Guerre di Rete - SPYWARE LTD (PARTE 1)

Edizione speciale della newsletter con un lungo approfondimento in 3 parti sul tema trojan di Stato. - PARTE 1

PARTE 1
La seconda e terza parte si trovano nelle newsletter successive.
Clicca qui per la seconda parte.
Clicca qui per la terza parte.
L’intero Spyware Ltd si può anche leggere o scaricare in versione pdf a questo indirizzo (https://bit.ly/spyware_ltd).

Spyware Ltd

Indice

  • Introduzione

  • Primavere

  • Il primo leak 

  • La scuola italiana di malware

  • Lo spyware venuto dall’exploit

  • NSO e il suo zero-day

  • Progetto Pegasus

  • Chine pericolose

  • Gli emergenti

  • Nota dell’autrice

  • Per approfondire


Introduzione

Vent’anni di industria della sorveglianza più profonda: quella che opera attraverso l’inoculazione di un trojan, uno spyware. I due termini — che qui sono usati come sinonimi — indicano quei software malevoli che di nascosto prendono il controllo di un dispositivo e ne spiano, tracciano, intercettano tutte le attività: mail, messaggistica (inclusa quella cifrata, visto che il controllo avviene direttamente tramite il dispositivo), foto, video, geolocalizzazione, file salvati, screenshot dello schermo, microfono e videocamera che possono attivarsi e registrare. Un’industria che lavora principalmente al servizio di governi, forze dell’ordine, intelligence per svolgere indagini. Ma che, da almeno dieci anni, ha iniziato a sollevare interrogativi e preoccupazioni in ricercatori di sicurezza informatica, giornalisti, hacktivisti, attivisti per i diritti umani, aziende che si occupano di cyber-difesa. Da un decennio questo gruppetto inizialmente sparuto e stranamente assortito chiede maggiori controlli e trasparenza sul settore, e soprattutto salvaguardie contro l’abuso di questi strumenti, specie in Paesi con tendenze autoritarie. Nel mentre, l’oggetto principale di questo saggio, l'industria degli spyware — tra alti e bassi di singoli protagonisti, fughe di dati, attacchi informatici subiti, indagini giudiziarie, catene societarie, intermediari, governi amici, partner nelle boutique di vulnerabilità, legami con l’intelligence — nel suo complesso è cresciuta. Si è diversificata. Ha trovato e continua a trovare nuovi clienti. Si è perfino proposta con soluzioni per monitorare la diffusione di infezioni nella pandemia. Malgrado la nuvola societaria — tra holding, sussidiarie, Limited Company (Ltd) — che offusca parte di questo settore, il suo raggio d’azione sembra sempre più illimitato.

Mappare tale industria è dunque molto difficile, anche per la segretezza in cui si muove. Qui si vuole tracciare solo alcune sue traiettorie. O, ancora più modestamente, segnare alcuni puntini. Lasciamo ai lettori il compito di unirli come meglio credono. Quale che sia il disegno che ne verrà fuori, è l’ora di guardarlo con attenzione.

Primavere

Dopo aver cacciato il presidente-rais Hosni Mubarak, i dimostranti egiziani irrompono anche negli uffici degli apparati di sicurezza. Siamo all’inizio del marzo 2011, in piena Primavera Araba, quelle proteste antigovernative che nel giro di pochi mesi avrebbero squassato gran parte del Medio Oriente e del Nord Africa, e in particolare la Tunisia, l’Egitto, la Libia, lo Yemen, la Siria e il Bahrein.

I manifestanti, dopo aver negoziato coi militari, riescono a entrare dunque nelle stanze di quegli edifici definiti “la capitale dell’inferno”, nel distretto di Nasr City, al Cairo, dove i temuti servizi di sicurezza egiziani incarceravano, torturavano, e conservavano documenti. Qui, tra montagne di carta appena triturata dai funzionari evacuati, vengono ritrovati anche documenti intatti e riservati. Tra questi quella che appare essere un’offerta commerciale, fatta nel giugno 2010, per un prodotto di sorveglianza, un software per spiare da remoto nei computer dopo averli infettati. Un trojan. Uno spyware. Sul nome del documento c’è FinFisher, una soluzione di intrusione prodotta da un’azienda europea, Gamma International UK Limited. Ma la proposta sarebbe arrivata tramite una controllata, Modern Communication Systems.

Non è chiaro se il documento sia originale, se l’offerta (da 287mila euro) sia andata a buon fine, se e come venga usato quel prodotto in Egitto. Un avvocato di Gamma dirà poi al Washington Times che la vendita non sarebbe mai avvenuta, mentre al Guardian un rappresentante dichiarerà che Gamma International UK Limited non aveva fornito FinFisher al governo egiziano.
In ogni caso, il documento, trovato da un blogger, attivista e medico egiziano, Mostafa Hussein Omar (noto come Moftasa), viene subito mandato a un noto e carismatico esperto di cybersicurezza, Mikko Hypponen, che lavora a Helsinki per la società finlandese F-Secure, e che sempre all’inizio di marzo ci scrive un articolo sul blog aziendale.

È un post passato un po’ in sordina ma estremamente importante. È insieme una presa d’atto e una dichiarazione di guerra. “Noi non sappiamo se i servizi segreti egiziani (State Security) abbiano comprato lo strumento o no. Non sappiamo se lo abbiano usato per spiare sui loro stessi cittadini”, premette Hypponen. Ma, alla domanda se loro in quanto esperti di sicurezza informatica sarebbero pronti a individuare quel software, la risposta è sì. Perché “siamo nel business di vendere protezione”, indipendentemente da dove e da chi arrivi l’attacco.
“È facile immaginare il caso in cui un nostro cliente sia innocente ma sospettato di un crimine che non ha commesso. In tale situazione è giusto che si aspetti che il suo antivirus lo protegga dai trojan, anche da quei trojan che possano arrivare dal governo [neretto nel testo originale, nda]. E questo sarebbe ancora più importante se il cliente vivesse in uno Stato totalitario. Come avviene per alcuni dei nostri clienti”. E poi ancora: “Smettere di individuare trojan governativi significherebbe prendere una china pericolosa”.

Insomma, il post dice due cose. La prima è che l’era dei trojan di Stato, di strumenti di intrusione di origine governativa e non criminale usati per spiare le attività di computer (e poi di smartphone) di alcuni cittadini, è iniziata da tempo e sta crescendo. In Stati democratici e in Stati autoritari. La seconda è che noi non staremo a guardare. Il noi è la società per cui lavora, ovviamente, ma qui Hypponen sembra rappresentare anche qualcosa di più: un sottoinsieme di ricercatori di sicurezza che da questo momento iniziano a darsi da fare per tracciare tali software. Anche se sono usati dai governi. Soprattutto se sono usati da governi illiberali o dittatoriali.

Non era così scontato dirlo, mi racconta oggi Mikko Hypponen. Era la prima volta che veniva a sapere di FinFisher, attraverso quei documenti ritrovati in Egitto. “Il primo a dare la notizia su Twitter fu Moftasa, e fu proprio lui a darci il documento”, mi conferma Hypponen. “All’epoca l’atteggiamento delle aziende di cybersicurezza verso i malware che non provenivano da criminali non era affatto limpido. E dunque volevo chiarire la nostra posizione: il nostro lavoro era di individuare il malware, tutto lì. Non ci interessava chi lo aveva scritto. Avremmo avuto le palle di aggiungere l’individuazione di questo genere di cose, anche se erano scritte o usate da poliziotti o spie. Da allora, è diventato comune per i governi usare strumenti informatici offensivi. Ma allora non era così noto. Quando ho scritto quel post era il marzo 2011”. Sono gli stessi mesi in cui emerge con forza il caso Stuxnet, nota ancora Hypponen.
Ovvero il primo malware usato per sabotare con successo un impianto industriale, uno stabilimento di arricchimento dell’uranio, a Natanz, in Iran. Considerata la prima “cyber arma” nota, dal momento che il software malevolo era stato in grado di provocare una distruzione fisica (in quel caso delle centrifughe). Realizzata da Stati contro altri Stati.

Ma restiamo agli spyware usati come intelligence, e non ai malware distruttivi. La Primavera Araba apre dunque una finestra su questa nascente industria. Forse la alimenta anche, perché molti governi della regione iniziano a temere molto di più il dissenso e a cercare di prevenirlo e perseguirlo. Tuttavia, a prendere nota, sono anche alcuni attivisti per i diritti umani ed esperti di sicurezza informatica. È chiaro ormai che sono di fronte a quella brutta china di cui parla Hypponen, a un piano sempre più inclinato, e non vogliono scivolarci sopra. I dieci anni a seguire saranno la storia di questo piano, di quanto ha continuato a inclinarsi, dei suoi improvvisi e inopinati scossoni, e dei difficili tentativi di raddrizzarlo.

C’è posta per te, dal Bahrein

Passano pochi mesi, è ancora il dicembre 2011. Le rivelazioni di Snowden sui programmi di sorveglianza statali globali sono ancora lontane due anni, arriveranno solo nel 2013. Ma intanto in Germania una delle più autorevoli organizzazioni hacker sulla scena mondiale, il Chaos Computer Club, ha appena rinvenuto e analizzato un trojan governativo, anzi, federale (lo chiamano il Bundestrojaner, trojan federale) e denunciano l’assenza di salvaguardie tecniche per limitarlo. E ora WikiLeaks, l’organizzazione fondata da Julian Assange, che nel 2010 aveva pubblicato documenti riservati sulla guerra in Iraq, in Afghanistan e i documenti interni della diplomazia statunitense, se ne esce con gli Spy Files, migliaia di pagine, materiali, brochure su quella che viene definita “l’industria della sorveglianza globale di massa”. Gli Spy Files mettono assieme società, tecnologie e settori diversi. Ci sono nomi che emergeranno sempre di più negli anni successivi, come l’italiana Hacking Team, la francese Vupen, la tedesca Trovicor. 

E ricompare il nome di Gamma International. Secondo la sua stessa brochure pubblicata allora, FinSpy, il suo prodotto di punta all’interno del kit FinFisher, una volta installato su un computer (Mac, Windows o Linux), monitora le chat e chiamate Skype e le email, può estrarre file dall’hard disk, registrare quanto viene digitato sui tasti, e può attivare microfono e videocamera per una sorveglianza in tempo reale. I dati estratti dal target (il pc infetto) e i comandi inviati dal server che controlla ora il target passano attraverso una serie di altri computer che stanno in mezzo, fanno cioè da proxy, in modo da offuscare, anonimizzare chi sta raccogliendo le informazioni alla fine della catena.

Ad ogni modo, si tratta finora solo di documenti commerciali e brochure. Questi sistemi, che ancora attirano l’interesse di pochi, sembrano non solo arcani ma anche impalpabili e asettici. Ma passano circa sei mesi, e arriva il primo report a gettare una luce sul funzionamento effettivo di questo genere di programma. E soprattutto lo situa, lo cala in una realtà.

Il 25 luglio 2012 infatti la testata Bloomberg e il laboratorio Citizen Lab dell’Università di Toronto (che fa ricerca sull’intersezione fra diritti umani e tecnologie) escono rispettivamente con un’inchiesta e un’analisi tecnica. Tra aprile e maggio alcuni attivisti per la democrazia in Bahrein avevano infatti ricevuto delle email con degli allegati malevoli. Ad esempio, Ala’a Shehabi, una economista nata in UK e cofondatrice di Bahrain Watch, Ong pro-democrazia, aveva ricevuto una email che sembrava provenire da una giornalista di Al Jazeera (ma l’indirizzo Gmail non era il suo), e che conteneva presunte informazioni su dei casi di tortura e delle immagini di detenuti. Insieme a un malware. La donna, insospettita dalla mail, aveva contattato un giornalista di Bloomberg che a sua volta aveva chiesto aiuto a Citizen Lab. I ricercatori a quel punto scoprono che gli allegati avrebbero installato un software malevolo, un trojan, uno spyware, che avrebbe poi raccolto screenshot, password, chiamate Skype ecc. Il trojan si connette a un server il cui indirizzo IP appartiene alla Batelco, la principale compagnia di telecomunicazioni del Bahrein. I ricercatori creano una “firma”, come un’impronta digitale, del malware, che risulta molto simile a quella di un altro spyware trovato da un altro ricercatore, e che si connette a domini riconducibili, scrivono gli autori del report, a Gamma International, perché sembra essere una demo, cioè una versione dimostrativa, del prodotto di questa azienda.

Identificare e attribuire un software malevolo di questo tipo è un lavoro certosino che mette insieme tante tessere diverse, un’indagine indiziaria, circostanziale, ma che può comunque essere valutata e soppesata da altri perché i dati sono esplicitati. In ogni caso i ricercatori — che dispongono ancora di pochi elementi su cui lavorare in questa fase — sono cauti. “L’analisi suggerisce l’uso di FinSpy, parte del kit di intrusione FinFisher, distribuito da Gamma International”, scrivono, invitando l’azienda a commentare e chiarire.

Resta un punto interrogativo sull’identità del malware rinvenuto, ma non sulle intenzioni di chi lo sta usando. “Dal Bahrein con amore”, è infatti il titolo sarcastico dell’analisi. A ricevere quel malware sono stati alcuni attivisti per la democrazia, che si trovavano a Manama, la capitale del regno nel Golfo Persico, a Washington o a Londra. Dicono di non essere al corrente di indagini nei propri confronti. D’altra parte, Gamma ribadisce a Bloomberg che il suo strumento è venduto solo ai governi per investigare criminali e che vengono seguite le regole sull’export di Germania, Gran Bretagna e USA.

La mail con informazioni preziose che sembra arrivare da un giornalista. Il ritrovamento di un trojan nei dispositivi di attivisti per i diritti umani. Gli spyware che sono venduti solo ai governi, ma l’impossibilità di sapere quali. La presenza di mediatori e intermediari a complicare la ricostruzione della catena commerciale. E la presenza di Paesi con grossi problemi di democrazia. Ci sono già tutti gli elementi che si ripeteranno, quasi identici, ogni volta, per anni. Ma, come vedremo, in un crescendo.

Una, nessuna, centomila

Ma chi produce FinFisher? È inglese o tedesca? Non è così semplice indicarlo con precisione. A volte Gamma è definita tedesca, altre volte inglese, e con nomi diversi. C’è infatti un ramo in Gran Bretagna, ad Andover, Gamma International Ltd; e uno tedesco, a Monaco, Gamma International Gmbh. Sono sussidiarie di Gamma Group, gruppo specializzato in soluzioni di sorveglianza e monitoraggio, che impiega ex personale militare, di proprietà di un uomo d’affari britannico basato in Libano, Louthean Nelson, attraverso una società offshore nelle Isole Vergini britanniche, Gamma Group International Ltd, creata nel 2007 attraverso una agenzia di Singapore.
Il padre di Nelson, William (Bill), sarebbe invece il Ceo della unità britannica, Gamma UK, che sta vicino alla casa di famiglia nell’Hampshire, riferisce l’International consortium of investigative journalists. Ma la figura centrale è Louthean, il quale inizia la sua carriera negli anni ‘80 in una azienda tedesca, PK Electronics, che farebbe da intermediaria nel commercio internazionale di prodotti di sicurezza, scrive l’agenzia olandese di ricerca Buro Jansen and Janssen. Negli anni ‘90 iniziano i primi passi di Gamma, e soprattutto inizia a nascere una costellazione di società tra UK, Germania, Isole Vergini britanniche, Cipro e Libano. L’espansione in Germania avviene dal 2008, ed è qui che il kit FinFisher viene sviluppato. E qui entra in scena un’altra figura, Martin J. Muench, che avrebbe una quota della sussidiaria tedesca oltre ad essere il suo managing director. Un passato da hacker, Muench avrebbe contribuito allo sviluppo della distribuzione Linux BackTrack, e secondo alcune fonti sarebbe l’autore, la mente dietro al toolkit di intrusione di FinFisher. In ogni caso Muench gira per le conferenze di intelligence e sicurezza e rilascia talk con le iniziali MJM. È anche l’unico portavoce o volto pubblico, dato che Louthean Nelson è quasi invisibile.
A sviluppare il prodotto ci sono però anche altre figure e società, tra cui la più interessante sembra essere l’americana CloudShields, un contractor della difesa statunitense che nel 2009 avrebbe inviato un ingegnere a Monaco a incontrare proprio Muench. Secondo alcuni ricercatori, avrebbe dato un contributo allo sviluppo di attacchi di network injection (di iniezione diretta sul traffico di rete, in cui si interferisce in una connessione iniettando dei codici malevoli).

Ad ogni modo, nell’agosto 2012, poco dopo il primo report sul Bahrein, gli stessi ricercatori che lo hanno firmato, Morgan Marquis-Boire e Bill Marczak, cui si aggiunge Claudio Guarnieri, escono con un altro report. Che questa volta analizza presunte varianti del toolkit FinFisher per gli smartphone, mentre finora si era parlato solo di computer. Ma la parte più interessante è che gli autori sostengono di aver individuato una parte dell’infrastruttura di comando e controllo del software (ovvero il sistema messo in piedi per comunicare con i dispositivi infettati); e in particolare potenziali server in Paesi come il Bahrein, Brunei, Etiopia, Indonesia, Turkmenistan, Emirati, Mongolia. Le funzionalità sarebbero le stesse del materiale promozionale della società, e il malware richiederebbe una qualche interazione da parte dell’utente (come cliccare su un link) per installarsi. I campioni del malware sono anche firmati con un certificato digitale che cita una società, Cyan Engineering Services SAL, registrata a Beirut. Gli autori ritengono che questa sia collegata a Gamma, sottolineando anche una omonimia del rappresentante di Cyan e quello dei produttori di FinFisher. Che replicano dicendo di non vendere al Bahrein e che quella potrebbe essere una copia rubata.

Da questo momento in poi cominciano a uscire altri report o articoli giornalistici che mettono FinFisher sotto la lente. A guidare queste analisi resta però Citizen Lab, che nel 2013 — sempre a firma di quei tre ricercatori cui si aggiunge John Scott-Railton — esce con un report su quella che definisce la “proliferazione globale” di FinFisher. Aumenterebbero i Paesi in cui gli autori sostengono di aver trovato i server di comando e controllo del programma, e questi Stati includono Qatar, Vietnam, Turkmenistan, Messico. Naturalmente, precisano loro stessi, la presenza di server in un luogo non significa automaticamente che il software sia usato dal governo e dall’intelligence locale, in alcuni casi potrebbero essere server affittati da soggetti che stanno altrove. Ma l’analisi di allegati e mail usati per infettare può rivelare qualcosa di più, quanto meno sulle vittime (e di rimando su chi attacca). Ad esempio, i ricercatori sostengono di aver individuato una campagna di infezione con questo software che avrebbe usato come esca delle immagini di un gruppo di opposizione etiope. E questo, scrivono, è una “forte indicazione di una scelta dei target politicamente motivata”. 

Alla fine, Citizen Lab nota come il mercato dei software di sorveglianza e intrusione sia di fatto non regolamentato, e che il proprio obiettivo sia di fare un po’ di luce al riguardo anche per stimolare il dibattito politico. A dire il vero, quest’ultimo rimarrà inchiodato per anni ai margini delle priorità di gran parte dei legislatori e governanti. Ma di sprazzi di luce ne arriveranno ancora molti.

La comparsa di Phineas Fisher 

Intanto in Messico iniziano a esserci richieste di chiarimento sull’uso di questo prodotto, anche perché, secondo alcune inchieste giornalistiche, l’acquisto dello spyware da parte delle autorità sarebbe avvenuto attraverso un rivenditore, una azienda locale, Obses.
Ma a catapultare di nuovo FinFisher sotto i riflettori di molti media è un attacco informatico. È l’inizio di agosto 2014, e un neonato profilo Twitter, @GammaGroupPR, con il nome di “Phineas Fisher”, inizia a twittare proprio su FinFisher e chi lo produce. “Siccome qua a Gamma abbiamo esaurito i governi, apriamo le vendite al pubblico”, esordisce il primo tweet e a seguire arrivano quelli che sembrano essere le brochure, il listino prezzi e vari documenti confidenziali dell’azienda. Il giorno dopo, Phineas Fisher pubblica anche un post sul noto forum Reddit, nella sezione (subreddit) Anarchism, dove dice di aver violato l’azienda anglotedesca e di aver copiato 40GB di dati che si ritrovano anche online a quel punto, scaricabili da chiunque (e poi pubblicati da WikiLeaks). Pochi giorni dopo l’autore pubblica anche una lunga spiegazione in inglese su come avrebbe fatto. La intitola "HackBack, una guida fai da te per chi non ha la pazienza di aspettare i whistleblower" (qui non faròun profilo accurato di Phineas, ma se volete l’ho scritto per Valigia blu).
Nei documenti c’è anche una lista di aziende da cui Gamma comprerebbe gli exploit, i codici di attacco con cui sfruttare specifiche vulnerabilità del software dei dispositivi e infettare i target. In questa lista c’è ad esempio la società francese Vupen che ritroveremo più avanti. Questi documenti daranno un vantaggio a quelli che cercano di analizzare Gamma e il suo spyware, “un vantaggio prima inimmaginabile”, scrive all’epoca la giornalista tech Violet Blue.
FinFisher Gmbh (come si chiama ora l’azienda produttrice dell'omonimo software insieme ad altri partner) continuerà a essere una protagonista del settore fino ad oggi. Nell’ottobre 2020 la stampa tedesca ha riferito di un raid della polizia nella sede della società a Monaco e in Romania, e di una indagine che riguarderebbe il presunto export dei suoi prodotti senza le dovute autorizzazioni.
Ma non c’è solo FinFisher.

La scuola italiana di malware

È il 2003 quando in Italia viene fondata Hacking Team. Raccoglie e raccoglierà negli anni a venire alcuni dei più bravi hacker italiani, specializzati nel reverse engineering (una attività di analisi che permette di risalire al funzionamento di un programma) del malware e in quel ramo della cybersicurezza che viene definita, con un certo understatement e non senza suscitare fastidio nei diretti interessati, offensiva. La parte più tradizionale di penetration testing (una pratica per individuare vulnerabilità di sistemi usata per testare le difese di un’organizzazione) viene presto sopravanzata però da quella che si mette a sviluppare Ornella, il primo nome del futuro prodotto di punta dell’azienda, un trojan, uno spyware, infine chiamato e conosciuto pubblicamente come RCS (Remote Control System). Anche se all’inizio non era così scontato per tutti che Ornella sarebbe diventato il ramo principale dell’azienda. “All’epoca la creazione di un malware era visto come un esperimento difficile”, mi dice oggi un ex dipendente di Hacking Team, chiamiamolo X. “Non era tanto la sua realizzazione il problema, anche perché esistevano altre backdoor, ma la sua scalabilità. Ed è stata questa l’intuizione principale”.

“Allora non c’erano modelli da seguire, non c’erano concorrenti, o meglio se c’erano non ne eravamo a conoscenza”, racconta anche una diversa persona che all’epoca  lavorava lì. A partire dal 2004 arriva il primo cliente istituzionale, la polizia postale italiana, cui seguiranno ROS dei Carabinieri, SCICO della Guardia di Finanza, intelligence, in un regime di quasi monopolio.  “Il discorso era semplice allora, ed era il seguente: ci pagano, è la polizia, e lo usano per prendere terroristi”, commenta ancora X,  il primo dei due ex dipendenti citati. 

Nel 2007 entrano due fondi di venture capital, Innogest e Finlombarda Gestioni Sgr, quest’ultimo controllato da Finlombarda Spa, finanziaria della Regione Lombardia. Il software milanese inizia a trapelare sui giornali in occasione di inchieste giudiziarie importanti. Ma comincia anche ad attrarre l’interesse di governi stranieri, di altri Stati. Parte così l’espansione globale della società, in termini di vendite e clienti, espansione che diventerà dopo alcuni anni anche il suo tallone d’Achille.
Dal 2011 in poi Hacking Team non vola più sotto il radar, anche in virtù di un piccolo ma ostinato stuolo di attivisti, giornalisti e ricercatori di sicurezza. Esordisce Wikileaks nel 2011, includendola nei suoi già citati Spy Files, con una brochure, una presentazione dell’azienda e del suo prodotto.

“La crescita esponenziale delle comunicazioni VoIP cifrate (...) è un incubo per le forze dell’ordine”, si legge nel documento. Il riferimento, all’epoca, è ancora a Skype. “I governi hanno bisogno di capacità difensive e offensive”, afferma la presentazione. Sono proprio gli anni in cui i governi, anche e soprattutto quelli con gravi carenze sul fronte della democrazia e dello stato di diritto, corrono a dotarsi di questi strumenti. Così nell’agosto 2012 un articolo di Slate racconta la storia di un gruppo di giornalisti d’opposizione marocchini, Mamfakinch.com, sorto dalla Primavera Araba, e attaccato da uno spyware sofisticato, che alcuni ricercatori attribuiscono alla casa milanese. Poco dopo esce anche Citizen Lab con un report sul caso marocchino ma anche sul caso di uno spyware inviato a un noto attivista dei diritti umani negli Emirati Arabi Uniti, Ahmed Mansoor. Lo ritroveremo più avanti. Per ora i ricercatori del Citizen Lab sottolineano come “gli attacchi con malware siano un problema crescente per i gruppi che difendono i diritti umani”. E Hacking Team — che in tutte le occasioni ribadisce di vendere il suo software solo a governi per fare indagini su criminali e terroristi, e di non occuparsi direttamente delle investigazioni — diventa a sua volta una osservata speciale. Escono altri studi del Citizen Lab dedicati al malware made in Italy, e nel 2013 la società di via della Moscova riceve dall'organizzazione per la libertà di stampa Reporters Senza Frontiere il titolo di “Nemico di Internet” (insieme a Gamma Group, e altre aziende).

Ma sarà il 6 luglio 2015 a cambiare tutto. Quella notte infatti, lo stesso account Twitter della società italiana pubblicherà all’improvviso un tweet inequivocabile: “Siccome non abbiamo nulla da nascondere, pubblichiamo tutte le nostre email, i file e i codici sorgente”. Quello che sta succedendo è che il profilo social non è più gestito dai responsabili dell’azienda, ma dalla stessa persona o gruppo che, si scoprirà a breve, ha violato i produttori italiani di trojan. Quel tweet è infatti solo la prima goccia di un leak da 400 GB che finirà online, successivamente ripubblicato dalla stessa Wikileaks in modo da permettere a chiunque di fare ricerche nella gigantesca mole di materiali. A rivendicare il leak, e l’attacco informatico che lo ha prodotto, una figura che abbiamo già incontrato: Phineas Fisher, il nome di chi, esattamente un anno prima, aveva attaccato Gamma/FinFisher. Quando la testata Vice scrive un messaggio al profilo Twitter di Hacking Team (in quelle ore in mano al misterioso attaccante), questi “risponde dicendo di essere Phineas Fisher e che lo avrebbe dimostrato. E infatti subito dopo il profilo @GammaGroupPR, che abbiamo visto all’inizio di questa storia, si risveglia e scrive: “HT e Gamma cadute, e altre da far cadere". Il tweet è poi rilanciato dal profilo (violato) di Hacking Team” (ancora una volta per questa storia rimando al mio profilo su Phineas su Valigia Blu).
Sei mesi dopo arriverà, come avvenuto con Gamma, lo spiegone sull’attacco, ovvero Phineas Fisher​​ pubblicherà di nuovo un documento in cui sostiene di essere entrato/a nella rete di Hacking Team con un exploit, un codice con cui sfruttare una data vulnerabilità, attraverso i servizi esposti (come router, Vpn ecc) della società. Una dinamica che verrà anche confermata nel 2017 dagli inquirenti italiani al momento della richiesta di archiviazione dell’indagine sulla violazione di Hacking Team (indagine che alla fine scagionerà del tutto alcuni ex-dipendenti della società, inizialmente sospettati, e inseguirà invece una pista che porta negli Stati Uniti, dove però dovrà infine arrendersi in un nulla di fatto).

Ad ogni modo quel leak produce una quantità di interesse e articoli sulla società milanese, dal momento che i presunti documenti finiti online (mai confermati né smentiti da Hacking Team) aprono il sipario sui suoi presunti contratti, sui Paesi con cui sembra avere relazioni commerciali, sulla rete di contatti che una simile azienda coltiva: venditori di exploit, intermediari, società che fanno da partner in altri Stati, militari, funzionari dell’intelligence. Una cornucopia di informazioni e dettagli sull’industria degli spyware e i suoi dintorni fino a quel momento inimmaginabile. E poi una lunga lista di Stati e servizi di intelligence.

Si è scritto molto di quelle rivelazioni (io stessa ho scritto tantissimo, quindi non starò a ripetermi — alla fine trovate una minima bibliografia per approfondire, e per ora segnalo Attacco ai pirati, l’instant book per La Stampa uscito all’epoca e di cui sono anche coautrice). Qui interessa sottolineare tre punti. Il primo è che quel leak ha sconvolto in primis proprio le forze dell’ordine, le procure, e l’intelligence italiane, che avevano una stretta relazione con la società milanese, e che in quei giorni sono andate nel panico (salvo poi iniziare a cercare nuovi referenti). Il secondo è che la copertura mediatica dell’evento ha rilanciato il dibattito, già esistente da prima, a livello europeo soprattutto, sulla necessità di regolare l’uso e le esportazioni di questi strumenti (ma anche su come regolamentare il loro utilizzo interno nelle nostre indagine giudiziarie). Dibattito che però è avanzato con passetti piccoli, e non decisivi. Il terzo è che il leak ha dato un duro colpo alla società milanese, la quale già prima sembrava attraversare qualche difficoltà; e che dal 2014 aveva iniziato a perdere dipendenti preziosi.

E, sempre in connessione al primo dei punti, la fuga di dati ha evidenziato anche un’ambiguità esistenziale di questo genere di industria, che ritroveremo anche in altre aziende simili. All’inizio del 2015, quando Hacking Team era pressata dall’ONU che voleva far rientrare le sue tecnologie in quelle soggette a embargo e voleva avere informazioni sulle sue attività in Sudan, un consulente della società scriveva al management che la società milanese doveva essere considerata come un venditore di panini. Ma, in altre circostanze, lo stesso management non mancava di sottolineare con i propri referenti nell’intelligence italiana quanto i prodotti e servizi dell’azienda fossero fondamentali per gli interessi dell’Italia. Quello a cui abbiamo assistito (e assistiamo ancora oggi per altre imprese simili di altri Paesi) è dunque una sorta di bipolarismo fra la parte business, da un lato, e quindi l’immagine agnostica che si vuole dare, di essere un’impresa come tante, che esporta eccellenze come si esportano forme di parmigiano; e la parte di stretti legami e appoggi con l’intelligence e gli apparati statali, dall’altro, per cui la sicurezza dell’azienda diventa questione di sicurezza nazionale. E gli interessi dell’azienda sono gli interessi di un Paese.

Nel marzo-aprile 2019 il gruppo InTheCyber (con sede legale a Lugano) ha acquisito l’80 per cento di Hacking Team (la cui composizione societaria nel 2016 era cambiata, i fondi di venture capital erano usciti, l’80 per cento era tornato in mano allo storico amministratore delegato, e il 20 per cento a una società di Cipro, Tablem Limited, i cui proprietari non sono mai stati del tutto chiariti). Così è nata Memento Labs, che ha fatto confluire le attività di cyber intelligence della stessa InTheCyber con quelle della società milanese di spyware. Il nuovo soggetto ha adottato un profilo più basso, anche se ciò non ha impedito alla stampa di occuparsi ancora dell’ex Hacking Team. Nel marzo 2020 Vice raccontava come molti dei vecchi sviluppatori avessero lasciato la nuova società, mentre il nuovo proprietario, Paolo Lezzi, diceva di aver trovato una situazione difficile (inclusi salari spropositati per alcuni dipendenti), e di stare ricostruendo tutto da capo.

Oggi Memento Labs è presente alle principali fiere di settore. Era tra i partecipanti dell’ISS World Middle East del giugno 2021, dove secondo alcuni resoconti avrebbe iniziato a entrare nel mercato delle intercettazioni hardware, in particolare nel settore degli IMSI-catcher, dispositivi usati per monitorare e localizzare i telefoni in un’area geografica, i cui modelli più evoluti promettono di accedere anche a comunicazioni e  dati in transito delle app. Fiera dove presenziavano anche altre italiane del settore sorveglianza/cyber intelligence, come Area, IPS, Cy4gate, RCS (da non confondere col software citato prima). La “scuola italiana” ha prodotto molte realtà in questo campo negli ultimi anni. C’è anche però chi è finito a sua volta al centro di indagini per come venivano raccolti e gestiti i dati delle intercettazioni, come la calabrese Esurv che produceva lo spyware Exodus, utilizzato da molte procure italiane, e la Stm che lo commercializzava. Tutto ciò ha rilanciato, senza risolverlo, anche il dibattito sull’uso interno di questi prodotti.


(FINE PRIMA PARTE)