22 Giugno 2020 | di Cecilia Anesi, Raffaele Angius
Un altro giornalista è caduto vittima delle tecnologie di sorveglianza di NSO Group, azienda israeliana specializzata nello sviluppo di software di sorveglianza, grazie alla quale i governi di mezzo mondo possono spiare media, attivisti e oppositori politici. A farne le spese stavolta, in Marocco, è stato Omar Radi, giornalista d’inchiesta del giornale indipendente LeDesk, che grazie ad Amnesty International ha scoperto di essere stato il bersaglio di una campagna di intrusioni informatiche contro il suo telefono durata almeno un anno: dal gennaio del 2019 allo stesso mese del 2020. Dietro l’operazione si sospetta ci siano le autorità del Paese, da tempo tra i clienti ai quali NSO Group fornisce sistemi di intercettazione tra i più avanzati al mondo.
È questo il quadro che emerge da un’analisi condotta dagli esperti di sorveglianza di Amnesty International, condiviso in esclusiva con Forbidden Stories, piattaforma che prosegue le inchieste di giornalisti minacciati o uccisi, di cui IrpiMedia è partner per l’Italia.
Aggiornamento del 24 giugno 2020
Oma Radi è stato convocato dalla Brigata nazionale di polizia giudiziaria del Paese per chiarimenti. La misura è stata disposta all’indomani della pubblicazione dell’inchiesta che state leggendo condotta dal consorzio di giornalismo investigativo Forbidden Stories, di cui IrpiMedia è membro, nella quale si sono rivelati i numerosi episodi nei quali attaccanti informatici non identificati hanno preso di mira lo smartphone del giornalista, utilizzando il software-spia Pegasus. Questa tecnologia è sviluppata dall’azienda israeliana NSO, di cui il Marocco è ritenuto da tempo un cliente. Omar Radi dovrà presentarsi alle autorità domani, 25 giugno 2020, alle 9:00 del mattino ora locale (le 10:00 in Italia). L’inchiesta internazionale era stata pubblicata tre giorni prima.
Forbidden Stories
Forbidden Stories è una piattaforma che prosegue le inchieste di giornalisti minacciati o uccisi, di cui IrpiMedia è partner per l’Italia. Nel mondo questo approfondimento è pubblicato anche da Le Monde, Radio France, Die Zeit, Süddeutsche Zeitung, WDR, SVT, Utrikesmagasinet, Washington Post, Toronto Star, The Guardian, OCCRP, Daraj, Haaretz, NDR.
Il nome di NSO Group è ben noto nell’ambito della sicurezza informatica e delle organizzazioni per la tutela dei diritti umani. Il software-spia da loro sviluppato – nome in codice Pegasus – è estremamente efficace per condurre intercettazioni e acquisire qualsiasi informazione contenuta nei telefoni dei suoi bersagli: funzionalità particolarmente gradite a governi autoritari e regimi repressivi. Il nome di Pegasus è emerso tra l’altro più volte nel caso dell’omicidio del giornalista saudita Jamal Kashoggi, spiato e poi ucciso al consolato dell’Arabia Saudita a Istanbul.
«Amnesty International aveva già scoperto altre violazioni prima della mia, ma nulla è cambiato»
«Amnesty International aveva già scoperto altre violazioni prima della mia, ma nulla è cambiato: possiamo solo continuare a cambiare telefono ma è come la lotta tra Davide e Golia», ricostruisce Omar Radi. E il problema non è solo che il telefono di Omar sia stato infettato al fine di controllarne il contenuto, ma anche che alcuni di questi episodi siano avvenuti dopo che NSO aveva pubblicato le nuove policy di rispetto dei diritti umani che cercavano di “ripulire” l’immagine di un’azienda su cui Amnesty aveva già pubblicato dati preoccupanti.
Le ripetute campagne di intercettazione nei confronti del dispositivo di Omar dimostrano come, nonostante le promesse, Nso Group abbia continuato a distribuire i propri prodotti senza condurre delle adeguate verifiche di valutazione sul rispetto dei diritti umani da parte dei suoi clienti.
Eppure tutto sarebbe dovuto cambiare
«I prodotti Nso sono utilizzati esclusivamente da agenzie di intelligence nazionali e organi di polizia al fine di combattere il crimine e il terrorismo», si legge sul sito dell’azienda israeliana. Tuttavia, numerosi studi e ripetuti casi venuti alla luce nell’ultimo anno raccontano una storia diversa, nella quale i bersagli prediletti dei clienti di Nso sono piuttosto attivisti e giornalisti. Tra questi, sempre in Marocco, anche lo storico e co-fondatore del movimento Freedom Now, Maati Monjiib, e l’avvocato Abdessadak El Bouchattaoui, coinvolto nella difesa dei manifestanti arrestati durante le proteste berbere del movimento Hirak El-Rif, tra il 2016 e il 2017.
Grazie all’analisi dei loro dispositivi, gli esperti di Amnesty International non solo avevano scoperto le ripetute operazioni ai danni dei due attivisti, ma erano anche stati in grado di determinare l’evoluzione tecnologica delle tecniche d’intrusione perfezionate da NSO Group, che sembra ora in grado di inoculare Pegasus semplicemente sfruttando il controllo della rete alla quale sono collegati gli smartphone.
Tecnicamente si chiama network injection (dall’inglese, iniezione su rete) e consiste nella capacità di deviare la connessione di un dispositivo su un indirizzo scelto dall’autore dell’attacco informatico. Dall’analisi condotta a ottobre del 2019, sarebbe proprio questa la tecnica utilizzata con lo smartphone di Maati Monjib, che durante una normale navigazione su internet si è visto reindirizzato, cliccando sul link di un sito d’informazione sull’app di Facebook, verso la pagina free247downloads[.]com. Di fatto una trappola, che una volta scattata ha permesso di inoculare Pegasus nel suo smartphone. Tre giorni dopo che Amnesty International ha condiviso il risultato della sua ricerca con NSO Group per chiedere un commento, il dominio free247downloads[.]com è stato disabilitato.
Il sito Internet di NSO Group/IrpiMedia
Ma non per questo la tecnica è stata cestinata. La network injection è estremamente efficace in quanto permette all’autore di un attacco informatico di acquisire il controllo di un dispositivo senza che il bersaglio debba interagire con la trappola. La tecnica più comune osservata fino al 2018 prevedeva l’invio di Sms apparentemente legittimi al telefono del bersaglio, contenenti un link malevolo. In questo scenario la “preda” avrebbe dovuto cliccare erroneamente sul link perché avvenisse l’inoculazione.
Se da un lato possono rivelarsi estremamente utili nel contrasto alla criminalità e al terrorismo, questi strumenti possono essere molto dannosi se abusati da Paesi nei quali non è garantita a pieno la libertà di espressione e di critica nei confronti del governo.
È questo il caso del Marocco che, come denunciato più volte dalle organizzazioni per i diritti umani, ha intensificato la stretta contro proteste pacifiche e dissidenti, arrestando arbitrariamente giornalisti, attivisti, artisti, youtuber e in generale chiunque abbia osato criticare apertamente il Re o le autorità. Da novembre 2019 a oggi, Amnesty ha documentato dieci casi di persone irregolarmente arrestate e detenute.
Tra questi anche Omar Radi, che a novembre del 2019 è stato arrestato per un tweet pubblicato mesi prima, ad aprile, nel quale criticava il sistema giudiziario e la condanna delle persone che avevano protestato nel 2017 durante le proteste della popolazione berbera.
Rilasciato dopo alcuni giorni, a marzo del 2020 Radi è stato condannato a quattro mesi di carcere (con il beneficio della sospensione della pena) e a pagare una multa di 500 dirhams (circa 50 euro). L’analisi condotta dagli esperti di Amnesty International ha permesso di individuare sullo smartphone di Omar Radi una cartella nascosta creata il 27 gennaio del 2019, nel cui nome compare il medesimo indirizzo riscontrato sul telefono di Maati Monjiib: free247downloads.com.
Come funziona Pegasus: quei decisivi tre millisecondi
Tre millisecondi. Tanto è servito allo smartphone di Omar Radi per essere reindirizzato verso il sito dal quale gli è stato inoculato il malware Pegasus. Almeno questo è quanto ha riscontrato Amnesty International in uno degli episodi identificati sul suo smartphone, il 27 gennaio 2020. Come ricostruito dai tecnici, Radi era sull’app di Facebook quando ha cliccato sul link di un sito d’informazione ed è stato immediatamente reindirizzato verso l’indirizzo contenente il malware. Ma questa volta si trattava di un dominio non noto ai ricercatori – urlpush[.]net -, corrispondente a un server messo in servizio un mese dopo la pubblicazione di Amnesty di ottobre. Il precedente dominio, free247downloads[.]com, era stato cessato il 4 o il 5 ottobre, due giorni dopo che Amnesty International contattasse NSO Group e una decina di giorni prima che il report fosse reso pubblico. Precedenti attacchi sul telefono di Omar sono stati rilevati il 27 gennaio 2019, l’11 febbraio e il 13 settembre. L’ultimo attacco riscontrato risale al 29 gennaio 2020, due giorni prima del precedente. «Mentre le tempistiche suggeriscono un link a NSO – si legge nel report – alcuni dettagli tecnici dell’attacco, compreso il fatto che entrambi i domini riconducono verso lo stesso sito è una prova decisiva per collegare gli strumenti di NSO Group all’attacco contro Omar Radi».
«Questo [tipo di attacco] è tipicamente condotto grazie all’uso di apparecchiature tattiche», spiega a IrpiMedia Claudio Guarnieri, esperto di sicurezza informatica e autore dello studio condotto da Amnesty International. Il riferimento è agli IMSI Catcher: apparecchi che simulano una cella telefonica e quindi si frappongono tra uno smartphone e l’operatore telefonico. Un’altra ipotesi è che chi conduce l’operazione di spionaggio possa avere accesso agli stessi operatori telefonici. In tutti e due i casi, chi attacca ha accesso al traffico dati dell’utente. «Una volta stabilita la posizione di vantaggio, come nel caso di Omar a gennaio o prima ancora di Maati, gli attaccanti possono monitorare il traffico dei dispositivi». L’unico presupposto affinché il dirottamento della connessione avvenga è che l’utente provi ad accedere a siti non protetti da un certificato SSL: si tratta delle pagine il cui indirizzo è preceduto da un “http://”. Da anni è in fase di introduzione in tutto il regno di Internet il protocollo “https://”, la cui “S” identifica che la pagina è protetta. In tutti i casi analizzati, sia Maati Monjib sia Omar Radi stavano navigando su pagine prive di questo tipo di protezione.
«Qualsiasi sito visitato, sia tramite una ricerca manuale su Safari (il browser di default in iOS, ndr) sia visitando un link condiviso su Twitter o Facebook potrebbe causare la trasmissione [del malware], purché la pagina a cui si accede non sia criptata», precisa Guarnieri: «Il tutto avviene in modo automatico e non richiede alcuna interazione né da parte del bersaglio né da quella dell’attaccante: il sistema è autosufficiente».
Ma Pegasus non è solo un software d’intercettazione, anzi: «questo è solo un nome in codice che gli è stato affibbiato ormai diversi anni fa», spiega Guarnieri. «Versioni precedenti scoperte anni fa hanno fornito qualche indicazione su che tipo di dati raccolga, dai registri di Viber e IMO (due app di messaggistica, ndr) fino alle chiamate Whatsapp e agli Sms. Insomma, i dati che tipicamente ci si aspetta vengano esfiltrati da un telefono», aggiunge.
Ma a quali dati acceda oggi nessuno può saperlo con precisione, né è nota la lista dei clienti di NSO Group. A fornire una prima ricostruzione della fisionomia di Pegasus ci aveva pensato, nel 2018, il Citizen Lab della Munk School of Global Affairs di Toronto, che aveva accertato l’impiego di Pegasus in Arabia Saudita, Bahrain, Kazakistan, Marocco, Messico e Emirati Arabi Uniti. Una testimonianza del suo successo è però ben rappresentata anche dal valore del gruppo: a febbraio del 2019 il fondo privato britannico Novalpina Capital ha supportato l’acquisto dell’azienda da parte dei suoi dirigenti. Un’operazione costata un miliardo di dollari (circa 900 milioni di euro) e alla fine della quale il fondo d’investimento ha mantenuto una quota dell’azienda.
In seguito all’operazione, Novalpina Capital si era impegnata a promuovere una migliore definizione delle linee guida e dei principi di NSO Group al fine di meglio tutelare i diritti umani, istituendo addirittura un “Governance, Risk, and Compliance Committee”. Tre giorni dopo l’annuncio, Omar Radi è stato vittima di uno dei tentativi di inoculazione di Pegasus.
Sfortunatamente nessuno ha mai potuto analizzare una versione più recente di Pegasus – «Per quanto ne sappiamo», dice Guarnieri di Amnesty – dal momento che l’azienda ha sviluppato capacità e tecniche tali da renderlo irreperibile a qualsiasi analisi esterna: «L’azienda è molto più prudente di quanto non fosse cinque anni fa».
Le prime tracce di Pegasus risalgono proprio al 2016, quando un’inchiesta del New York Times ne svelò l’esistenza in collegamento con una massiccia campagna di spionaggio internazionale. All’epoca era possibile eseguire l’inoculazione del malware su dieci telefoni al costo di 650 mila dollari, più 500 mila dollari di supporto tecnico.
Ma della tecnologia “dual use” – termine che identifica gli strumenti impiegabili sia in scenari di pace sia bellici – si è tornati a parlare a maggio del 2019, con la scoperta che i tecnici di NSO Group erano in grado di installare il proprio prodotto sul dispositivo di un bersaglio attraverso una semplice videochiamata su Whatsapp, a causa di una vulnerabilità non nota e immediatamente riparata dagli sviluppatori dell’app di messaggistica. Tutt’ora Facebook, proprietaria dell’app per chattare, è in causa con NSO Group. Un miliardo e mezzo di utenti dovettero aggiornare l’app sui propri dispositivi.
Il confronto di Nso Group con l’opinione pubblica era iniziato proprio con quell’episodio, denunciato dagli esperti del Citizen Lab. I ricercatori avevano scoperto che la vulnerabilità di Whatsapp aveva permesso di infettare il telefono di un avvocato londinese coinvolto in un processo proprio proprio contro NSO Group, che doveva difendersi dall’accusa di aver fornito gli strumenti utilizzati per spiare il dissidente saudita Omar Abdulaziz. Tra il 2016 e il 2018 si stima che Pegasus sia stato impiegato in 36 diverse installazioni indipendenti tra loro in tutto il mondo, per un totale di 46 Paesi coinvolti.
«Gli attaccanti possono vedere qualunque cosa venga mostrata sullo schermo del bersaglio», ha commentato a Forbidden Stories un portavoce del Citizen Lab, una volta che l’organizzazione è stata messa al corrente della prossima pubblicazione di questa inchiesta. «Non abbiamo avuto alcuna significativa dimostrazione del fatto che le nuove regole sui diritti umani di NSO Group siano stati efficaci – commenta Citizen Lab – ma è importante notare che una volta venduto il prodotto c’è anche un’intensa attività di collaborazione tra il cliente e NSO. Per esempio, per la fornitura degli aggiornamenti»
Contattata il 16 giugno per una richiesta di commento, NSO Group ha risposto: «L’NSO è profondamente disturbata dalle accuse contenute nella lettera di Amnesty International. Stiamo verificando le informazioni in essa contenute e inizieremo un’investigazione», commenta un portavoce. «La lettera di Amnesty International pone diverse questioni riguardanti il rapporto che NSO Group potrebbe avere nei confronti delle autorità del Marocco, e delle azioni che avevamo preso in seguito a un rapporto di Amnesty International riguardo potenziali abusi dei prodotti di NSO da parte di quelle autorità. L’NSO intende essere quanto più trasparente possibile in risposta a tali accuse riguardanti gli abusi del suo prodotto. Ma dal momento che sviluppiamo e distribuiamo tecnologie che assistono la lotta al terrorismo, ai crimini seri e alle minacce di sicurezza nazionale, NSO è obbligata a rispettare un vincolo di confidenzialità e non può rivelare l’identità dei suoi clienti».
Gli altri attacchi e il lavoro di Omar
Omar ci racconta che da tempo sospettava di essere intercettato. Sia perchè in passato il governo aveva già spiato il suo computer grazie a un virus prodotto dalla italiana Hacking Team (erano state infettati più di 2.000 target in Marocco) e sia perché, sostiene Omar, «le autorità marocchine stanno comprando qualsiasi tipo di tecnologia di sorveglianza e spionaggio possibile. Vogliono sapere tutto, sono diventati un’azienda di spionaggio. D’altronde siamo in uno stato di polizia, quindi è normale».
Omar ha lavorato come giornalista d’inchiesta per oltre 12 anni seguendo la politica, il potere locale e le relazioni con l’industria e la finanza. Ha anche lavorato e lavora sul tema della giustizia sociale, soprattutto la questione del land grabbing. Proprio in questi giorni su LeDesk è stato pubblicato un nuovo lavoro di Omar sul tema che è stato più difficile del previsto: le vittime che avevano deciso di parlargli sono state poi minacciate dalla polizia e Omar prima di pubblicare ha dovuto togliere le loro storie per proteggerli. Durante la primavera araba, Omar aveva contribuito al lancio della piattaforma di informazione in francese Lakome.com che è stata censurata dalle autorità e il suo direttore imprigionato per avere «glorificato il terrorismo».
Il giornalista Omar Radi – Foto: Fanny Hedenmo
Durante il lockdown a causa del Covid-19, Omar con la redazione di LeDesk ha lavorato sulla mancanza di trasparenza negli appalti per le forniture mediche. Ma per Omar non è solo la voglia di scoprire i temi su cui lavorano i giornalisti il motivo delle intrusioni delle autorità marocchine con il software spia Pegasus. «Faccio parte di un gruppo di persone ritenute “teste calde”, “nemici della nazione”. E ci sorvegliano, anche elettronicamente. È fastidioso perché è una invasione della nostra privacy, lo Stato ha in mano il tuo passato, presente, le tue foto, i tuoi messaggi, le tue cose personali», spiega Omar. Ma non è solo questo, è la rete dei contatti che secondo il giornalista è la gallina dalle uova d’oro che cercano le autorità. «C’è in corso un vero e proprio processo di mappatura delle persone, e probabilmente spiano principalmente i soggetti che hanno più contatti, come i giornalisti. Ed è una cosa che credo sia iniziata da molto tempo, almeno dal 2009», conclude Omar Radi.
Il 7, 9 e 14 giugno di quest’anno il tabloid Chouftv ha pubblicato una campagna di delegittimazione su alcuni giornalisti di punta, tra cui Omar. Le vittime sospettano che sia stata una manovra pilotata dai servizi segreti. Le informazioni riportate erano sicuramente state estrapolate dai telefoni dei giornalisti. «Hanno pubblicato informazioni su di noi di vario tipo, chi siamo, dove viviamo, con chi viviamo, se paghiamo l’elettricità o no, se beviamo alcolici e cose di questo genere. Tutto per fare passare un messaggio: vi controlliamo». Nel caso di Omar, è stato pubblicato il nome della sua coinquilina descrivendo la cosa come una «relazione illegale, fuori dal matrimonio» ma anche materiale di lavoro, per lo più conversazioni avvenute su Whatsapp, e in particolare una conversazione con un ricercatore americano avvenuta sulla app Signal (in teoria sicura, ma non se Pegasus buca il telefono).
Alcune delle informazioni però, erano chiaramente frutto di un’altro tipo di sorveglianza, quella classica, fisica, e non meno preoccupante. Significa che chi spia i giornalisti marocchini con i software NSO, poi li segue anche per strada e potrebbe facilmente attaccarli. Ma per Omar questo non è l’aspetto peggiore. L’aspetto peggiore sono le smear campaign che vengono costruite, campagne di delegittimazione che isolano il giornalista e che terrorizzano potenziali fonti, su cui si basa il lavoro di informazione. «In questo modo le persone diventano riluttanti a parlare con noi giornalisti, se sanno che sono intercettato. Ci organizziamo con altri sistemi come SecureDrop», spiega Omar. Questo però, conclude il giornalista «rallenta i processi, per le persone è complicato capire come usare i sistemi di comunicazione sicura. Ma non importa, anche se ci vorrà più tempo e se ci sorvegliano, non smetteremo di fare il nostro lavoro». Il governo marocchino, contattato da Forbidden Stories per il consorzio, non ha voluto commentare.