Um cidadão dos EUA e da Grécia que trabalhou na equipe de segurança e confiança da Meta enquanto estava na Grécia foi colocado sob escuta telefônica de um ano pelo serviço de inteligência nacional grego e hackeado com uma poderosa ferramenta de ciberespionagem, de acordo com documentos obtidos pelo The New York Times e funcionários com conhecimento do caso.
A divulgação é o primeiro caso conhecido de um cidadão americano sendo alvo em um país da União Europeia pela tecnologia de espionagem avançada, cujo uso tem sido objeto de um escândalo crescente na Grécia. Isso demonstra que o uso ilícito de spyware está se espalhando além do uso por governos autoritários contra figuras da oposição e jornalistas, e começou a se infiltrar nas democracias europeias, até mesmo prendendo um estrangeiro que trabalha para uma grande corporação global.
A escuta simultânea do telefone do alvo pelo serviço nacional de inteligência e a maneira como ela foi hackeada indicam que o serviço de espionagem e quem implantou o spyware, conhecido como Predator, estavam trabalhando de mãos dadas.
O caso mais recente ocorre quando as eleições se aproximam na Grécia, que foi abalada por um crescente escândalo de escutas telefônicas e spyware ilegal desde o ano passado, levantando acusações de que o governo abusou dos poderes de sua agência de espionagem para fins ilícitos.
O spyware Predator que infectou o dispositivo é comercializado por uma empresa com sede em Atenas e foi exportado da Grécia com a bênção do governo, em possível violação das leis da União Europeia que consideram tais produtos armas potenciais, O New York Times descobriu em dezembro.
O governo grego negou o uso do Predator e legislado contra o uso de spyware, que chamou de “ilegal”.
“As autoridades gregas e os serviços de segurança nunca adquiriram ou usaram o software de vigilância Predator. Sugerir o contrário é errado”, disse Giannis Oikonomou, porta-voz do governo, em um e-mail. “O suposto uso deste software por entidades não governamentais está sob investigação judicial em andamento.”
“A Grécia foi um dos primeiros países da Europa a aprovar legislação que proíbe a venda, uso e posse de malware em dezembro de 2022, o que tem as consequências legais mais severas e penalidades rígidas para pessoas físicas e jurídicas envolvidas em tal crime”, disse Oikonoumou contínuo. “A mesma legislação inclui disposições sobre a reestruturação do Serviço Nacional de Inteligência, salvaguardas adicionais para a vigilância legal e modernização dos procedimentos de confidencialidade das comunicações.”
Os legisladores da União Europeia lançaram sua própria investigação.
O primeiro-ministro Kyriakos Mitsotakis, da Grécia, está sob pressão para explicar como e por que o Predator foi vendido da Grécia e usado na Grécia, supostamente sem o conhecimento do governo, contra membros de seu próprio governo, políticos da oposição e jornalistas.
Ele insistiu que o governo grego não teve nada a ver com a ferramenta de vigilância cibernética, mas que atores opacos podem tê-la usado nas costas das autoridades.
O caso mais recente centra-se em Artemis Seaford, formado em Harvard e Stanford, que trabalhou de 2020 até o final de 2022 como gerente de confiança e segurança na Meta, empresa controladora do Facebook, enquanto morava parcialmente na Grécia.
Em sua função na Meta, a Sra. Seaford trabalhou em questões políticas relacionadas à segurança cibernética e também manteve relações de trabalho com funcionários gregos e europeus.
Depois de ver seu nome em uma lista vazada de alvos de spyware na mídia grega em novembro passado, ela levou seu telefone ao Citizen Lab da Universidade de Toronto, o maior especialista forense do mundo em spyware.
O relatório do laboratório, revisado pelo The New York Times, descobriu que o celular da Sra. Seaford havia sido hackeado com o spyware Predator em setembro de 2021 por pelo menos dois meses.
“Isso não exclui a possibilidade de outras infecções ou de um período de infecção que se estenda além de 16/11/2021”, disse o relatório forense do Citizen Lab.
Na sexta-feira, Seaford abriu um processo em Atenas contra qualquer pessoa considerada responsável pelo hack. O processo obriga os promotores a abrir uma investigação.
A Sra. Seaford também entrou com um pedido junto à Autoridade Grega para a Proteção da Privacidade das Telecomunicações, um órgão independente de vigilância constitucional, pedindo-lhes para determinar se o serviço nacional de inteligência grego, conhecido como EYP, havia grampeado seu telefone.
O que consideramos antes de usar fontes anônimas. As fontes conhecem as informações? Qual é a motivação deles para nos contar? Eles se mostraram confiáveis no passado? Podemos corroborar a informação? Mesmo com essas perguntas satisfeitas, o The Times usa fontes anônimas como último recurso. O repórter e pelo menos um editor conhecem a identidade da fonte.
Duas pessoas com conhecimento direto do caso disseram que a Sra. Seaford havia de fato sido grampeada pelo serviço de espionagem grego desde agosto de 2021, um mês antes do hack do spyware, e por vários meses até 2022.
Eles falaram sob condição de anonimato porque é ilegal para eles comentar publicamente sobre as operações do EYP.
Pode levar no mínimo três anos para a Sra. Seaford ser informada sobre o grampo da agência de espionagem sob as leis gregas que o governo mudou duas vezes desde que uma enxurrada de casos de grampos veio à tona.
A Sra. Seaford é agora a quarta pessoa conhecida a abrir um processo na Grécia envolvendo o spyware, depois que um repórter investigativo e dois políticos da oposição.
No primeiro caso, um repórter investigativo, Thanasis Koukakis, em 2020 também pediu à autoridade constitucional de vigilância que o informasse se ele também havia sido colocado sob escuta telefônica.
Antes que Koukakis pudesse obter uma resposta formal, o governo rapidamente aprovou uma lei em 2021 que restringe drasticamente os direitos dos cidadãos de serem informados se estiverem sob vigilância do serviço nacional de inteligência. O Sr. Koukakis levou o governo grego ao Tribunal Europeu de Direitos Humanos sobre a mudança na lei.
Desde então, o governo grego está sob pressão para restabelecer algum recurso para que os cidadãos saibam que foram grampeados e busquem reparação caso sua vigilância tenha sido abusiva.
De acordo com uma lei aprovada no ano passado, um cidadão que tenha sido alvo da agência de espionagem agora pode ser informado – mas apenas se pedir, e sujeito à aprovação de um comitê, e não antes de três anos após o fim da escuta.
É sob essas novas condições que a vigilância da Sra. Seaford pelo serviço de inteligência nacional grego pode um dia ser oficialmente confirmada.
“Os alvos da vigilância abusiva devem ter o direito de saber o que aconteceu com eles e meios de reparação, como qualquer outro crime”, disse Seaford em entrevista.
Ela afirma que não há explicação razoável para ela ser alvo. As escutas telefônicas na Grécia são permitidas apenas por motivos de segurança nacional ou investigações criminais sérias.
Mais de um ano após sua vigilância pelo serviço de inteligência grego e a infecção ilegal por spyware de seu dispositivo móvel, nenhuma acusação foi feita contra ela e ela não foi solicitada a cooperar com as autoridades em nenhuma investigação.
“No meu caso, não sei por que fui alvo, mas não consigo ver nenhuma preocupação razoável de segurança nacional por trás disso”, disse Seaford. A Meta e a embaixada dos EUA em Atenas se recusaram a comentar.
O alvo da Sra. Seaford pela agência de espionagem grega e alguns elementos de seu caso foram relatados anteriormente pelo jornal grego Documento.
No caso da sra. Seaford, parece que as informações coletadas do grampo podem ter auxiliado no estratagema usado para implantar o spyware, de acordo com o cronograma estabelecido pela análise forense e submetido ao promotor grego.
Em setembro de 2021, a Sra. Seaford agendou uma consulta para uma injeção de reforço da vacina Covid-19 por meio da plataforma oficial de vacinação do governo grego.
Ela recebeu um SMS automático com os detalhes do compromisso em 17 de setembro, pouco depois da meia-noite. Cinco horas depois, às 05h31, segundo documentos, ela recebeu outro SMS solicitando a confirmação do agendamento clicando em um link.
Este foi o link infectado que colocou o Predator no telefone dela. Os detalhes da consulta de vacinação na mensagem de texto infectada estavam corretos, indicando que alguém revisou a confirmação anterior autêntica e redigiu a mensagem infectada de acordo.
O remetente também parecia ser a agência estadual de vacinas, enquanto o URL infectado imitava o da plataforma de vacinação.
A Sra. Seaford, que tem relutado em ser arrastada para a política partidária grega, onde o escândalo de vigilância se tornou um ponto de debate amargo, disse que a questão do abuso de spyware e vigilância deve ser uma questão apartidária.
“Minha esperança é que meu caso e outros como o meu não sejam apenas instrumentalizados, encerrados para evitar custos políticos para alguns ou, inversamente, elevados para o ganho político de outros”, disse ela.