A empresa israelita NSO Group, que comercializa a sua tecnologia na luta contra a COVID-19, contribuiu para uma campanha sustentada do governo de Marrocos para espiar o jornalista Omar Radi, revela uma nova investigação da Amnistia Internacional.
O telemóvel de Omar Radi foi submetido a vários ataques através de uma nova técnica sofisticada que instalou silenciosamente o spyware Pegasus do NSO Group. Tudo aconteceu durante um período em que o jornalista estava a ser perseguido repetidamente pelas autoridades marroquinas. Um dos ataques ocorreu apenas alguns dias depois de o NSO Group se ter comprometido a impedir que os seus produtos fossem usados em violações de direitos humanos, tendo continuado até pelo menos janeiro de 2020.
“Claramente, o NSO Group não pode ser confiável. Enquanto realizava uma ofensiva de relações públicas para branquear a imagem, as ferramentas que comercializa estavam a permitir a vigilância ilegal de Omar Radi, um jornalista e ativista premiado”, aponta a vice-diretora da Amnesty Tech, Danna Ingleton.
“Mesmo depois de receber provas assustadoras de que o spyware está a ser usado para rastrear ativistas em Marrocos, parece que o NSO Group optou por manter o governo marroquino como cliente. Se não impedir que a sua tecnologia seja usada para abusos, então deve ser proibido de vendê-la a governos que possam usá-la para violações de direitos humanos”, completa.
Apesar de as autoridades marroquinas serem as principais responsáveis por visarem de forma ilegal ativistas e jornalistas, como Omar Radi, o NSO Group contribuiu para esses abusos, mantendo o governo como cliente ativo até pelo menos janeiro de 2020. Ou seja, tiveram acesso contínuo ao spyware da empresa.
Omar Radi foi sistematicamente alvo das autoridades marroquinas devido ao seu jornalismo e ativismo. Crítico do histórico de direitos humanos do governo, tem denunciado a corrupção e as ligações entre os interesses políticos e corporativos no país. No dia 17 de março de 2020, foi condenado a uma pena suspensa de quatro meses de prisão por um tweet publicado em abril de 2019, em que criticava o julgamento injusto de um grupo de ativistas.
“As autoridades marroquinas estão a usar, cada vez mais, a vigilância digital para reprimir a dissidência. Esta espionagem ilegal e o padrão mais amplo de perseguição a ativistas e jornalistas devem parar”, insta Danna Ingleton.
Um método silencioso
A Amnesty Tech realizou uma análise forense ao iPhone de Omar Radi, em fevereiro deste ano, que revelou uma série de ataques (network injections) que possibilitam monitorizar, intercetar e manipular o tráfico na internet. Nestes casos, o web browser do utilizador do telemóvel pode ser redirecionado para um site malicioso, sem que seja exigida qualquer ação deste. Depois, o site instala silenciosamente o spyware Pegasus no dispositivo da vítima.
Para fazer isso, é necessário proximidade física em relação aos alvos ou acesso através das redes móveis, que somente um governo poderia autorizar. Ou seja, mais uma indicação de que as autoridades marroquinas foram responsáveis pelo ataque contra Omar Radi.
Quando o Pegasus é instalado, o agente invasor tem acesso completo a mensagens, e-mails, microfone, câmara, chamadas e contactos. Os ataques são bastante difíceis de detetar pela vítima, pois deixam poucas pistas. Os dados forenses recolhidos do telemóvel de Omar Radi indicam que aconteceram nos dias 27 de janeiro, 11 de fevereiro e 13 de setembro de 2019. O Grupo NSO comprometeu-se publicamente a cumprir os Princípios Orientadores da ONU para Empresas e Direitos Humanos a 10 de setembro de 2019.
O browser do telemóvel de Omar Radi foi direcionado para o mesmo site malicioso que a Amnistia Internacional encontrou num ataque contra o académico e ativista marroquino Maati Monjib, conforme foi revelado no relatório Morocco: Human Rights Defenders Targeted with NSO Group’s Spyware, publicado no dia 10 de outubro de 2019. A empresa NSO Group recebeu uma cópia do documento oito dias antes. O site malicioso foi fechado a 6 de outubro, antes de as conclusões terem sido divulgadas. No entanto, novas provas mostram que ataques semelhantes foram e, no caso de Omar Radi, prosseguiram até 29 de janeiro de 2020, através de um site diferente.
Com a empresa a alegar que apenas vende o spyware para agências governamentais de aplicação da lei e serviços de informações, as evidências reveladas pela Amnistia Internacional indicam que o governo marroquino permaneceu um cliente ativo do NSO Group. Além disso, continuou a usar a tecnologia para rastrear, intimidar e silenciar ativistas, jornalistas e críticos.
Quando a Amnistia Internacional partilhou as últimas conclusões com o NSO Group, a empresa não confirmou ou negou se as autoridades marroquinas usam as suas tecnologias e declarou que iria analisar as informações enviadas.
“O NSO Group tem perguntas muito sérias a responder sobre as ações que foram tomadas quando confrontados com provas de que a sua tecnologia foi usada para cometer violações de direitos humanos em Marrocos. Por que não rescindiu o contrato com as autoridades marroquinas? Submeter jornalistas e ativistas a intimidação por meio de vigilância digital invasiva é uma violação dos seus direitos à privacidade e liberdade de expressão”, explica Danna Ingleton.
O NSO Group afirma que realiza uma rigorosa análise para identificar problemas com direitos humanos antes de vender os seus produtos, mas essas alegações não são acompanhadas de detalhes e, considerando o número de ataques contra membros da sociedade civil, parecem ter sido ineficazes em vários casos.
Padrão de abusos
A Amnistia Internacional e outras entidades têm documentado um padrão de uso do Pegasus do NSO Group contra a sociedade civil. O spyware foi utilizado em ataques contra: jornalistas e deputados no México; os ativistas sauditas Omar Abdulaziz, Yahya Assiri e Ghanem Al-Masarir; Ahmed Mansoor, premiado ativista de direitos humanos dos Emirados Árabes Unidos; um membro da equipa da Amnistia Internacional; e alegadamente, há ligações com a morte do dissidente saudita Jamal Khashoggi.
Sob os Princípios Orientadores da ONU para Empresas e Direitos Humanos, o NSO Group e o seu principal investidor, a empresa de capitais privados do Reino Unido Novalpina Capital, têm uma obrigação clara de tomar medidas urgentes para garantir que não causam ou contribuem para violações de direitos humanos no mundo.
Caso em tribunal
Atualmente, a Amnistia Internacional está a apoiar um caso na justiça de Israel que procura forçar o Ministério da Defesa do país a revogar a licença de exportação do NSO Group. O julgamento é esperado em breve.
O Facebook também processou o NSO Group em tribunais na Califórnia, depois de a empresa de spyware ter explorado uma vulnerabilidade no WhatsApp para atingir pelo menos 100 defensores de direitos humanos.
“As batalhas judiciais contra o NSO Group continuam porque a empresa se recusa a aceitar a responsabilidade pelo seu papel em violações de direitos humanos. As novas provas são o último sinal de alerta sobre o motivo pelo qual o NSO Group deve ser impedido de vender as suas tecnologias de vigilância, inclusivamente para combater a pandemia de COVID-19 ”, alerta Danna Ingleton.