Espionagem Cibernética na Sérvia: Como Vulnerabilidades

AUTOR: Pedro Costa

Foram Usadas Contra Ativistas

Recentemente, o Laboratório de Segurança da Anistia Internacional revelou uma chocante campanha de espionagem cibernética na Sérvia. A investigação mostrou que autoridades utilizaram um exploit de dia zero da Cellebrite para desbloquear e acessar o telefone Android de um estudante ativista. Esse ataque levanta sérias questões sobre vigilância governamental e privacidade digital.

O Ataque e as Vulnerabilidades Exploited

No dia 25 de dezembro de 2024, um exploit explorando falhas nos drivers USB do kernel do Linux permitiu que invasores ignorassem a tela de bloqueio de um Samsung Galaxy A32. A Cellebrite, conhecida por oferecer ferramentas de extração de dados para autoridades, forneceu vulnerabilidades de dia zero que foram usadas para realizar ataques de spyware direcionados.

Relatórios indicam que a Sérvia adquiriu e implantou ferramentas da Cellebrite e do NSO Group para comprometer dispositivos Android. Essas explorações deram aos atacantes a capacidade de extrair dados sensíveis sem o conhecimento dos alvos.

O Google abordou uma dessas vulnerabilidades na última atualização de segurança do Android, designando-a como CVE-2024-53104. Outras falhas – CVE-2024-53197 e CVE-2024-50302 – foram corrigidas no kernel Linux, mas ainda aguardam integração no Android Open Source Project (AOSP).

Impacto da Exploração

A investigação revelou que os invasores conseguiram acesso root ao dispositivo apenas 10 segundos após conectar um último dispositivo USB HID. Um estudante de 23 anos, identificado como "Vedran", foi detido durante protestos contra o governo sérvio em dezembro de 2024. As análises de registros do dispositivo confirmam que ele foi alvo desse ataque.

Após a invasão, os atacantes exploraram o sistema de arquivos do telefone, extraíram dados avançados com o binário “falcon” da Cellebrite e tentaram instalar spyware adicional. Embora a instalação de um APK malicioso tenha falhado devido a um bloqueio biométrico, a violação resultou na exposição de registros de chamadas, mensagens e detalhes de organização dos protestos.

Como a Exploração Funciona

Para que a vulnerabilidade seja explorada, o invasor precisa de acesso físico ao dispositivo. Uma vez conectado via USB, um conjunto de periféricos emulados dispara a vulnerabilidade, permitindo vazamento e modificação da memória do kernel. Isso garante acesso privilegiado ao sistema, possibilitando a instalação de spyware que pode:

• Coletar dados sensíveis do dispositivo;

• Rastrear a localização do usuário em tempo real;

• Ativar vigilância remota sem consentimento do dono do aparelho.

Os dispositivos USB usados no ataque são frequentemente projetados para imitar periféricos comuns, como dispositivos de áudio ou vídeo. Isso engana o sistema operacional, concedendo privilégios elevados sem levantar suspeitas.

O Que Isso Significa Para a Privacidade Digital?

Esse incidente reforça preocupações sobre o uso de ferramentas de vigilância contra ativistas e opositores políticos. A possibilidade de governos explorarem vulnerabilidades de segurança para reprimir dissidências acende um alerta para a necessidade de maior proteção digital.

A revelação da Anistia Internacional destaca a importância de medidas como:

• Atualizações frequentes de segurança;

• Uso de dispositivos confiáveis e criptografia avançada;

• Conscientização sobre a importância da privacidade digital.

A espionagem cibernética é uma ameaça crescente, e casos como este mostram como a tecnologia pode ser usada tanto para proteger quanto para violar direitos fundamentais. O desafio agora é garantir que a segurança digital esteja a serviço da liberdade e não do controle abusivo.