudo… Não há mais nada para capturar, exceto o cheiro de eletricidade”.

A reportagem também detalha que o Augury coleta URLs e cookies, que podem ser considerados informações sensíveis, uma vez que carregam informações que podem identificar os usuários. A ferramenta também inclui dados de fluxo de rede, que descrevem o volume e o fluxo de tráfego dentro da internet. Essas informações, normalmente, só podem ser acessadas pelo proprietário do servidor e incluem quais servidores se comunicaram com outro, e servem para identificar as redes que o alvo está usando. A reportagem afirma que não está clara a maneira como a ferramenta obtém os dados PCAP e outras informações sensíveis – se é por meio dos provedores de internet ou de outra forma.

Em seu site, o TeamCymru, criador do Augury, afirma não obter informações de nenhum terceiro. A empresa se defende das acusações sem negar as capacidades de espionagem, dizendo que “a plataforma não é capaz de coletar dados de toda a internet, apenas de URLs e cookies apontados como maliciosos”. O TeamCymru também afirma que “é estatisticamente impreciso afirmar que os dados de tráfego de rede podem ser usados para identificar um indivíduo ou fornecer um padrão de vida que pode ser mapeado para uma pessoa e preferências. Segundo a empresa, o aplicativo “não identifica os usuários”.

Depois do escândalo nos Estados Unidos, a Team Cymru passou a enfrentar uma grave crise de reputação. O Projeto TOR, organização que mantém a rede de anonimato Tor e o navegador relacionado, deixou de aceitar doações de infraestrutura que eram oferecidas pela empresa norte-americana. Em reação, o Augury foi renomeado para PureSignal Recon – as funcionalidades, porém, seguem as mesmas, com a interceptação de tráfego da internet, segundo empresas parceiras e revendedores.

Site da Apura mostra colaboração com o Team Cymru.

Nem isso fez a revendedora brasileira Apura deixar de exibir, em seu site oficial, o Team Cymru como “principal parceiro tecnológico”. Até março, a página também exibia a Abin como “cliente”, apesar da confidencialidade do contrato. O Intercept detectou, por meio da ferramenta WebArchive, que a menção à agência de inteligência estatal brasileira foi deletada em março – depois do início da apuração para esta reportagem.

Ao Intercept, a Apura afirmou que revendeu produtos para a Abin em 2015 e em 2020. “Todas as ferramentas ofertadas nesses contratos são de segurança da informação e seguem estritamente este escopo”, disse a empresa. A Apura garante que “nenhuma das ferramentas ofertadas para a Abin possibilitam acessar o conteúdo de e-mails e redes sociais de cidadãos”, como diz o fabricante.

A Apura também afirmou que possuiu contratos com órgãos de inteligência do governo federal desde 2012, em eventos como a Copa do Mundo de 2014 e as Olimpíadas de 2016. Segundo a empresa, hoje 95% dos contratos são com empresas privadas. Há contratos, segundo a Apura, “com oito dos dez maiores bancos do Brasil, as maiores empresas do setor de óleo e gás, grandes empresas de telecomunicações do país e algumas das maiores empresas de saúde, varejo, indústria”.

Em 2014, na ocasião da apuração das reportagens sobre o caso Snowden, a empresa da qual o Intercept fazia parte comprou um programa de análise de arquivos revendido no país pela Apura. O Intercept Brasil, no entanto, não tem relação com a empresa. A assessoria da Apura afirmou também que foi procurada pelo governo Lula “como apoio para detectar possíveis novas ameaças em outras escolas”. “Por sermos uma empresa de segurança da informação e termos total interesse em uma sociedade mais segura, apoiamos prontamente o Ministério da Justiça nessa tarefa”.

Atualização: 20 de abril de 2022, 15h49
Após a publicação da reportagem, a Apura enviou um pedido de “direito de resposta” ao Intercept. Entendemos que essa resposta não se enquadra nos critérios legais, contém inverdades e é impertinente, também porque expõe publicamente um contrato remoto entre a então empresa responsável pelo Intercept nos EUA e a Apura – e que nada tem a ver com o tema deste texto. A exposição pública configura violação a regras básicas de confidencialidade e mostra o descaso da Apura com dados sensíveis, além de reforçar a preocupação dos especialistas sobre o perigo inerente ao enorme poder desse tipo de corporação no que diz respeito ao acesso e guarda de informações. No entanto, em nome do contraditório, publicamos a resposta da empresa aqui.

URGENTE! O Intercept está na linha de frente na luta por justiça pelo brutal assassinato de Marielle Franco.

Domingos Brazão, conselheiro do Tribunal de Contas do Rio de Janeiro, é apontado como mandante desse atentado. Revelamos que Ronnie Lessa, ex-policial militar envolvido, delatou, mas a homologação pelo STJ enfrenta obstáculos devido ao foro privilegiado de Brazão.

Sua doação é crucial para impulsionar investigações e ações legais. A verdade não pode mais ser silenciada. Faça sua doação agora!

FAÇA PARTE

Faça Parte do Intercept