«Posso garantirvi l’accesso all’account email e ai dispositivi della persona di vostro interesse, in qualsiasi parte del mondo». L’offerta arriva da Aditya Jain, programmatore di base in India nella città di Gurugram ed è indirizzata a due investigatori privati inglesi in cerca di hacker. L’offerta nel Paese è ampia e i due detective vogliono essere sicuri di scegliere il meglio che la pirateria informatica offre. Per convincerli, Jain confessa loro di aver appena lavorato a un progetto che coinvolge la Fifa, organo direttivo del calcio e organizzatore della Coppa del mondo: «Sono riuscito a ottenere i dati email di alcuni funzionari della Fifa di alto profilo di base nel Regno Unito, per conto di un cliente pagato da un Paese del Golfo Persico», spiega. Nel prosieguo della conversazione, Jain precisa che il cliente finale era il Qatar e che lui è stato assunto da un investigatore privato di base in Svizzera: Jonas Rey.

Ma i due detective inglesi non sono ciò che dichiarano. Il loro è un lavoro sotto copertura: vestono i panni di potenziali clienti ma sono in realtà due giornalisti del Sunday Times. Jain ne è all’oscuro, al punto che rivela loro i nomi dei suoi clienti e dei loro obiettivi di attacchi informatici. L’inchiesta, realizzata dal Sunday Times e dal Bureau of Investigative Journalism, ha svelato la rete e gli obiettivi di un gruppo di hacker indiani assoldati da detective privati di base a Londra: in tutto, più di 100 vittime, tra aziende private, personaggi politici e giornalisti.

Coppa del Mondo e Qatar: sorvegliare chi critica

Jonas Rey lavorava presso una filiale del colosso bancario Credit Suisse, salvo poi virare verso il settore dell’intelligence. Aveva trovato impiego presso la Diligence Global Business Intelligence, filiale svizzera della Diligence, una società di consulenza aziendale ben nota nella City di Londra. Nel gennaio 2019, la Diligence Global era stata ingaggiata per un progetto che riguardava la Coppa del mondo in Qatar. Doveva indagare su chi aveva messo in dubbio la capacità del Qatar di finire in tempo la realizzazione delle infrastrutture necessarie per il torneo. Rey, nel corso dell’anno successivo, si sarebbe rivolto al gruppo di hacker guidato dal programmatore indiano Aditya Jain per sorvegliare coloro che fino ad allora si erano dimostrati particolarmente critici verso il piccolo Paese del Golfo. Stando al database di clienti ottenuto dal Sunday Times, è Rey il nome più ricorrente tra i pagatori del gruppo di hacker gestito da Jain: 48 casi, dodici dei quali legati al Qatar.

Tra i target degli attacchi informatici figurava Jonathan Calvert, caporedattore della sezione inchieste del Sunday Times. Nel database si legge che il giornalista ha subito un attacco alla sua casella di posta elettronica poche settimane dopo l’uscita dello scoop del settimanale britannico in cui il giornalista svelava l’esistenza di una presunta tangente da 100 milioni di dollari pagata alla Fifa per aver assegnato la Coppa del mondo all’emirato. L’hacking, si legge nel database, è stato «completato». A ottobre il governo qatariota ha smentito l’attacco e ha etichettato come una «crociata politicamente motivata» il lavoro di Calvert, aggiungendo che il giornalista ha «stretti rapporti con gli Emirati Arabi Uniti», Paese confinante e storico antagonista del Qatar. Un accusa del tutto infondata, ha replicato il Sunday Times.

Un altro obiettivo dei pirati informatici guidati da Jain su mandato di Jonas Rey è Michel Platini. L’ex stella della Juventus, già presidente della Uefa (organismo di controllo del calcio europeo, affiliato alla Fifa), è stato uno dei membri del comitato esecutivo della Fifa che aveva votato a favore del Qatar nella corsa ai Mondiali. Da anni si vocifera che il suo sostegno sia stato ottenuto durante una cena avvenuta poco prima che la Fifa si riunisse per votare il Paese ospitante dei Mondiali del 2022 e che vedeva tra i commensali lo stesso Platini, l’allora presidente francese Nicolas Sarkozy e l’attuale emiro (allora principe) qatariota Tamim bin Hamad Al Thani.

Secondo l’inchiesta giornalistica, il gruppo di hacker avrebbe violato il cellulare del francese a partire dal 10 maggio 2019. Da lì a poche settimane Platini era atteso negli uffici della Gendarmeria per un interrogatorio che doveva fare luce su sospetti di corruzione nel voto a favore del Qatar. Il Sunday Times, tramite una fonte anonima interna ai finanzieri francesi, scrive che il Qatar era «ansioso» di scoprire cosa Platini si preparava a confidare agli inquirenti nell’interrogatorio che avrebbe avuto luogo il mese successivo.

A novembre 2019, Jonas Rey lascia il suo posto alla Global Diligence per fondare la propria società di consulenza, la Athena Intelligence. Nel database a disposizione dei giornalisti inglesi si legge come Rey abbia chiesto a Jain di intercettare diversi altri obiettivi, oltre ai 16 colpiti fino a quel momento sotto sua richiesta. Tra questi, Ghanem Nuseibeh, consulente specializzato nella gestione del rischio e autore, nel 2017, di un report che metteva seriamente in dubbio la capacità del Qatar di finire in tempo i lavori in vista del torneo mondiale a causa anche di presunti episodi di corruzione nell’assegnazione degli appalti.

Ma sono molti altri ad essere finiti nella rete degli hacker di Aditya Jain: Nathalie Goulet, politica francese e voce critica verso il Qatar per presunti finanziamenti al terrorismo islamico; Nick Raudenski, ex investigatore per i comitati etici di Fifa e Uefa; Alan Suderman, giornalista dell’Associated Press che aveva scritto della campagna sottobanco del Qatar; Rokhaya Diallo, attivista, noto per aver pubblicamente denunciato lo sfruttamento lavorativo ai danni degli operai che hanno costruito le infrastrutture. Tra gli ultimi in ordine cronologico, Chris Mason, neo responsabile politico della BBC, considerato particolarmente aggiornato circa incontri riservati in seno al governo e al primo ministro britannici.

Committenti Oltremanica

Un altro cliente particolarmente attivo è un ex poliziotto della Metropolitan Police, Nick Del Rosso. Sarebbe stato lui a incaricare il gruppo di hacker indiani di sorvegliare in tutto 40 “bersagli”, tra cui Mark Fullbrook, ex capo del personale della ex prima ministra inglese Liz Truss durante il breve periodo a Downing Street. Philip Hammond, ex parlamentare e Cancelliere dello Scacchiere sotto la prima ministra Theresa May ed ex Segretario di Stato per gli affari esteri e del Commonwealth del governo di David Cameron, è certamente l’obiettivo politico di più alto profilo la cui sorveglianza – scrivono i colleghi inglesi – sarebbe stata commissionata da un uomo d’affari di un importante fondo di investimenti europeo. Hammond era stato parte del gruppo di governo incaricato di rispondere in maniera adeguata all’avvelenamento della ex spia sovietica naturalizzata britannica, Sergej Skripal, avvenuto nel 2018. Secondo il Sunday Times, l’hackeraggio ai danni di Hammond sarebbe avvenuto poche settimane dopo l’attacco a Skripal.

L’inchiesta apre uno squarcio su un’industria, quella del corporate intelligence, in forte ascesa negli ultimi anni. I colleghi inglesi hanno avuto modo di ascoltare diversi hacker indiani i quali, convinti di interloquire con un potenziale cliente, hanno rilasciato pesanti confessioni.

Tej Singh Rathore ha descritto nei dettagli il suo mestiere di pirata informatico, fatto di furti telematici e irruzioni in dispositivi digitali. Afferma di aver violato più di 500 account email, la maggior parte per conto di clienti inglesi. La maggior parte delle società di investigazione private assoldano hacker indiani, ha detto. Un sistema di “hacker in affitto” che regna impunito, a causa di leggi morbide in India sulla sicurezza informatica e della difficoltà di indagare committenze in arrivo dall’estero. Alla domanda se qualcuno fosse mai stato preso, un hacker ha risposto: «Mai, neanche uno».

Per approfondire

Buona parte delle società di sicurezza informatica dipingono se stesse come portatrici di quella sicurezza digitale che poi loro stesse contribuiscono a infrangere. In gergo si chiamano “white hat”, hacker “buoni”. Formati da aziende di sicurezza informatica, sono in realtà istruiti a utilizzare le loro competenze in maniera illegale.

Una dei precursori del settore in India è la società Appin, aperta a Delhi dodici anni fa con l’intento di formare una nuova generazione di hacker “etici” ma oggi sospettata, invece, di aver cresciuto al suo interno hacker al servizio del miglior offerente. Aditya Jain, uno dei protagonisti negativi dell’inchiesta, ha lavorato per Appin. Secondo un altro ex dipendente, il Qatar è stato uno dei clienti della società, affermazione respinta dall’emirato. Appin ha cessato di esistere nel 2013 quando degli esperti di sicurezza informatica norvegesi hanno scoperto che l’azienda si era resa responsabile di una serie di attacchi informatici ai danni di una dozzina di Paesi.

Dalle sue ceneri sono emersi decine di giovani hacker in cerca di lavoro e nuove società dedite al “lato oscuro”, ben più remunerativo della sicurezza online. Tra queste, la più nota era la BellTroX. Il direttore, anche lui con un passato nella Appin, è stato inserito nella lista dei ricercati dal Dipartimento di giustizia americano per aver partecipato a operazioni di hackeraggio su larga scala dietro commissione di due investigatori privati a stelle e strisce.

Dai divorzi agli omicidi

Davanti a un caffè, seduti nella hall di un anonimo albergo nella periferia di Delhi, Tej Singh Rathore spiega ai suoi finti potenziali clienti come è diventato un hacker. Dopo gli studi in informatica all’università, vira verso l’ “ethical hacking” perché gli sembra «un settore in forte crescita». Dopo la laurea trova impiego in una società di cybersecurity. Un giorno il suo capo gli confessa che svolgere un lavoro “offensivo” è molto più remunerativo di un lavoro “difensivo”. Si mette in proprio, dunque, e su Linkedin comincia a fare sfoggio delle sue doti in cerca di clienti.

Il primo a offrirgli un lavoro è un produttore di vino del New Jersey che voleva ottenere l’accesso al cellulare della moglie e capirne la sua condizione finanziaria, prima di avviare le pratiche di divorzio; il cliente successivo, l’amante di un commerciante di diamanti di Hong Kong alla ricerca di informazioni sensibili con cui estorcere denaro all’uomo. Da allora, le commesse sono lievitate per Rathore, il quale incassava tra i 3.000 e i 20.000 dollari per ciascun account violato. Aveva clienti dal Nord America, Hong Kong, Romania, Belgio, Svizzera. Quasi tutti, ha spiegato ai giornalisti inglesi, utilizzavano studi legali come tramite per arrivare a lui.

Rathore si è persino trovato invischiato in uno dei più noti casi di omicidio irrisolti in Canada. Nel dicembre 2017, il milionario canadese Barry Sherman è stato trovato morto insieme alla moglie nella sua villa di Toronto. Rathore riceve una chiamata da un investigatore privato che gli chiede di violare il cellulare di Sherman. Il lavoro non riesce, ma prosegue. Gli viene commissionata la sorveglianza di un uomo che in quel momento era considerato di interesse per gli inquirenti. Stesso obiettivo: infiltrare il suo cellulare. La polizia alla fine cambia pista ma il lavoro svolto ai danni dell’uomo aveva «impressionato molto» il suo cliente.

Le mille vie dell’hacking

Lo strumento dell’attacco informatico è utilizzato anche dai governi. Un altro hacker intercettato dai colleghi inglesi ha spiegato come, una volta uscito da un corso di “hacking etico”, lui e gli altri suoi 17 compagni di corso sono stati assunti da una «società di sicurezza nazionale» che lavorava per conto del governo indiano.

Utkarsh Bhargava lavora come pirata informatico da dieci anni. Anche lui, come tanti altri “colleghi”, è passato per la Appin, la quale fungeva da braccio di addestramento per la società di sicurezza nazionale. I clienti della Appin «erano in Qatar, a Dubai, in Bahrain, in Kuwait, in Arabia Saudita», Paesi per i quali gli hacker dell’azienda hanno sottratto «di tutto», ha confidato Bhargava. «Il nostro compito era quello di impossessarci di determinati dati e consegnarli alla società» che li avrebbe poi passati al governo indiano. I target erano prevalentemente ministeri di altri Paesi. Bhargava ha poi lasciato il suo posto da dipendente per mettere in piedi la sua personale società di intelligence, con clienti – dice – dalla Francia, Italia, Austria, Germania e Thailandia.

Esistono un’infinità di modi per colpire un obiettivo: indurre la vittima a consegnare le proprie password o a scaricare uno spyware sui loro dispositivi sono due dei più utilizzati. E per rendere l’attacco efficace, tutti gli hacker concordano su un punto: dedicare del tempo a conoscere la vittima, perlopiù attraverso i social media. Bhargava spiega come per una vittima nel Regno Unito con problemi di salute ha creato una copia esatta del sito web del servizio sanitario nazionale. Una volta che il malcapitato inseriva le proprie credenziali per il login, l’hacker si impossessava della password, che il più delle volte è la stessa di quella utilizzata per l’account di posta elettronica. Un altro hacker aveva notato che il suo obiettivo, una donna, frequentava spesso la palestra. Fingendosi il titolare, le ha inviato su Whatsapp una foto, aggiungendo che se l’avesse mostrata all’ingresso avrebbe ottenuto uno sconto mensile. La foto conteneva il file di installazione di uno spyware il quale, una volta scaricata l’immagine, ha consentito all’hacker totale accesso al cellulare della vittima.

Bhargava ha inoltre confidato ai giornalisti inglesi di aver fatto uso dello spyware Pegasus. Sviluppato dalla NSO Group, azienda israeliana specializzata nello sviluppo di software di sorveglianza, Pegasus è tra i software-spia più potenti del settore. Le sue funzionalità, in grado di acquisire qualsiasi tipo di informazione contenuta nei telefoni dei bersagli comprese le chat crittografate di Whatsapp, Signal e Telegram, sono particolarmente gradite a governi autoritari e regimi repressivi. Bhargava afferma di essere entrato in possesso del codice di Pegasus nel 2019 e di averlo utilizzato per crearne una copia così da utilizzarlo per i propri scopi.

«Ti consente di fare ciò che vuoi», ha spiegato Bhargava, «una volta installato hai il controllo totale» del dispositivo. Il software-spia consente di attivare microfono e telecamera all’insaputa della vittima e di monitorarne gli spostamenti in tempo reale, se il Gps è attivo. Ma c’è una controindicazione. Il dispositivo si scalda e la sua operatività rallenta nel periodo in cui i contenuti vengono scaricati. Per questo risulta fondamentale studiare le abitudini del bersaglio e capire quali sono le fasce orarie in cui il telefono non è utilizzato. «La copia dei dati viene fatta nelle ore piccole, quando la vittima dorme».

Jonas Rey ha ammesso ai cronisti inglesi di aver svolto operazioni di hackeraggio in passato ma di non averne compiute da diversi anni. Ha affermato, inoltre, di non conoscere alcune delle persone presenti nel database e ha negato di averne hackerate altre. Ha aggiunto di non aver mai commissionato la sorveglianza digitale e che i giornalisti inglesi sono stati indotti a screditarlo. La società londinese Diligence Global ha negato di aver commesso qualsivoglia illecito, aggiungendo che «la nostra società pone la massima attenzione affinché i nostri investigatori rispettino tutte le leggi e le regole vigenti».