Pesquisa do Citizen Lab correlaciona registros MobileLockdown, laudo oficial russo e hardware legado UFED para documentar extração física de dados políticos em junho de 2021, três meses depois do anúncio de suspensão comercial à Rússia e Belarus
| Componente | iPhone 12 de Andrey Pivovarov, ativista da Open Russia; ecossistema Cellebrite UFED (UFED Physical Analyzer e UFED 4PC); aplicativos WhatsApp, Telegram e Viber; MacBook também apreendido, porém sem extração bem-sucedida |
| Vetor | Apreensão física do dispositivo em custódia estatal após detenção no aeroporto de São Petersburgo em 31 de maio de 2021; conexão USB registrada em 17 de junho de 2021 via pareamento confiável rastreado por MobileLockdown, compatível com impressão digital de host Cellebrite observada previamente na Jordânia; sem spyware remoto e sem consentimento ou senhas do detento |
| Impacto | Extração forense offline de contatos, comunicações e metadados usados em processo político; buscas documentadas por termos ligados à Open Russia Civic Movement e por nomes de figuras da oposição; falha de extração no MacBook por criptografia e tentativas de login sem sucesso; base instalada de UFED permaneceu operacional após corte de vendas de março de 2021 |
| Prioridade | Revisar políticas de exportação e ciclo de vida de ferramentas forenses legadas offline; endurecer dispositivos de alto risco com senha alfanumérica forte, SO atualizado, Lockdown Mode no iPhone, Advanced Protection no Android 16+, criptografia de disco e desligamento completo antes de cenários de apreensão; auditar dispositivos devolvidos e rotacionar credenciais |
| Artefatos | Laudo Forensic Expert Report No. 1269-17 do Comitê Investigativo russo, preparado pelo centro forense do Ministério do Interior; registros MobileLockdown com host ID correspondente a impressão Cellebrite de caso anterior na Jordânia |
| Mitigação | Cellebrite declarou uso não autorizado de hardware legado na Rússia após março de 2021, mantém o país na lista restrita e migra para licenças por assinatura com expiração; recomendações defensivas do Citizen Lab incluem exame forense antes de reutilizar aparelho devolvido e troca de senhas de todas as contas |
Uma investigação publicada em 25 de junho pelo Citizen Lab documenta que autoridades russas empregaram ferramentas forenses da linha UFED da Cellebrite para acessar o conteúdo de um iPhone 12 pertencente ao ativista de oposição Andrey Pivovarov em junho de 2021. O marco temporal é relevante porque ocorreu cerca de três meses depois do anúncio da Cellebrite, em março de 2021, de que interromperia a venda de produtos e serviços à Rússia e à Belarus. O caso não envolve implantação de spyware remoto nem exploração de vulnerabilidade de rede: trata-se de análise forense física executada sobre um aparelho já apreendido e mantido sob custódia estatal durante um processo político.
A robustez probatória do achado combina duas fontes que raramente convergem em matérias desse tipo. Do lado técnico, vestígios permaneceram no próprio iPhone e foram analisados após Pivovarov entregar o dispositivo aos pesquisadores no outono de 2025, com datas de atividade compatíveis com o período em que o telefone esteve sob controle russo. Do lado institucional, um laudo oficial russo nomeia explicitamente o UFED Physical Analyzer e o UFED 4PC, descreve a extração de dados de mensageiros e registra buscas por contatos e organizações ligadas à oposição. O conjunto sustenta, com alta confiança segundo os pesquisadores, que a extração ocorreu com ecossistema Cellebrite e não com ferramenta genérica desconhecida.
Pivovarov liderava a Open Russia, grupo classificado pelo Kremlin como indesejável, condição que criminalizava a continuidade de envolvimento. Ele foi retirado de um voo no aeroporto de São Petersburgo em 31 de maio de 2021; seu iPhone 12 e seu MacBook foram confiscados sem consentimento para busca e sem entrega de senhas. Os equipamentos permaneceram em custódia até 2023. Em julho de 2022 recebeu condenação de quatro anos e foi libertado em agosto de 2024 em um intercâmbio de prisioneiros. O laudo e os registros do aparelho mostram que a extração móvel foi bem-sucedida, enquanto o notebook resistiu por criptografia, alinhando-se a tentativas de login fracassadas observadas na mesma data.
O fluxo observado segue o modelo clássico de forense móvel em ambiente de custódia, não o de comprometimento remoto por malware. Após a apreensão, o iPhone permaneceu sob controle de investigadores até que, em 17 de junho de 2021, registros MobileLockdown — estrutura que documenta pareamentos USB confiáveis no ecossistema iOS — indicaram conexão a um identificador de host compatível com uma impressão digital Cellebrite já catalogada pelo Citizen Lab em um caso anterior na Jordânia. Essa correspondência é tratada como evidência de alta confiança de uso do UFED, embora o mecanismo exato de desbloqueio ou bypass aplicado ao dispositivo não seja detalhado no material disponível.
O laudo Forensic Expert Report No. 1269-17, produzido para o Comitê Investigativo da Rússia pelo centro forense do Ministério do Interior, funciona como espelho documental do trabalho forense. Ele cita por nome o UFED Physical Analyzer e o UFED 4PC, descreve a coleta de dados de WhatsApp, Telegram e Viber e registra consultas por expressões e indivíduos associados à oposição, incluindo buscas relacionadas ao movimento Open Russia Civic Movement e por nomes como Mikhail Khodorkovsky, a advogada Anastasiya Burakova e a parceira de Pivovarov, Tatiana Usmanova. Em termos de finalidade, os dados extraídos alimentaram a construção de um caso penal em contexto político, com foco em mapeamento de rede social e comunicações, não em exploração técnica contínua do alvo fora da custódia.
No MacBook apreendido, o mesmo conjunto investigativo encontrou barreira operacional. O laudo do Ministério do Interior descreve extração malfadada, bloqueada por criptografia, e a análise independente identificou tentativas de login sem sucesso na mesma data, indicando que as credenciais do detento não foram obtidas para aquele ativo. A divergência entre sucesso no telefone e falha no computador reforça que a superfície efetivamente comprometida depende de estado de criptografia, política de bloqueio e capacidade da estáção forense legada frente ao hardware e à versão do sistema em questão.
A cronologia expõe uma lacuna de governança comercial com implicação operacional direta. O anúncio de março de 2021 interrompeu novas vendas e atualizações, mas não desativou remotamente o parque instalado. Grande parte do UFED continua funcional offline após o fim do suporte, o que significa que o risco residual não estava apenas em contratos futuros, e sim em unidades já presentes em salas de custódia e laboratórios policiais. Relatos anteriores já apontavam uso continuado na Rússia após o corte; este caso ancora a narrativa com correlação forense no dispositivo e confirmação em documento estatal.
Há um encadeamento defensivo adicional sem atribuição causal direta. Pessoas cujos nomes apareceram nas buscas no telefone de Pivovarov posteriormente surgiram como alvos da operação de phishing COLDRIVER, vinculada ao FSB; Burakova foi visada, mas não foi comprometida segundo o relato. O Citizen Lab não afirma ligação formal entre a extração e essa campanha, mas descreve o mecanismo lógico: extrair o grafo social de um ativista fornece lista de alvos para operações subsequentes de engenharia social ou intrusão dirigida.
A superfície primária é o dispositivo móvel sob custódia física em investigações políticas, não a população geral de usuários exposta a um vetor remoto em massa. Ainda assim, o padrão ilustra riscos para ativistas, jornalistas, defensores de direitos humanos e qualquer ator cujo aparelho possa ser apreendido em fronteira, residência ou ponto de detenção.
O ecossistema forense legado da Cellebrite permanece relevante onde hardware antigo UFED ainda está em uso, especialmente em jurisdições com restrições comerciais formais mas sem revogação física do parque instalado. A Rússia integra uma lista crescente de abusos documentados com respaldo forense, ao lado de casos relatados na Sérvia, Quênia e Jordânia.
- iPhone 12 de Pivovarov, com dados de WhatsApp, Telegram e Viber extraídos em junho de 2021
- MacBook apreendido no mesmo evento, sem extração bem-sucedida por barreira de criptografia
- Produtos nomeados no laudo russo: UFED Physical Analyzer e UFED 4PC
- Contatos e figuras da oposição pesquisados nos dados extraídos, incluindo termos ligados à Open Russia Civic Movement
- Hardware forense legado Cellebrite potencialmente ainda operacional offline após corte de vendas de março de 2021
Em ambientes corporativos ou de ONGs com perfil de risco político, a telemetria útil concentra-se em sinais de apreensão física e em mudanças pós-devolução, não em tráfego C2 típico de malware. Após recuperar um dispositivo que esteve em custódia, equipes devem procurar indícios de pareamento USB não autorizado, alterações de perfil de confiança e atividade inconsistente com o padrão do usuário.
Para investigadores de abuso de ferramentas forenses comerciais, a correlação entre registros MobileLockdown, identificadores de host conhecidos e laudos judiciais ou policiais que citam produtos por nome constitui linha de evidência de alto valor. Em campanhas de phishing subsequentes, monitorar tentativas dirigidas contra indivíduos que aparecem em grafos sociais de detentos pode revelar reutilização de inteligência derivada de extrações físicas.
- Registros MobileLockdown com pareamento USB em data compatível com custódia e host ID alinhado a impressão Cellebrite conhecida
- Laudos forenses estatais que nomeiam UFED Physical Analyzer, UFED 4PC e aplicativos de mensageria alvo da extração
- Tentativas de login fracassadas em dispositivos criptografados no mesmo intervalo de uma extração móvel bem-sucedida
- Alvos posteriores de operações de phishing como COLDRIVER cujos nomes constavam em buscas sobre dados extraídos de ativista detido
- Ausência de indicadores de spyware remoto quando o comprometimento se limita a sessão forense física em custódia
Fabricantes de ferramentas forenses enfrentam limite estrutural: suspender vendas e atualizações não equivale a desativar unidades já implantadas que operam offline. A resposta declarada pela Cellebrite em 22 de junho, em contato com o Citizen Lab e a Access Now, classifica qualquer uso de hardware legado na Rússia após março de 2021 como inteiramente não autorizado, afirma que tal hardware opera sem suporte ou consentimento da empresa e sustenta que, hoje, seria incompatível com dispositivos modernos; paralelamente, mantém a Rússia na lista permanente de clientes restritos e migra para licenças por assinatura com expiração. Para defensores de direitos e operadores de segurança, a distinção jurídica importa menos do que a realidade operacional no momento da apreensão: a ferramenta funcionou quando o telefone já estava na sala de custódia.
As recomendações do Citizen Lab para cenários de risco de apreensão são preventivas e parciais — nenhuma medida é apresentada como barreira absoluta contra estáção forense dedicada com acesso físico prolongado. Ainda assim, reduzem a superfície disponível no instante da detenção e após eventual devolução do aparelho.
- Adotar senha alfanumérica forte, manter o sistema operacional atualizado e ativar Lockdown Mode em iPhones ou Advanced Protection em Android 16 e versões posteriores
- Criptografar o disco em computadores portáteis e desligar completamente o dispositivo antes de entrar em situação de alto risco de apreensão
- Se um aparelho retornar da custódia, trocar senhas de todas as contas associadas e submeter o equipamento a exame forense antes de qualquer reutilização ou wipe
- Revisar políticas de exportação, revenda e suporte levando em conta que bases instaladas offline permanecem capazes de extrair dados de dispositivos legados em posse estatal
- Monitorar indivíduos do círculo social de detentos cujos nomes possam ter sido indexados em extrações forenses, dado o padrão observado de reutilização em campanhas de phishing direcionado
0 Comentários