Chi sono gli operatori telefonici sfruttati dall’azienda italiana di sorveglianza Carro

Da almeno dieci anni, un’azienda che opera in più Paesi ma che ha le sue origini in Italia offre un particolare servizio di geolocalizzazione, per il quale occorre conoscere solamente il numero di telefono del target. Si chiama Carro Srl e opera grazie a una vulnerabilità, o più propriamente a una leggerezza nella configurazione della rete telefonica, che permette virtualmente a chiunque di ricercare la posizione di un dispositivo in giro per il mondo. 

Un prodotto del genere fa gola ad agenzie di intelligence e forze dell’ordine, ma chiaramente anche a regimi autoritari. Ben lungi dal cercare visibilità pubblica, quest’azienda è rimasta nell’ombra per anni, nonostante alcune tracce siano reperibili addirittura nei server di Hacking Team (Ht), società di sorveglianza ora attiva con il nome di Memento Labs e che nel 2015 ha subito un attacco informatico che ha portato alla divulgazione di decine di migliaia di comunicazioni via email. All’epoca Carro si proponeva di aiutare proprio Hacking Team nell’infettare i dispositivi dei target di Ht, tramite l’utilizzo di Sms personalizzati.

Nonostante il tempo trascorso – e numerosi cambi di nome che hanno reso l’azienda sempre più difficile da individuare – nuovi dati ottenuti da Lighthouse Reports, condivisi con IrpiMedia, permettono di accendere un faro sulle modalità operative dell’azienda, che per offrire i suoi sistemi di localizzazione si appoggia ad aziende telefoniche registrate in Papua Nuova Guinea, Fiji, Svizzera, Cambogia e Regno Unito. 

Il tutto in modo completamente passivo, ovvero senza lasciare alcuna traccia che allerti la persona monitorata, così come avviene per gli spyware – quello di Hacking Team o il più famoso Pegasus, sviluppato in Israele – che possono essere installati e rimossi senza lasciare virtualmente alcuna traccia.

Il problema è che, a differenza degli spyware, il tipo di localizzazione offerta da aziende come Carro sfrutta, come detto, la stessa configurazione della rete telefonica, la quale porta con sé problemi che le compagnie telefoniche potrebbero facilmente risolvere. Quantomeno i produttori di spyware devono confrontarsi con i costanti aggiornamenti che i produttori di smartphone e sistemi operativi rilasciano per rendere la vita difficile a spioni e minacce cibernetiche. 

Nel caso della rete telefonica invece pochi o nessuno interviene, lasciando che la localizzazione di un dispositivo rimanga appannaggio di chiunque sia disposto a pagare, come già rivelato da IrpiMedia nel primo capitolo della serie #SeTelefonando. Ma facciamo un passo indietro.

È il roaming, bellezza

«Benvenuto nel nostro Paese! Con la tua offerta nazionale puoi chiamare, inviare Sms e navigare senza costi aggiuntivi», si legge tipicamente nei messaggi che un utente riceve quando varca o si avvicina a un confine. 

Il meccanismo che permette questa interazione, apparentemente banale, nasconde però tutta la complessa architettura tecnologica che permette a un’azienda telefonica di conoscere la posizione delle utenze che gestisce e, all’occorrenza, di fare in modo che quella Sim card si appoggi a un operatore estero.  

Alla base di tutto è il protocollo SS7, una serie di istruzioni originarie addirittura degli anni Settanta, che perme lo scambio e la sincronizzazione di informazioni tra i vari punti di accesso alla rete, conosciuti come Global titles (Gt) e simili a numeri di telefono, assegnati agli operatori di ciascun Paese. Tuttavia si tratta di tecnologie e in generale di un’architettura dell’intera rete telefonica che nasce in un mondo completamente diverso, caratterizzato da pochissimi attori giudicati affidabili.

Dieci anni di assenza di segnale

È il luglio del 2014 e in materia di sorveglianza, la società milanese Hacking Team è sulla cresta dell’onda. Sebbene non sia un nome noto al grande pubblico, è certamente sulla bocca di tutti gli addetti al settore delle intercettazioni, grazie ai suoi  software spia che sviluppa e vende in tutto il mondo. 

Come rivelato dalle email pubblicate un anno dopo – che di fatto causeranno la quasi uscita dell’azienda dal settore e una successiva ristrutturazione – il 25 luglio avviene uno scambio con Carro, che propone una collaborazione al fine di perfezionare l’invio di Sms da usare come vettore per infettare il dispositivo di un bersaglio con i software di Hacking Team. 

L’idea è di fingere, per esempio, che il mittente sia una persona nota alla vittima e indurla a cliccare sul link ricevuto, mettendo così in moto l’infezione. Questo però è solo uno dei servizi offerti, il prodotto principale è un altro, come sottolinea la stessa Hacking Team in altre email in cui confronta il servizio di Carro con quello di altre aziende: localizzare una persona.

In quelle email Carro indica come sede un indirizzo londinese ma le sue origini sono tutte italiane. A pochi minuti a piedi da lì, oggi continua a vendere la sua tecnologia di localizzazione. Lo fa attraverso una nuova azienda chiamata Gwsim Limited e cercando di non far trapelare online alcuna traccia dell’attività di sorveglianza che svolge per le forze dell’ordine e i governi.

L’unico riferimento pubblico è un sito web, sul quale viene offerta una sim card con copertura globale grazie agli accordi di roaming con più di 600 operatori in tutto il mondo.

In realtà Gwsim prende regolarmente parte alle fiere del settore della sorveglianza, come mostra la sua inclusione nella lista di espositori nelle edizioni dal 2022 al 2024 della Security and Policing, una fiera annuale del settore della sicurezza che si svolge al Farnborough International Exhibition and Conference Centre, poco fuori Londra.

Sul sito dell’evento l’azienda è descritta come «specializzata in Location Based Services» e «coinvolta nella ricerca e sviluppo di nuovi prodotti e sistemi per varie agenzie governative di intelligence e forze dell’ordine».

Una brochure ottenuta da Lighthouse Reports e condivisa con IrpiMedia mostra ancora più nel dettaglio il tipo di tecnologia offerta. Con il sistema Carro Gwp è possibile ottenere «informazioni in tempo reale sulla posizione geografica» di un dispositivo, il tutto partendo dal solo numero di telefono.

Tutte le richieste sono inviate senza che la vittima o l’operatore telefonico siano al corrente dell’attacco, «agendo di fatto senza lasciare traccia e senza produrre effetti collaterali sulla rete GSM», si legge nel documento. Non c’è quindi il rischio che la vittima si accorga che qualcosa non va.

Contattata da IrpiMedia, Gwsim non ha risposto a una richiesta di commento, né chiarito se i clienti del servizio di localizzazione siano sottoposti a controlli di due diligence, per garantire che i suoi prodotti e servizi non siano venduti in Paesi in cui vi è un elevato rischio di corruzione e di violazioni dei diritti umani, e non vengano utilizzati per colpire giornalisti, esponenti dell’opposizione politica, attivisti per i diritti umani o altre persone a rischio di sorveglianza illegale.

Prova, prova, Gwsim chiama Carro

Carro, Carro Italia, Carro 2001 o più semplicemente Carro Gwp, dal nome del prodotto di punta dell’azienda, il Gsm World Position: sono molteplici i nomi con cui la società ha svolto i propri affari nel tempo. Eppure, a capo di tutte a vario titolo ci sono sempre Mario Traverso e Francesco Pirinoli, gli stessi che negli anni hanno ricoperto in alcune fasi il ruolo di amministratore unico nelle diverse entità in Italia.

Nel caso della Carro 2001, detenevano entrambi le quote societarie. Carro Srl e Gwsim Ltd sono un corpo unico, la seconda infatti detiene il controllo totale della prima da febbraio 2023. Gwsim è stata fondata nel 2012 e aveva inizialmente il nome di Carro Limited. In precedenza a detenere le quote societarie di Carro Srl era l’azienda Monitoring Italia Srl, che era stata proprio da poco ceduta da Carro 2001.

Pirinoli e Traverso non si occupano solamente di sorveglianza, ricoprono rispettivamente il ruolo di amministratore unico nelle aziende Plug&Move Ltd e Moving Box Srl. La seconda è un’azienda milanese che installa sistemi di scaffalature e archiviazione automatici prodotti dalla britannica Plug&Move. Le tecnologie di questa azienda le hanno permesso di siglare accordi con tribunali, questure e procure in Italia.

Sin dagli anni Novanta Carro ha uno stretto rapporto con le forze dell’ordine italiane. Inizialmente si occupa della trascrizione degli audio delle intercettazioni di conversazioni ambientali.

Da una risposta a un’interrogazione parlamentare del 2000 emergono gli incarichi conferiti all’azienda da parte delle procure di Palermo, La Spezia e Milano. In alcuni casi gli incarichi riguardano la duplicazione dei nastri originali delle intercettazioni e il filtraggio dell’audio.

Successivamente, con la nuova identità della Monitoring Italia, l’azienda si occupa anche di fornire a Telecom i braccialetti elettronici per il controllo a distanza dei detenuti, dopo che la società di telecomunicazioni ha firmato un accordo decennale con il ministero della Giustizia. 

Carro partecipa anche direttamente ad appalti per fornire intercettazioni telefoniche e ambientali e su un vecchio sito di una delle varie identità, la Carro 2001, si legge che la società offre attività di consulenza e supporto a Forze dell’ordine e Magistratura, tra cui nuove tecnologie e soluzioni per la sicurezza e software dedicati. I clienti: ministero della Difesa, ministero di Grazia e Giustizia, ministero degli Interni.

La rete internazionale di operatori

Tra settembre del 2023 e febbraio di quest’anno Gwsim ha effettuato almeno 1.600 tentativi di attacco sulla rete, secondo dati riservati ottenuti da Lighthouse Reports. Lo scopo era di raccogliere informazioni preliminari sull’identità di un’utenza telefonica e di localizzare dispositivi mobili. 

Per farlo, ha sfruttato operatori che vanno dall’oceano Atlantico al Pacifico passando per le reti dell’operatore telefonico del Regno Unito Tango Networks UK, dello svizzero Comfone e di quello cambogiano South East Asia Telecom. Le richieste di localizzazione erano tutte puntate verso bersagli nel Medio Oriente e in Africa del Nord. 

Gary Miller, ricercatore del Citizen Lab e a capo del progetto Mobile Surveillance Monitor, ha condiviso dati aggiuntivi con IrpiMedia che mostrano ulteriori tentativi di attacco dagli stessi Gt menzionati in precedenza contro reti telefoniche nel continente africano. Questo traffico SS7 è stato registrato tra novembre 2022 e la fine di febbraio 2024. Sono centinaia le richieste sospette, che in alcuni casi si concentrano in campagne massicce di localizzazione della durata di un paio di giorni.

Tuttavia questi dati sono aggregati e mostrano solamente gli attacchi che sono stati bloccati dalle compagnie telefoniche, dunque mostrano una visione parziale e non la reale entità delle richieste passate da quelle Gt. 

Un portavoce di Tango Networks Inc., proprietaria di Tango Networks UK, ha dichiarato a IrpiMedia di non poter entrare nel merito degli episodi citati, per una questione di riservatezza a protezione dei propri clienti. Ma ha aggiunto:

«Abbiamo indagato su questi problemi con i nostri partner a valle per assicurarci che non ci siano stati abusi nel servizio. Parleremo anche con l’autorità di regolamentazione».

L’Office of Communications (Ofcom), l’autorità indipendente del Regno Unito che si occupa delle comunicazioni, ha spiegato a IrpiMedia di aver già registrato timori relativi all’uso improprio dei Global titles di operatori telefonici del Regno Unito.

Proprio per questo, tra le attività pianificate per gli anni 2024 e 2025 prevede di avviare una consultazione sugli interventi per affrontare il problema. Ofcom sta già raccogliendo dettagli sulla pratica dell’affitto dei Gt e inoltre, a seguito della nuova legge sulla sicurezza delle telecomunicazioni introdotta in UK nel 2021, riceve regolarmente segnalazioni su eventuali attacchi dannosi sia da che verso nodi di rete nel Regno Unito, segnalati dal National Cyber Security Centre e dal settore commerciale.

Comfone ha dichiarato a IrpiMedia di non poter rilasciare informazioni a causa di obblighi contrattuali di riservatezza. South East Asia Telecom non ha risposto a una richiesta di commento.

I dati di Lighthouse Reports mostrano che Gwsim ha effettuato tentativi di attacco anche tramite due operatori del gruppo Digicel Pacific, acquistati nel 2022 dall’azienda di telecomunicazioni australiana Telstra. Ad agosto 2023 Digicel è stata al centro di un’inchiesta di Occrp e Abc che ha rivelato come i suoi Gt nelle Fiji, Papua Nuova Guinea, Samoa, Tonga e Vanuatu, fossero stati usati contro utenti telefonici in Africa. 

In quell’occasione Telstra ha dichiarato che Digicel Pacific aveva già rescisso i contratti di affitto per i Gt oggetto dell’inchiesta, prima ancora di ricevere la richiesta dai giornalisti, e solo un contratto è stato cancellato dopo. Non ha rivelato però l’identità dei locatari.

In una richiesta di commento inviata da IrpiMedia, un portavoce di Telstra ha invece confermato il legame di Gwsim con Digicel e ha dichiarato:

«I contratti di Gwsim per la locazione di Gt sono stati chiusi a giugno 2023».

Il portavoce ha anche spiegato che Digicel Pacific è conforme al codice di condotta per l’affitto dell’accesso alla rete, introdotto nel 2023 dall’associazione Gsma, che racchiude oltre mille operatori telefonici nel mondo. 

Telstra ha aggiunto inoltre che, una volta terminato il contratto, Digicel Pacific ha notificato il proprio fornitore terzo cui si appoggia per l’invio di messaggi SS7 e i Gt sono stati bloccati dall’accesso alla rete entro 12 ore dal termine del contratto di locazione. 

I dati ottenuti da Lighthouse Reports contraddicono però le dichiarazioni di Telstra e mostrano che Gwsim ha continuato a usare i Gt collegati a Digicel Fiji e a Digicel Papua New Guinea anche dopo la chiusura del contratto. Attacchi provenienti dal Gt dell’operatore delle Fiji sono stati registrati alla fine di ottobre 2023 e hanno preso di mira un’utenza localizzata in un Paese dell’Europa occidentale. 

Dalla Papua Nuova Guinea arrivano invece gli attacchi più recenti, segnalati a marzo 2024, che hanno come bersaglio una rete telefonica dell’America Latina. L’impiego recente di questi Gt è confermato anche nei dati condivisi da Miller con IrpiMedia, in cui risultano attivi tra luglio 2023 e febbraio 2024.

Secondo il Codice di condotta di Gsma per l’affitto dell’accesso alla rete, chiunque conceda in affitto i propri Gt riconosce di essere legalmente responsabile dell’utilizzo che ne fa il locatario. Telstra non ha però fornito ulteriori chiarimenti riguardo l’attività di Gwsim dopo la chiusura del contratto.

La vulnerabilità sfruttata da aziende come Carro è nota almeno dal 2008 e come detto a differenza degli spyware, in pochi sembrano porsi il problema. Alcuni di questi attacchi dovrebbero essere bloccati dagli operatori ma questo non sempre avviene e non sempre chi concede in affitto l’accesso alla rete monitora in maniera puntuale l’attività svolta dai locatari. 

Tra linee guida non obbligatorie che suggeriscono difese da adottare, codici etici sul noleggio dei Global titles introdotti solo di recente, e un ritardo generale nella risposta da parte dei governi, rimane ancora aperto uno spiraglio per la sorveglianza da remoto, a disposizione di chiunque abbia le risorse per sfruttarlo.