FBI expõe seus próprios agentes em investigação contratual.
O FBI usou nomes de código em suas negociações com o empreiteiro infrator, sugerindo que sabia que as regras haviam sido quebradas
O FBI reconheceu ser responsável por uma violação amplamente divulgada da política federal dos Estados Unidos que proíbe o uso de ferramentas de spyware fabricadas pelo fornecedor israelense NSO Group, mais conhecido pelo spyware Pegasus usado para bisbilhotar jornalistas, ativistas de direitos humanos e outros civis inocentes em dezenas de países, informou o New York Times na segunda-feira.
Depois de receber ordens da Casa Branca em abril para investigar qual agência federal dos Estados Unidos violou suas ordens executivas ao fazer negócios com o fornecedor proibido, a agência descobriu que era a culpada ou melhor, sua contratada, a Riva Networks, era.
Um alto funcionário do FBI disse ao Times que a agência simplesmente deu a Riva um punhado de números de telefone mexicanos para rastrear, alegando que eram fugitivos procurados e que a agência acreditava que Riva estava usando uma ferramenta de geolocalização de sua própria criação.
A Riva, afirmaram várias autoridades dos Estados Unidos, tinha a capacidade de explorar vulnerabilidades nas redes de celular mexicanas para rastrear secretamente os usuários
Em vez disso, Riva estava usando uma ferramenta de spyware NSO chamada Landmark, que rastreia a localização de indivíduos com base nas torres de telefonia celular com as quais seus telefones estão se comunicando.
A Riva renovou seu contrato com o fornecedor de spyware israelense em 2021 sem informar o FBI, afirmou o funcionário, explicando que a agência havia informado a todos os seus contratados naquele mesmo ano que estavam proibidos de usar produtos NSO, de acordo com a declaração do governo Biden.
O funcionário alegou que o FBI só ficou sabendo que Riva estava usando o Landmark no início deste ano e que nenhum dado do Landmark foi repassado à agência - com base nos próprios relatórios de Riva ao FBI, que presumivelmente não incluiriam qualquer menção ao uso de um ferramenta de spyware ilegal.
Apesar das alegações de ignorância do FBI, a agência autorizou Riva a adquirir o produto mais infame da NSO, o Pegasus, apenas alguns anos antes.
Questionando ainda mais as reivindicações da agência, o nome falso usado para Riva na compra da Pegasus, Cleopatra Holdings, foi usado novamente quando Riva comprou a Landmark da NSO.
O CEO da Riva, Robin Gamble, até usou o mesmo pseudônimo, William Malone, para assinar os dois contratos, disseram ao Times duas pessoas familiarizadas com os negócios.
O FBI não é a única agência do governo dos Estados Unidos contratando a Riva;
A empresa foi paga pela Drug Enforcement Agency, o Departamento de Defesa e vários outros.
A Casa Branca não parecia particularmente energizada para punir o empreiteiro federal por violar sua tão alardeada repressão ao spyware de clique zero, recusando-se a comentar quando perguntado pelo Times se haveria alguma penalidade.
Embora o Pegasus da NSO tenha sido inicialmente proibido de hackear números dos Estados Unidos, mais tarde desenvolveu uma solução alternativa chamada Phantom, que o FBI abocanhou em 2019, mas afirma nunca ter usado.
