Guerre di Rete - SPYWARE LTD (PARTE 2)

Edizione speciale della newsletter con un lungo approfondimento a tema trojan di Stato (SECONDA PARTE)

SECONDA PARTE
(La prima parte, con l’indice, si trova nella precedente newsletter. La terza e ultima parte si trova nella newsletter seguente. L’intero Spyware Ltd si può anche leggere o scaricare in versione pdf a questo indirizzo (https://bit.ly/spyware_ltd.)

Lo spyware venuto dall’exploit

All’inizio degli anni Duemila, in Italia, per infettare un indagato con uno spyware “bisognava che il target stesso lo installasse, o che qualcuno andasse a installarlo”, racconta il già citato X, “e non si usavano exploit”.
Ciò significa che si dovevano adottare vari escamotage. “Uno di questi era il tecnico telefonico che doveva riparare un problema creato appositamente, ad esempio la connessione che non andava, e invece era un agente che installava un trojan sul pc”, mi racconta una diversa persona ben informata su come venivano e vengono fatte queste operazioni nel nostro Paese, e che preferisce non essere nominata. “Poi qualche anno dopo si è passati a una fase di intercettazione passiva, in cui si studiavano le abitudini del target, i siti su cui andava, i software che utilizzava, per poi effettuare un attacco di iniezione diretta sul traffico di rete”. Così gli compariva un finto aggiornamento di un software e gli si faceva scaricare il trojan. “Oggi esiste un po’ di tutto — prosegue la fonte — dal trojan con necessità che chi è intercettato clicchi su un link fino a uno zero-day e uno zero-click [uno zero-day o 0-day, cioè una vulnerabilità ancora sconosciuta anche ai produttori di software, e zero-click, un attacco per cui non è neanche necessario che la vittima clicchi su qualcosa, nda]. E ciò vale sia per Android sia per iOS”.

Dunque, ricapitolando, negli anni gli spyware, abbandonati i primi metodi creativi utilizzati per infettare un target, hanno iniziato a sfruttare sempre di più vulnerabilità software, che permettevano di installare il trojan su un dispositivo da remoto. Nella maggior parte dei casi era comunque necessaria una qualche interazione della vittima: il download di un’app, l’apertura di un documento ricevuto via mail, il click su un link. Anche se negli ultimi anni abbiamo visto la diffusione di spyware zero-click, in cui non era richiesta alcuna azione, ma attraverso una catena di vulnerabilità (spesso legate a funzioni e app di messaggistica e comunicazione, come iMessage, FaceTime, WhatsApp)  il malware si installava silenziosamente.
Questo è stato reso possibile anche da un’evoluzione del mercato di vulnerabilità ed exploit, cui l’industria degli spyware è legata — anche se non in modo esclusivo, e anzi, a detta di molti osservatori, a spingere il mercato degli attacchi informatici sono stati in primis gli Stati, come raccontato ad esempio nel recente libro This Is How They Tell Me the World Ends, di Nicole Perlroth, ma anche in numerosi reportage giornalistici precedenti.
“In realtà la sicurezza dei nostri dispositivi non è affatto peggiorata, e i nostri telefoni sono oggi molto più robusti (specie quelli che montano Android). Certo resta una disparità tra chi fa difesa, e deve rendere un dispositivo impermeabile anche quando è in mano all’utente, e l’aggressore che deve solo trovare una via giusta”, mi dice Stefano Zanero, professore di sicurezza informatica al Politecnico di Milano, e membro del board della conferenza internazionale Black Hat. “Il punto è che abbiamo assistito a una industrializzazione degli attacchi, e quello che prima era un settore più sottotraccia è stato sdoganato”.

Non è questo il luogo per fare la storia dell’evoluzione di questo specifico settore, che è molto più complesso, sfaccettato e pieno di sfumature rispetto a quello degli spyware. Ma qualche riferimento è necessario, anche per capire il retroterra in cui l’industria dei trojan è prosperata. Di sicuro la relazione tra società di spyware e società di exploit esiste, anche se, mi dice un’altra persona che ha lavorato proprio in questo mercato ai suoi albori (e che preferisce non essere nominata), “chi ricerca la vulnerabilità e scrive l'exploit, e l'azienda che fa e vende lo spyware sono due cose diverse. Probabile che già ai miei tempi (metà anni Duemila) tra i nostri clienti ci fossero aziende di spyware ma personalmente non ci ho mai avuto a che fare”.
Tra le prime società strutturate, tra i primi a immaginare di plasmare un mercato dal magma di bollettini online, forum, segnalazioni gratuite, mercati neri e contrattazioni private, è l’azienda americana iDefense, che “diventa una delle prime ad aprire pubblicamente le porte agli hacker e a pagarli per vulnerabilità zeroday”, scrive Perlroth. Siamo nel 2003. Il sistema si basa ancora sul segnalare la vulnerabilità a una lista di iscritti. Tra i suoi clienti ci sono banche e agenzie federali. Ma dopo poco iDefense inizia a ricevere chiamate da contractor che dicono di lavorare per il governo, pronti a pagare molto di più, a patto di ricevere il bug in esclusiva e in segreto.
Iniziano ad aumentare i concorrenti. Nel 2005 nasce Digital Armaments, che offre ricche ricompense per vulnerabilità nei sistemi Microsoft, Oracle, VMware; richiede “diritti esclusivi” e dice di essere pronta a notificare i bug ai vendor, i produttori di software, “alla fine”.
Negli Usa i grandi contractor della Difesa — Lockheed Martin, Raytheon, BAE Systems, Northrop Grumman, Boeing — cominciano a rivolgersi ai broker e ad aziende che sviluppano exploit, mentre la richiesta governativa di questi strumenti aumenta, e il costo degli stessi — come il numero di venditori che li trafficano — raddoppia ogni anno, sostiene Perlroth. 

“Siccome gli zero day possono essere usati sia per difendere un sistema che per attaccarlo — scriveva già qualche anno fa Kim Zetter in Countdown to Zeroday — molte società nascondono il lavoro offensivo dietro la copertura di quello difensivo. Aziende americane come Endgame Systems, Raytheon, Norhtrop Grumman, SAIC, Booz Hallen Hamilton e Lockheed Martin sono tutte nella partita exploit a vari livelli”.
Ma anche in Europa ci sono i primi tentativi di creare un mercato ad hoc e alla luce del sole. Nell’estate 2007 in Svizzera, fondata da un italiano, Roberto Preatoni, nasce WabiSabiLabi, che intende vendere vulnerabilità al miglior offerente. “Chiaramente consapevole che questo è destinato a essere un modello di business controverso — scrive all’epoca Ars Technica — WabiSabiLabi obietta che il suo lavoro sarebbe etico perché compensa più equamente i ricercatori di sicurezza per il loro tempo e sforzo”, dal momento che molti di questi segnalano bug senza ricevere alcun premio. La società sostiene anche di verificare i venditori e i compratori (non è accettato l’anonimato), così come le informazioni oggetto di contrattazione. Chi vince l’asta riceve le info sull’exploit e anche un proof of concept [un dimostrazione di fattibilità dell’attacco teorico, una prova del suo funzionamento, nda]. “Non esistono vulnerabilità zero day. Esiste la ricerca di sicurezza”, dicevano le FAQ di WabiSabiLabi. La sua avventura però finisce dopo alcuni mesi. “Eravamo in anticipo sui tempi”, aveva dichiarato il fondatore, che nel mentre era anche stato arrestato delle autorità italiane non per la sua attività col mercato degli exploit ma per una vicenda precedente, le indagini sui dossier illeciti di Telecom (successivamente sarà assolto con prescrizione). 

È un settore non proprio noioso. E malgrado gli sforzi di segretezza e le grandi capacità tecniche dei suoi protagonisti, paradossalmente emergono informazioni proprio a causa di fughe di dati e attacchi informatici. E così ad esempio che si viene a sapere qualcosa di più sulla già citata Endgame Systems. Fondata nel 2008 in Georgia, Stati Uniti, dopo due anni aveva già raccolto 30 milioni di dollari in venture capital, seguiti da altri 23 nel round successivo. Nel board aziendale anche il direttore esecutivo di In-Q-Tel, la società di venture capital della CIA. Nel 2011 il Ceo di Endgame Christopher Rouland dichiarava a un giornale locale che i ricavi più che raddoppiavano ogni anno. Ma proprio nel 2011 Anonymous, il movimento di hacktivisti, all’epoca in piena espansione e diviso in vari gruppi e costole, viola i server di un’altra società, HBGary Federal, scaricando e mettendo online le email aziendali. Incluse quelle scambiate con la dirigenza di Endgame. In queste missive la società discuteva del suo lavoro sugli exploit, e dei suoi sforzi di mantenere tale attività in ombra (vanificati dall’incursione in HBGary per cui successivamente saranno condannati alcuni hacktivisti). Dunque pubblicamente Endgame diceva di vendere protezioni contro virus e botnet, ma privatamente vendeva pacchetti di exploit. 

Sempre nel 2008, tornando di nuovo in Europa, nasce un’altra società, a Montpellier, di cui si sentirà parlare spesso: Vupen. Inizialmente nata per servizi difensivi, dal 2010 vende exploit a pieno regime, ufficialmente a intelligence e governi. Dopo la scoperta di Stuxnet, inizia a ricevere più richieste per sistemi di controllo industriale. Nel 2011 incassa 1,2 milioni di dollari di ricavi, il 90 per cento al di fuori della Francia. E sempre nel 2011 finisce sugli Spy Files di Wikileaks una sua brochure: qui si legge che Vupen offre un sistema di crediti da cui gli iscritti possono scalare punti ogni volta che sono interessati a un determinato exploit. Questi si dividono in 4 categorie, ognuna vale dei crediti diversi. Nel 2013 la società apre un ufficio negli USA. Del resto, proprio quell’anno verrà fuori (da una richiesta di accesso agli atti) che la NSA comprava anche dai francesi.

Ma è il leak di Hacking Team — ancora una volta, un leak — che mostra altri dettagli sulla boutique di attacchi fondata dal francese di origine algerina Chaouki Bekrar. Ad esempio che vendeva non solo a governi, ma anche a società private, come appunto quella italiana di spyware. Anche se la relazione fra Hacking Team e Vupen non era delle migliori: gli italiani ritenevano che i francesi rifilassero loro gli exploit meno pregiati o addirittura di seconda mano, per così dire; insomma, roba vecchia, e non propriamente degli zero-day.

Nel leak sono presenti anche altri venditori singoli e aziende che sviluppano/commerciano exploit, e in particolare spicca l’americana Netragard, che all’epoca aveva la policy di non vendere fuori dagli Usa. In effetti la relazione con Hacking Team passò inizialmente attraverso un intermediario, Cicom USA, per poi diventare diretta. Dopo la fuga di dati, il Ceo di Netragard Adriel Desautels dichiarò che avrebbe chiuso il suo programma di acquisizione di exploit anche per ragioni etiche. “Gli 0-days non sono niente altro che strumenti utili che quando sono nelle mani giuste possono fare del bene”, scrisse nel suo sito, aggiungendo che sarebbe servita una cornice legale per rendere i compratori finali responsabili dell’uso di questa tecnologia. E che tale regolamentazione non avrebbe dovuto colpire gli zero-days ma solo chi li comprava e utilizzava. “Vulnerabilità ed exploit sono codice, il codice è speech [discorso, libertà di parola, nda], per cui regolarne le transazioni è una china pericolosissima”, commenta oggi Zanero al riguardo. “Ritengo invece si possa intervenire su quelli che vendono framework per fare exploitation [strumenti per l’esecuzione di exploit, nda] ma anche lì... come distingui i clienti?”

Di sicuro i ripensamenti alla Desautels non sono frequenti in questo mondo, e anzi da quel momento in molti hanno iniziato a giocare a carte scoperte, e il mercato è esploso. “Pensa alla differenza su come venne accolta all’epoca WabiSabiLabi, che faceva un millesimo di quello che fa oggi una Zerodium [vedi sotto, nda], e di come sono cambiati i tempi”, commenta ancora Zanero. Nel 2016 — mentre Ahmed Mansoor diventava il dissidente da un milione di dollari, come vedremo a breve — Apple lanciava il suo primo programma di bug bounty, offrendo ricompense fino a 200mila dollari per la compromissione del suo software o hardware, e una società texana del settore exploit, Exodus Intelligence, rilanciava con un suo programma per ricevere vulnerabilità in cui pagava più del doppio di Apple.

Chi è sempre apparso poco preoccupato della cattiva pubblicità, e semmai pronto a cavalcarla è anche il già citato Chaouki Bekrar, alla guida di Vupen. L’auto-proclamato “lupo di Vuln Street” (Vuln come vulnerabilità) nel luglio 2015 — mentre dilagavano informazioni inedite su tutto il settore in seguito alla violazione di Hacking Team —  creava Zerodium, una piattaforma di brokeraggio con sede negli Usa che fece subito parlare di sé, mettendo tre taglie da 1 milione di dollari l’una sull’ultimo sistema operativo dell’iPhone. Da allora il prezzario a colori di Zerodium, pubblicato online, è diventato l’esemplificazione pacchiana di un mercato in crescita, legale, e sempre più scoperto, che affianca e rimescola i mercati grigi e neri (come raccontavo in questo reportage anni fa), e che scavalca le piattaforme di segnalazioni di vulnerabilità alle aziende. Ma nel contempo, malgrado tutto, ancora fortemente opaco e senza regole. Così accanto alle boutique che mantengono un profilo ultra-discreto come la società ReVuln, fondata da due italiani, ma registrata a Malta, Belize e Hong Kong, ci sono nuove realtà emergenti, che hanno lanciato una piattaforma di brokeraggio, come Crowdfense, sede negli Emirati, direttore italiano, forte presenza alle fiere di settore della cyber intelligence e sorveglianza, come la già citata ISS.

NSO e il suo (Zero)-Day After

Dell’azienda israeliana NSO Group chi si occupava di spyware aveva sentito parlare già nel 2015, quanto meno come una concorrente in ascesa rispetto alle consolidate Gamma/Hacking Team, per altro mentre entrambe navigavano acque difficili. Ma il suo ingresso sulla ribalta mediatica avverrà nell’agosto 2016, con una vicenda impossibile da ignorare. È in questo periodo che Ahmed Mansoor — noto attivista dei diritti umani degli Emirati Arabi Uniti, da tempo soggetto a vari tentativi di sorveglianza, anche con spyware — riceve sul suo iPhone due sms che parlano di detenuti torturati, e un link. L’uomo, ormai divenuto esperto dopo anni di attacchi informatici, gira i messaggi a Citizen Lab con cui è già in contatto. I ricercatori, insieme a un’altra società di sicurezza informatica, Lookout Security, scoprono che il link porta a una catena di tre exploit zero-days, cioè di codici di attacco molto pregiati perché sfruttano vulnerabilità del software ancora sconosciute. Così mentre Apple, avvisata, fa partire un aggiornamento globale per chiudere le vulnerabilità, esce un rapporto di grande impatto. S’intitola: “Il dissidente da un milione di dollari. Gli zero-day per iPhone di NSO Group usati contro un difensore dei diritti umani negli Emirati”.

La notizia è una sferzata per due motivi. Il primo era che si trattava almeno del terzo spyware ricevuto da Mansoor (quanto meno secondo l’analisi di Citizen Lab). Un triste e allucinante primato. Il primo spyware gli era stato inviato nel marzo 2011 con un finto pdf; e ricercatori di Citizen Lab allora l’avevano attribuito all’azienda Gamma/FinFisher; il secondo spyware lo aveva ricevuto nel luglio 2012 attraverso un documento Word. Sempre secondo i ricercatori del centro canadese, sarebbe stato prodotto dall’azienda italiana Hacking Team. Le due società hanno sempre ribadito di vendere solo a governi e forze dell’ordine per fare indagini su criminali, all’interno delle regole internazionali vigenti, e di non avere conoscenza dell’utilizzo finale, evitando di commentare singoli episodi.
Sta di fatto che ora Mansoor — che era stato oggetto anche di premi internazionali —  si era ritrovato sul telefono l’ennesimo tentativo di infezione con un trojan sofisticato e “governativo”. Non solo: uno spyware che aveva la strada spianata sugli iPhone (fino allora considerati gli smartphone più sicuri) grazie a tre vulnerabilità sconosciute e quindi molto costose.
“I ricercatori di Citizen Lab ritengono che sia la prima volta che un attacco di questo tipo, con jailbreak [un processo che rimuove alcune restrizioni software nei dispositivi iOS, nda] da remoto, su un iPhone sia stato scoperto nel mondo reale come parte di una campagna mirata. Inoltre hanno ricondotto il malware e i link a una infrastruttura di server e a una suite di software spia di nome Pegasus connesse a NSO Group, un’azienda di origine israeliana, acquisita nel 2014 da una società di private equity americana, Francisco Partners Management (...). La portata e il costo dell’attacco, il coinvolgimento di NSO che venderebbe solo a Stati e il tipo di vittima fanno concludere ai ricercatori che dietro l’azione ci possa essere il governo degli Emirati Arabi Uniti”, scrivevo allora su La Stampa. Ma tutti i media mondiali si buttarono su questa storia. E su quella società fino a quel momento poco conosciuta.

Mansoor è stato poi arrestato nel 2017 dalle autorità degli Emirati, condannato a dieci anni nel 2018, e da allora le sue condizioni di salute si sono deteriorate mentre ancora oggi si trova in isolamento in una cella, malgrado vari appelli internazionali. Dal suo canto, Citizen Lab ha continuato a tenere NSO sotto la lente. A partire dal 2017 ha pubblicato una serie di analisi su varie operazioni di spionaggio condotte in Messico contro sostenitori di una tassa sulle bevande zuccherate, contro giornalisti, avvocati, politici, gruppi anticorruzione. I target avevano ricevuto degli sms, che li spingevano a cliccare su un link. “In alcuni casi simulavano di essere notifiche relative alle bollette telefoniche o alla carta di credito; alert sulla scomparsa di bambini; messaggi dall’ambasciata americana del Paese che segnalava problemi con il visto; notizie di interesse; e perfino segnalazioni inviate apparentemente da conoscenti che avvisavano le vittime di possibili minacce sotto casa. Una volta cliccato sul link del messaggio, il telefono visitava un server che verificava il tipo di dispositivo utilizzato (se iPhone o Android) e poi inviava allo stesso un exploit, un codice di attacco che sfruttava una vulnerabilità del sistema operativo”. Il Messico sembra avere un problema endemico con l’abuso degli spyware, e nelle analisi citate Citizen Lab ritiene che il trojan utilizzato sia proprio Pegasus, il prodotto di NSO Group.
Oggi Ronald Deibert, direttore di Citizen Lab, nel suo recente libro Reset: Reclaiming the Internet for Civil Society, così descrive come lavorarono per tracciare quello specifico spyware, dopo il caso Mansoor. “Abbiamo fatto un reverse-engineering di Pegasus e abbiamo cominciato a fare scansioni e un monitoraggio della rete alla ricerca dell'infrastruttura di NSO e dei suoi clienti governativi. (...) Il monitoraggio ha funzionato. Tra 2017 e 2018 abbiamo lavorato assieme a gruppi d’inchiesta sui diritti umani in Messico come SocialTIC e R3D per seguire le piste tecniche del nostro scanning della rete e identificare casi di abusi” nel Paese.

Ma la pubblicità maggiore arriverà quando scenderà in campo un’altra azienda tech, un colosso, anziil colosso della messaggistica cifrata, nonchè parte di Facebook: Whatsapp. Nel maggio 2019 infatti WhatsApp annuncia di aver individuato e bloccato un attacco che sfruttava una vulnerabilità zero-day della sua funzione di videochiamata, vulnerabilità con cui il dispositivo veniva infettato da uno spyware. Attraverso la chiamata gli attaccanti trasmettevano di nascosto un codice malevolo. Non era necessario che la persona rispondesse alla chiamata. A volte le chiamate nemmeno rimanevano nel registro.
Tra i target c’è almeno un avvocato che lavora per la difesa dei diritti umani in Gran Bretagna, riferiscono i ricercatori di Citizen Lab. In particolare, si tratta del legale che aveva aiutato un gruppo di giornalisti e attivisti messicani, un cittadino del Qatar, e un dissidente saudita residente in Canada a fare causa, qualche mese prima, a NSO, sostenendo che l'azienda fosse corresponsabile degli abusi commessi dai suoi clienti.

Il dissidente saudita rifugiato in Nord America è Omar Abdulaziz, vicino a Jamal Khashoggi (il giornalista ucciso brutalmente dai sauditi nel loro consolato in Turchia il 2 ottobre 2018). Su questa storia ci torniamo tra poco, ma intanto vale la pena ricordare che qualche mese dopo questa notizia, Whatsapp deciderà di fare causa a NSO Group. Secondo l’azione legale promossa dalla società di messaggistica, la società di spyware avrebbe costruito una piattaforma di hacking che sfruttava una vulnerabilità della funzionalità VoIP di WhatsApp per aiutare i clienti a violare i cellulari di almeno 1400 utenti, tra aprile e maggio 2019. Gli attaccanti avrebbero usato server e servizi di hosting già associati a NSO, nonché account WhatsApp, sostiene la denuncia. Il colosso di messaggistica ritiene che quegli attacchi siano un abuso della sua rete; e vuole un’ingiunzione per impedire alla società israeliana di accedere alla sua piattaforma. La società israeliana nei mesi successivi ha sostenuto di essere immune da una eventuale azione giudiziaria perché avrebbe lavorato per governi stranieri. WhatsApp/Facebook hanno controbattuto che NSO non avrebbe mostrato prove di questo ingaggio, e che comunque non ci sarebbero leggi che garantiscono immunità a contractor che agiscono in nome di un governo. La causa è ancora in corso.

Il fatto è che in quella vicenda WhatsApp avrebbe individuato, fra i target presi di mira, almeno 100 attivisti dei diritti umani, giornalisti e membri della società civile in tutto il mondo, dagli USA agli Emirati, dal Bahrein al Messico, dal Pakistan all’India. Persone come Faustin Rukundo, oppositore del governo in Rwanda, ma residente a Leeds (UK). Secondo Reuters, però, una porzione “significativa” di vittime erano anche funzionari governativi e militari di alto profilo, sparsi per 20 Paesi, incluse nazioni alleate agli Usa. Uno scenario che apriva la possibilità che alcuni clienti della società di spyware avessero usato i suoi servizi non per fare indagini interne, ma per operazioni di spionaggio.
“Dopo che WhatsApp ha rilasciato la patch [la correzione della vulnerabilità, nda] e bloccato l’attacco, Citizen Lab si è offerto volontario per identificare i target”, scrive oggi Deibert nel suo libro. “Whatsapp ha condiviso con noi un migliaio di numeri di telefono, che riflettevano il periodo di due settimane di attacco su cui avevano i dati. Dopo mesi di indagini, il nostro team di ricerca ha identificato più di cento individui in 20 Paesi, che non erano né terroristi né criminali ma giornalisti, avvocati, attivisti per i diritti umani, e figure di opposizione, i cui telefoni erano stati compromessi in questo modo”.
Tra le vittime individuate dai ricercatori c’è il già citato Faustin Rukundo, scappato dal Rwanda. Il suo nome, scrive Deibert, “stava su una lista in circolazione di nemici del governo del Rwanda sotto il titolo ‘Quelli che devono essere ammazzati subito’”. 

Mosche e api

Ma prima ancora che uscisse questa storia, il Citizen Lab era al lavoro su un’altra vicenda, su una pista saudita, che vedeva coinvolto proprio Omar Abdulaziz, e di rimando Jamal Khashoggi. Qui ci sono alcune informazioni interessanti e inedite che provengono dal libro di Deibert. Mentre i sauditi si prodigavano in sforzi per sorvegliare dissidenti all’estero, “noi, a nostra volta, sorvegliavamo loro”, scrive il direttore del Citizen Lab in un colpo di scena. In pratica il team di ricerca aveva messo assieme un elaborato metodo di monitoraggio del traffico generato dai dispositivi per documentare l'infrastruttura di NSO Group e “avevamo (all’insaputa dell'azienda e dei suoi clienti) un mirino in tempo reale sul numero di apparecchi infetti nel mondo, così come dei possibili governi che li operavano. E nell’estate 2018 potevamo osservare che qualcuno a Montreal aveva avuto il suo telefono violato da sauditi attraverso Pegasus, ma non sapevamo chi fosse”. A quel punto Citizen Lab si mette alla ricerca di una lista di dissidenti sauditi residenti in Canada, e inizia a bussare alla loro porta, uno ad uno. Finché non trovano Omar Abdulaziz, e controllano i messaggi sms ricevuti, confermando che si trattava di lui.

Ma chi è Omar Abdulaziz? Uno studente saudita in Canada, che a un certo punto, nel 2014, riceve asilo dalle autorità locali perché il suo Paese d’origine gli revoca la borsa di studio a causa delle sue critiche pubbliche. Il giovane ha infatti un canale satirico su YouTube e un profilo Twitter, entrambi molto seguiti, tanto da essere identificato come uno dei tre influencer dissidenti più importanti nel rapporto di una società di consulenza. Non solo. È anche in contatto con Jamal Khashoggi, altro saudita in esilio ben più visibile di lui, noto giornalista, firma del Washington Post, ultimamente sempre più critico del principe ereditario Mohammed bin Salman, noto come MbS. Anzi, i due esiliati iniziano a progettare assieme alcune azioni di contrasto alla propaganda di Ryad sui social media. Una di queste era il progetto Electronic Bees (api elettroniche), il cui obiettivo era organizzare un ampio numero di attivisti e dissidenti sauditi su Twitter, per rispondere direttamente alle attività dei troll e degli operatori del regime. Ma i sauditi erano venuti a conoscenza di questi progetti in tempo reale dal telefono di Abdulaziz, sostiene lo stesso in una causa contro NSO (di cui avevo scritto a suo tempo nella newsletter Guerre di Rete).

Infatti nel giugno 2018 Abdulaziz riceve una finta notifica di un corriere DHL, poche ore dopo aver fatto un acquisto su Amazon. Clicca sul link e senza saperlo permette all’intelligence saudita di acquisire un controllo pressochè totale del suo telefono. “Per settimane — scrive Deibert — agenti sauditi hanno risucchiato e analizzato tutto quello che Omar comunicava, incluse le sue regolari interazioni con Khashoggi. Hanno ascoltato Omar e Khashoggi disprezzare il regime, e lo stesso MbS. ‘Più vittime divora, più ne vuole’, aveva scritto Khashoggi su WhatsApp, riferendosi a MbS, che definiva anche ‘la bestia’. Hanno monitorato i loro piani per contrastare il ‘Signore delle Mosche’ [la propaganda saudita sui social, nda] con quello che chiamavano ‘un esercito di api’. Khashoggi si era anche offerto di finanziare il progetto, trasferendo migliaia di dollari a Omar per sviluppare la campagna. Agli occhi dei despoti sauditi, tali piani equivalgono a tradimento punito con la morte”, conclude Deibert. Quando Adbulaziz scopre, da Citizen Lab, di aver avuto il telefono spiato, lo comunica a Khashoggi. Lui gli risponde su WhatsApp: “Che Dio ci aiuti”.

Abdulaziz non è l’unico a essere inseguito da spyware sauditi quell’estate. Anche un ricercatore di Amnesty International ne riceve uno. Secondo l’analisi fatta dall’Ong per i diritti umani, si tratterebbe di Pegasus. A riceverlo anche un dissidente saudita (si scoprirà poi essere Yahya Assiri, un ex ufficiale dell’aeronautica saudita divenuto difensore dei diritti umani all’estero). Citizen Lab, chiamato ad analizzare il caso a sua volta, ritiene valida l’analisi ed esce con un articolo. È il primo agosto 2018. Ma non è finita, ancora. Il primo ottobre 2018 Citizen Lab pubblica un nuovo report, dove spiega come avrebbe individuato uno spyware, che ritiene sia prodotto da NSO, e inviato dal governo saudita sul telefono di Omar Abdulaziz. Il giorno dopo Jamal Khashoggi entra nel consolato saudita di Istanbul al fine di ottenere dei documenti per sposare la fidanzata. Non ne uscirà mai.
“Come molti altri i cui account sono stati compromessi, con conseguenze dolorose per le loro comunità di riferimento, Omar [Abdulaziz] ha sofferto sia un trauma che sensi di colpa per quanto accaduto ad altri, come Khashoggi”, scrive Deibert nel suo libro. E così prosegue: “Sebbene sia impossibile dirlo con sicurezza, la sorveglianza che abbiamo svelato su Omar Abdulaziz potrebbe essere stata uno dei fattori decisivi nella decisione di uccidere Jamal Khashoggi”.

Progetto Pegasus  

A metà luglio 2021 il torpore mediatico estivo e pandemico viene scosso da un grosso progetto internazionale. Una collaborazione fra 17 testate globali — inclusi Guardian, Le Monde, Washington Post — coordinate dalla nota no profit francese Forbidden Stories, specializzata nell’organizzare grandi inchieste internazionali, e con la collaborazione tecnica del Security Lab di Amnesty International (a sua volta validata dall’esterno dal Citizen Lab), esce con uno scoop composto da una serie di storie a cascata. Il fulcro delle storie è l’utilizzo dello spyware Pegasus da parte di diversi governi. Secondo l’inchiesta internazionale, Pegasus sarebbe stato utilizzato contro 180 giornalisti, e poi avvocati, politici, attivisti. Ci sono nomi, facce, storie, raccontate in dettaglio dalle testate dei diversi Paesi. A fare notizia è l’entità della denuncia, in questo caso, e anche la copertura geografica. Gli Stati sospettati di aver abusato dello spyware sono più di una decina, e includono Azerbaigian, Bahrein, Kazakistan, Messico, Marocco, Rwanda, Arabia Saudita, Togo, Emirati, India e Ungheria.

Gi attacchi coprirebbero un periodo che va dal 2014 al 2021, e i più recenti sfrutterebbero un attacco zero-click (per cui non è richiesta alcuna azione, alcun clic o altro da parte del target) capace di violare anche un iPhone 12 con iOS 14.6. Alla base dell’inchiesta internazionale, anche in questo caso così come abbiamo visto spesso in passato, c’è proprio un leak, una fuga di dati da o sull’azienda interessata (o, presunto tale, visto che NSO nega ci sia stato alcun leak di suoi dati e non concorda con l’interpretazione della lista data dal consorzio). Sta di fatto che Forbidden Stories e Amnesty avrebbero costruito le loro analisi a partire da questo presunto leak (la cui fonte non è stata rivelata) di una lista di oltre 50mila numeri di telefono. Questi numeri sarebbero, ritiene il consorzio giornalistico, di soggetti di interesse per i clienti di NSO Group, insomma una lista di possibili, potenziali target. Ma essere sulla lista non vuol dire avere avuto il telefono compromesso, né aver mai ricevuto per forza un tentativo di compromissione. Il Security Lab di Amnesty (guidato dal ricercatore di sicurezza Claudio Guarnieri) è riuscito a effettuare un’analisi forense su 67 di questi telefoni, e su 37 ha confermato la presenza di tracce dell’attività di Pegasus. Inoltre il consorzio è riuscito a identificare i proprietari di oltre mille numeri (tutte queste sfaccettature sono spiegate forse al meglio da OCCRP, una delle testate coinvolte).

Non mi soffermo qua su tutte le vicende emerse dal progetto Pegasus: è storia recente, ampiamente seguita dai media, e in italiano potete ad esempio leggere questo approfondimento di Valigia Blu. Ricordo solo, per riallacciare alcuni fili, che per il Washington Post ci sarebbero le prove dell’invio di Pegasus anche sul telefono della moglie di Khashoggi, Hanan Etral, sei mesi prima del suo assassinio. E che invece lo smartphone della fidanzata del giornalista, Hatice Cengiz, sarebbe stato violato pochi giorni dopo l’omicidio, seconda una analisi forense dello stesso. 

Ma anche che un giornalista messicano, Cecilio Pineda Birto, avrebbe avuto il suo numero inserito in questa lista poco prima della sua uccisione nel 2017. Che la giornalista azera Sevinc Vaqifqizi, che già aveva ricevuto minacce per il suo lavoro, ha avuto il suo telefono infetto per due anni, secondo il Security Lab di Amnesty che l’ha analizzato. Che 40 giornalisti in India erano presenti nella lista come “potenziali target”. E altri 34 in Marocco. Che le analisi forensi sui telefoni hanno dimostrato come Siddharth Varadarajan e MK Venu, cofondatori della testata online indiana indipendente The Wire, avrebbero avuto il dispositivo sorvegliato fino al 2021. 

“Non abbiamo e non abbiamo mai avuto alcuna connessione con la lista”, ha dichiarato Shalev Hulio, cofondatore e CEO di NSO Group, “e se verrà fuori che un cliente ha abusato del nostro sistema per spiare giornalisti o attivisti dei diritti umani interromperemo subito il servizio”. Per Hulio, dietro al progetto Pegasus ci sarebbe una campagna orchestrata contro Israele e le sue aziende, e ipotizza soggetti come il Qatar o BDS, il movimento pro-palestinese per l’adozione di misure di boicottaggio, disinvestimento e sanzioni ecomomiche contro Israele. “Non voglio sembrare cinico, ma ci sono persone che non vogliono far importare gelati in Israele o vedere le nostre tecnologie esportate”.
Vale la pena notare che, quando anni prima sono usciti report, articoli e leak che mettevano sulla graticola aziende anglotedesche (Gamma) e italiane (Hacking Team), giravano accuse simili. Anche se allora i presunti manovratori sarebbero stati altri. Per altro quel riferimento ai gelati ricorda molto i panini di Hacking Team, ovvero ancora una volta viene avanzata la tesi che gli spyware siano un prodotto come un altro, esportabile come un altro, e non parte di un “complesso di cybersorveglianza industriale” strettamente connesso all’intelligence del Paese dove l’azienda è nata, risiede e prospera.

Non a caso, secondo la testata israeliana Haaretz, la commercializzazione di Pegasus all’estero appare collegata alla diplomazia del governo Netanyahu. “I Paesi in cui i giornalisti sono stati presi di mira attraverso la tecnologia NSO come rivelato dal progetto Pegasus - scrive il giornale - sono Arabia Saudita, Ungheria, Azerbaigian, EAU, Rwanda, Marocco, India e Messico. Questa lista suona un campanello per chiunque segua le notizie in Israele, perché rispecchia la lista di Paesi con cui Israele ha migliorato le proprie relazioni diplomatiche negli ultimi anni, sotto il primo ministro Benjamin Netanyahu”. Haaretz prosegue con una serie di esempi, e rincara la dose: “L’altro comune denominatore dei Paesi nominati nel progetto Pegasus è che Israele ha, verso gli stessi, un consolidato interesse geopolitico”.
Di sicuro, le commercializzazione dello spyware fuori dai confini nazionali non è avvenuta all'insaputa del governo. Per vendere all’estero una società come NSO ha bisogno “di tre livelli di approvazione dal governo: quando entra in una negoziazione, quando la conclude e quando vende. Ma il ministero della Difesa ha approvato richieste senza freni. La posizione del governo israeliano è stata di vendere vendere vendere quanto puoi”, ha commentato in un podcast di Haaretz il giornalista Yossi Melman. 

Cosa sappiamo di NSO Group? 

È  stata fondata nel 2009 da tre israeliani, Niv Carmi, Shalev Hulio e Omri Lavie (da cui il nome NSO, anche se Niv Carmi è poi uscito) ed è composta da un alto tasso di ex membri dell’intelligence o dell’esercito. I suoi stessi fondatori provengono dall’Unit 8200, il ramo dell’intelligence israeliana che conduce sorveglianza elettronica, analogo alla statunitense NSA.
NSO Group nel 2018 fatturava 250 milioni di dollari, sei volte tanto rispetto al 2014, quando fu comprata dalla società americana di private equity Francisco Partners. Nel 2019 i fondatori e il management team si sono ricomprati l'azienda, col supporto della società europea di private equity Novalpina. Per Times of Israel l’accordo avrebbe valutato la società un miliardo di dollari.

Secondo varie fonti, NSO sarebbe collegata ad altre società, come Circles (specializzata anch’essa in sorveglianza, e nello specifico nella localizzazione di telefoni) e la lussemburghese OSY Technologies, in una complessa ramificazione societaria con importanti basi d’appoggio tra Bulgaria e Cipro. Si tratta di due Paesi che hanno il vantaggio di essere parte dell’Unione europea, e che offrono alcuni benefit a livello regolamentare e commerciale. Come spiega un addetto ai lavori ad Hareetz, “Cipro è certamente uno dei Paesi preferiti [da questo genere di industria, nda]. Alcuni Stati non vogliono lavorare con aziende israeliane e insistono di voler trattare con società europee, quindi ti serve una società apposta per vincere le gare. In molti casi, se vuoi vendere nella Ue, e di sicuro nei Paesi del Golfo, hai bisogno di una società non israeliana”. In ultima analisi la licenza dei prodotti NSO è regolata dalle autorità di tre diversi Paesi da cui esporta: Bulgaria, Cipro e Israele, dove ha il suo quartier generale. Qui, come scritto in precedenza, è il ministero della Difesa, che gestisce l’agenzia di controllo sulle esportazioni, ad avere voce voce in capitolo sulla concessione di licenze per l’export a società di prodotti di sorveglianza.

A tentare di seguire la ramificazione aziendale prima citata ci ha provato un report di 3 Ong uscito qualche tempo fa. Il report e le relative permutazioni societarie (che trovate minutamente descritte nello stesso) sono impossibili da riassumere. Ma proprio per tale motivo mostrano la traiettoria evolutiva di questo genere di industria e la difficoltà per chiunque voglia monitorarla e obbligarla a una maggiore trasparenza e responsabilità. “La struttura corporate di NSO Group, alimentata dagli investimenti globali e plasmata dalle priorità strategiche di società di private equity e governi, è cresciuta fino a inglobare multiple giurisdizioni nel mondo, incluse le Isole Vergini britanniche, la Bulgaria, le isole Cayman, Cipro, Israele, il Lussemburgo, la Gran Bretagna e gli Stati Uniti”, scrivono nelle conclusioni gli autori. “Le entità di NSO Group hanno ottenuto licenze per l’export da Israele, Bulgaria e Cipro. Attraverso molteplici livelli di holding e il fondo di private equity Novalpina Capital, NSO Group conta attualmente investitori individuali e istituzionali, tra cui due fondi pubblici in Gran Bretagna e due negli Usa. In definitiva, la struttura corporate della società di sorveglianza NSO ha facilitato la crescita e l’accettazione di questa compagnia e in generale del settore ‘dell’intrusione come servizio’, legando i rendimenti degli investitori all’espansione della vendita della sorveglianza”.

Anche per questo non è un caso che tra le innumerevoli reazioni al progetto Pegasus, ci sia una lettera firmata da molte Ong e associazioni per i diritti umani di vari Paesi, e da vari esperti indipendenti, che chiede agli Stati di adottare una moratoria sulla vendita, trasferimento e uso di simili tecnologie. Ma anche altri provvedimenti e una nuova cornice legale per obbligare le aziende a essere più trasparenti sui loro prodotti e clienti, e per renderle responsabili in caso di impatto negativo sui diritti umani, coinvolgendo anche la filiera e la catena di intermediari, sussidiarie, holding.

(FINE SECONDA PARTE)