Como ‘Sr. Hashtag 'ajudou Arábia Saudita a espionar dissidentes

No início deste mês, pesquisadores de segurança revelaram que o governo da Arábia Saudita tentou hackear um dissidente saudita proeminente e trabalhadora de direitos humanos que vive no Canadá. Isso veio apenas algumas semanas depois A Anistia Internacional acusou o país de usar spyware sofisticado para hackear um de seus pesquisadores. Então, O jornal New York Times revelado que os sauditas transformaram um funcionário do Twitter em um espião que os ajudou a manter o controle sobre ativistas de direitos digitais acessando suas contas e mensagens privadas.

Estas são apenas as últimas revelações sobre a Arábia Saudita empurrão agressivo para reprimir a dissidência e rastrear ativistas online. As ferramentas online favoritas do regime são os bots do Twitter para espalhar desinformação e propaganda pró-governo, e spyware para manter o controle sobre aqueles que se atrevem a falar. É parte de uma repressão mais ampla e de anos à liberdade de expressão que veio à tona após a o assassinato liderado pelo Estado do jornalista Jamal Khashoggi , um cidadão da Arábia Saudita cujas colunas no Washington Post criticaram o príncipe herdeiro Mohammed bin Salman.

A Arábia Saudita tornou-se uma sofisticada máquina de hackers, capaz de alvo dissidentes vivendo do outro lado do mundo com spyware caro. O regime há muito se concentra na vigilância; o país comprou ferramentas de hacking do fornecedor italiano de spyware Hacking Team, de acordo com e-mails que se tornaram públicos depois que a empresa foi hackeada em 2015. Várias agências sauditas pagaram à Hacking Team quase 5 milhões de euros em cinco anos, de acordo com planilhas vazadas como parte do Hacking 2015 Violação da equipe. Em 2016, um ano após a violação embaraçosa da Hacking Team, um misterioso investidor saudita adquiriu 20 por cento da empresa , salvando-o de afundar, como a placa-mãe relatou no início deste ano .

De acordo com os e-mails da Hacking Team, um conselheiro do governo saudita chamado Saud Al-Qahtani serviu como o principal ponto de contato do reino com a Hacking Team. Al-Qahtani também aparentemente supervisionou remotamente o assassinato de Khashoggi via Skype, insultando o jornalista e ordenando a seus colegas que “me trouxessem a cabeça do cachorro”. de acordo com a Reuters .

Até ser demitido na semana passada, Saud Al-Qahtani trabalhou como consultor de mídia para Mohammed bin Salman. Alguns o chamavam Steve Bannon, da Arábia Saudita, ou “ Sr. Hashtag ” por seu uso hábil de propaganda e mídia social online. Ele costumava desempenhar um papel fundamental para o governo, liderando os esforços eficientes do reino para disseminar desinformação e assediar críticos nas redes sociais, o que lhe rendeu o apelido de “mestre troll”.

Mas fora da mídia social, Al-Qahtani – ou alguém que afirma ser ele – parece ter desempenhado um papel muito mais importante para o governo: entrar em contato e marcar reuniões com a Hacking Team para comprar as ferramentas de vigilância da empresa. E, talvez, vasculhando o resto da internet em busca de ferramentas de hackers para o país usar contra dissidentes.

Mais importante ainda, Al-Qahtani parece ter sido parte integrante do relacionamento da Arábia Saudita com a Hacking Team: alguém que também se identificava como Saud Al-Qahtani tinha um grande correspondência ao longo dos anos com a Hacking Team usando o e-mail oficial do governo s.qahtani@royalcourt.gov.sa e saudq@saudq.com, de acordo com e-mails da empresa vazados por hackers em 2015.

“Nós aqui no Centro de Monitoramento e Análise de Mídia da Corte Real Saudita (THE King Office) gostaríamos de estar em cooperação produtiva com você e desenvolver uma parceria longa e estratégica”, escreveu Al-Qahtani usando esse endereço .gov.sa dentro uma mensagem enviado diretamente ao cofundador e CEO da Hacking Team, David Vincenzetti, em 2015.

o e-mails mostrar que a Hacking Team estava realizando negócios com essa pessoa; Vincenzetti respondeu prontamente a Al-Qahtani, observando que seu “confiante colega árabe entrará em contato com você em breve”. Outro e-mail trocado entre o endereço de e-mail oficial do governo saudita e a Hacking Team referenciou telefonemas entre representantes da empresa e Al-Qahtani, e um dos e-mails parece ser de solução de problemas de suporte técnico.

Em 2012, anos antes de o endereço de e-mail s.qahtani@royalcourt.gov.sa, afiliado ao governo, entrar em contato com a Hacking Team, alguém se autodenominando “Saud Al-Qahtani” e se representando como membro do governo saudita, alcançou Fora para Equipe de hackers dizendo que o governo saudita estava interessado em comprar spyware, de acordo com os e-mails. Que Al-Qahtani se identificou como funcionário da “corte real da Arábia Saudita, o escritório do rei” e usou o e-mail saudq1978@gmail.com.

O identificador verificado de Al-Qahtani no Twitter, onde ele faz fortes declarações políticas contra os inimigos da Arábia Saudita na região, é @saudq1978, que foi criado em fevereiro de 2011. O endereço de e-mail saudq1978@gmail.com também foi usado em 2009 para registrar uma conta no o popular site Hack Forums, que antecede tanto os e-mails da Hacking Team quanto o registro da conta verificada no Twitter, a Motherboard apurou.

“Precisamos que você venha o mais rápido possível”, escreveu alguém usando o endereço de e-mail saudq1978@gmail.com em um dos primeiros e-mails trocados com os funcionários da Hacking Team.

A Motherboard não conseguiu vincular definitivamente o e-mail saudq1978@gmail.com a Al-Qahtani, mas o tom e a substância dos e-mails são semelhantes aos enviados do endereço de e-mail s.qahtani@royalcourt.gov.sa. Os e-mails também mostram que a Hacking Team estava inicialmente cética e pediu que ele usasse um endereço de e-mail oficial.

“Como nossa política nos permite trabalhar apenas com agências governamentais, gostaria de saber mais informações sobre esta oportunidade (o nome da agência e suas necessidades). Seu endereço de e-mail oficial é muito apreciado”, disse um gerente de vendas.

A pessoa que usa saudq1978@gmail.com disse ao Hacking Team que, na época, o Royal Court não usava e-mail oficial. “Estou autorizado pelo meu governo a contatá-lo. Somos da corte real da Arábia Saudita, o escritório do rei”, escreveram. “Não temos e-mails oficiais e usamos apenas fax seguro.”

Equipe de hackers estava aparentemente satisfeito com esta resposta (ou um fax de acompanhamento), porque a empresa continuou a se corresponder com esse endereço de e-mail e acabou marcando uma reunião na capital da Arábia Saudita, Riad: “É um prazer para a Hacking Team visitá-lo em Riad. Estaríamos disponíveis para mostrar uma demonstração ao vivo e uma apresentação de nossa solução em 9 de maio de 2012”, disse um gerente de contas em um e-mail.

Na mesma época em que estava se correspondendo com a Hacking Team, quem estava usando o endereço de e-mail saudq1978@gmail.com também estava procurando ativamente por ferramentas de hacking e vigilância em outros lugares da internet.

Alguém usando o mesmo endereço de e-mail saudq1978@gmail.com usado em correspondência anterior com a Hacking Team como “Saud Al-Qahtani” também foi um membro prolífico da comunidade de cibercrime online Hack Forums por anos, pedindo ajuda para hackear vítimas e usar software de vigilância. O fórum é considerado um lugar principalmente para jovens hackers com habilidades limitadas, onde as pessoas podem trocar dicas de hackers e comprar ferramentas e serviços de hackers rudimentares.

Os usuários precisam de um email para registrar uma conta de usuário no fórum, e o email saudq1978@gmail.com foi usado para registrar o usuário Nokia2mon2, de acordo com dados publicados online por hackers que violou os fóruns de hackers em 2011 , que foi revisado pela Motherboard.

Um membro de longa data do Hack Forums disse ao Motherboard que o Nokia2mon2 tinha um endereço da Arábia Saudita na conta do Paypal que ele usava para fazer doações ao fórum. A fonte disse que alguns fornecedores nos fóruns na época operavam sob a suposição de que o usuário estava trabalhando para o governo da Arábia Saudita.

“Tive a impressão de que ele estava bem conectado à família real”, disse a fonte, que pediu para permanecer anônima para evitar chamar a atenção para sua personalidade online, em um bate-papo online. “O boato era de que ele estava usando o Hack Forums para obter ferramentas para espionar jornalistas, estrangeiros e dissidentes.”

Em sua entrada sobre Nokia2mon2, o fórum wiki o chama de “um dos usuários mais conhecidos do Hack Forums”.

Nokia2mon2 fez grandes doações, no valor de mais de US$ 10.000, para o fórum, de acordo com prêmios dados a ele pela equipe de moderação do site e listados em seu perfil de usuário. Nokia2mon2 fez 501 postagens no site entre 2009 e abril de 2016, quando a conta ficou inativa. O usuário frequentemente pedia ajuda para usar e comprar spyware.

“HÁ ALGUM RATO QUE PODE INFECTAR O MAC PC?” Nokia2mon2 perguntou em março de 2014, usando a linguagem infosec para Ferramenta de acesso remoto , software que pode ser usado para controlar computadores remotamente e é popular entre hackers mal-intencionados que desejam invadir os computadores das vítimas e roubar seus arquivos ou ativar suas webcams.

Em outro tópico, o usuário disse que estava procurando um “especialista” que pudesse ajudar com o njRAT, um relativamente popular e fácil de usar pedaço de spyware, porque “APÓS executar o ARQUIVO NA VÍTIMA após 1 SEGUNDO ele [desconectado].” O usuário ofereceu US$ 200 pelo serviço.

O pesquisador de segurança Jacob Riggs foi o primeiro a alertar a Motherboard que o aparente Gmail de Al-Qahtani apareceu tanto no vazamento do Hacking Team quanto no vazamento do Hack Forums. A placa-mãe verificou independentemente que saudq1978@gmail.com é de fato o e-mail associado ao Nokia2mon2. Não conseguimos vincular conclusivamente esse endereço do Gmail ao ex-assessor do governo saudita Saud Al-Qahtani, mas, por meio da equipe de hackers, os e-mails confirmamos que o endereço de e-mail foi usado para solicitar ferramentas de hackers e planejar uma reunião pessoal com Equipe de hackers na Arábia Saudita.

Dylan Hailey, um pesquisador de segurança cibernética que disse que costumava monitorar o Hack Forums como parte de seu trabalho na época, disse ao Motherboard que ainda se lembra do usuário Nokia2mon2.

O que mais chamou a atenção no Nokia2mon2, disse Hailey, foi que ele estava disposto a oferecer muito dinheiro por serviços relativamente fáceis e geralmente baratos.

“Ele pagou grandes quantias para que as pessoas segmentassem outros para ele, mas fez isso muito mal”, disse Hailey em um bate-papo online, acrescentando que era incomum porque ele acreditava que muitos dos usuários do site eram jovens que normalmente não tinha muito dinheiro sobrando. “Quando a maioria das pessoas daquele site era menor, era raro ver isso”, acrescentou.

Hailey disse que não sabia quem era o Nokia2mon2 na época. Mas ele disse que estava claro que o usuário era da Arábia Saudita ou pelo menos do Oriente Médio porque uma vez o Nokia2mon2 tentou pagar a alguém para configurar um malware para ele e ele expôs informações bancárias que indicavam que ele era da Arábia Saudita. Outra vez, lembrou Hailey, o Nokia2mon2 pediu ajuda para hackear um alvo postando o endereço de e-mail da vítima, o que levou muitos usuários a enviar spam ao alvo.

E-mails enviados para saudq1978@gmail.com não foram devolvidos. Vincenzetti não respondeu quando entrei em contato com ele por mensagem de texto. A embaixada saudita em Washington DC não respondeu a um telefonema, nem a uma mensagem enviada através de sua página de contato.

Receba seis de nossas histórias favoritas da placa-mãe todos os dias assinando nossa newsletter.