Em abril, quando o New York Times noticiou que um fornecedor havia comprado e implantado para uso do governo dos Estados Unidos uma ferramenta de espionagem feita pela NSO, polêmica empresa de hackers israelenses, funcionários da Casa Branca disseram desconhecer o contrato e encarregaram o FBI, a polícia federal americana, de descobrir quem estava usando essa tecnologia.
Após uma investigação, o FBI descobriu pelo menos parte da resposta: era o FBI.
O acordo para a ferramenta de vigilância entre a empreiteira Riva Networks e a NSO foi concluído em novembro de 2021. Poucos dias antes, o governo Biden havia colocado a NSO numa lista proibida do Departamento de Comércio, que efetivamente impedia empresas americanas de fazerem negócios com a firma israelense. Fazia anos que o spyware da companhia era usado por governos do mundo todo.
Essa ferramenta específica, conhecida como Landmark, permitia que funcionários do governo rastreassem pessoas no México sem seu conhecimento ou consentimento.
Agora, o FBI diz que usou o software involuntariamente e que a Riva Networks enganou a agência de espionagem americana. Depois que o FBI descobriu, no final de abril, que a Riva tinha usado a ferramenta em seu nome, o diretor do órgão, Christopher Wray, rescindiu o contrato, segundo autoridades dos EUA.
Mas muitas perguntas ficam no ar. Por que o FBI contratou essa fornecedora –que o órgão havia autorizado anteriormente a comprar outra ferramenta da NSO sob nome falso– para coletar informações confidenciais fora dos Estados Unidos? E por que, aparentemente, houve tão pouca supervisão?
Também não está claro que agências além do FBI podem ter trabalhado com a Riva para implantar a ferramenta no México. Duas pessoas com conhecimento do contrato disseram que números de celular no país vizinho foram vigiados de 2021 a este ano –muito mais do que o FBI diz ter usado a ferramenta. O episódio também ilustra como, mesmo enquanto a Casa Branca tenta reprimir empresas estrangeiras de software de espionagem, a NSO segue encontrando formas de ganhar dinheiro com suas ferramentas.
A Riva Networks e seu CEO, Robin Gamble, não responderam a vários pedidos de comentários sobre as acusações do FBI. Quando um repórter foi a um endereço listado pela empresa em registros públicos, uma pessoa que atendeu disse que nunca havia ouvido falar de Gamble. Ela se recusou a fornecer seu nome.
De acordo com várias autoridades americanas, o FBI contratou a Riva Networks, com sede em Nova Jersey, para ajudar a rastrear suspeitos de tráfico de drogas e fugitivos no México, pois a firma conseguia explorar vulnerabilidades nas redes de telefonia celular do país para vigiar secretamente os celulares.
Um alto funcionário do FBI disse que, no início de 2021, a agência deu à Riva Networks vários números de telefone no México para rastrear como parte de seu programa de apreensão de fugitivos. O funcionário, que como outros nesta reportagem falou sob condição de anonimato por ser um assunto sigiloso, disse que a agência achava que a Riva Networks estava usando uma ferramenta interna de geolocalização.
Na investigação que o FBI iniciou, a agência descobriu que em algum momento de 2021 a Riva começou a usar o Landmark, da NSO, sem notificar a agência, disse o funcionário. A Riva renovou seu contrato com a NSO em novembro de 2021 sem avisar o FBI, mas a agência disse a seus contratados, incluindo a Riva, que eles não poderiam usar produtos da NSO, afirmou o funcionário, acrescentando que nenhum dado do Landmark chegou ao FBI –pelo menos segundo o que a Riva Networks afirmou à agência.
Um alto funcionário da Casa Branca disse que, como o Landmark é um produto da NSO, seu uso pelo governo é proibido sob uma nova ordem executiva que restringe as agências federais de usar ferramentas de espionagem feitas por algumas empresas estrangeiras de hacking. Mas as autoridades dos EUA dizem que o uso de ferramentas de geolocalização pelo governo em geral não viola a ordem executiva.
Não é raro que o FBI, assim como outras agências policiais, contrate empresas que fornecem tecnologias para invadir telefones após um ataque terrorista. A comunidade de inteligência também depende de empresas privadas para certas operações.
O New York Times acionou o FBI sob a Lei de Liberdade de Informação por documentos relacionados à compra de ferramentas da NSO pela agência e solicitou documentos sobre o relacionamento da agência com a Riva Networks. Em uma ação judicial nesta semana, advogados do governo disseram que o FBI não deveria ter que dar informações sobre a Riva Networks porque "os fornecedores em questão já fornecem, ou poderão futuramente fornecer, produtos que são usados ou poderiam ser para fins investigativos".
O governo Biden colocou a NSO na lista proibida após anos de escândalos associados à sua principal ferramenta de hacking, o Pegasus, que governos autoritários e também democracias usaram para espionar jornalistas, ativistas de direitos humanos e dissidentes políticos.
A Casa Branca se recusou a comentar se pressionaria por penas contra a Riva Networks.
Bancos de dados do governo mostram que a empresa teve vários contratos lucrativos com agências oficiais, incluindo o Departamento de Defesa, o FBI e a Administração de Alimentos e Drogas. Ainda em outubro, a empresa conseguiu um contrato para trabalhar com o Laboratório de Pesquisa da Força Aérea.
Marc DeNofio, porta-voz do laboratório, disse que o trabalho foi praticamente concluído, mas "a Riva continua ativa, pois ainda há algumas horas de suporte restantes em seu contrato".
O relacionamento do FBI com a empresa também remonta a vários anos. Na verdade, o departamento de espionagem usou a Riva Networks para comprar o Pegasus, que invade telefones e extrai seu conteúdo sem o conhecimento dos usuários. A agência pagou mais de US$ 5 milhões para testar o spyware de 2019 a 2021, e autoridades discutiram usá-lo como parte de suas investigações antes de declinarem da oferta.
O teste ocorreu numa das instalações da Riva em Nova Jersey, onde permanece o sistema Pegasus. O funcionário do FBI disse que a ferramenta estava inativa porque o departamento não renovou a licença de seu software. Quando comprou o Pegasus, a agência usou um nome falso para Riva Networks –Cleopatra Holdings–, segundo duas pessoas familiarizadas com o contrato. Esse nome também foi usado no acordo de novembro de 2021 entre Riva Networks e NSO para comprar o Landmark, conforme cópia do acordo.
Gamble, o CEO da Riva, chegou a assinar o contrato do Landmark sob o pseudônimo de William Malone, segundo essas pessoas. Ao contrário do Pegasus, o Landmark não invade celulares e extrai seus dados —ele rastreia a localização de indivíduos com base na torre de celular a que seu telefone está conectado.
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.