L’azienda italiana che può localizzare una persona in ogni angolo del mondo

#Sorveglianze

L’azienda italiana che può localizzare una persona in ogni angolo del mondo

Crofton Black
Riccardo Coluccini
Gabriel Geiger

Ovunque tu sia, se hai con te uno smartphone acceso e connesso alla rete, il tuo operatore telefonico può sempre sapere dove ti trovi. Per permetterti di ricevere un SMS, o una chiamata, l’operatore deve sapere dove sei e, di conseguenza, a quale rete telefonica sei agganciato. Se ti trovi all’estero, in roaming, sono le società di telecomunicazioni di quel paese a gestire la ricezione del SMS e scambiare informazioni con il tuo operatore. Questa semplice procedura, che è anche una struttura fondamentale delle reti cellulari, può però essere sfruttata da parte di aziende specializzate per individuare la tua posizione e consegnare l’informazione a soggetti terzi, principalmente forze dell’ordine e servizi di intelligence. Ed è possibile farlo sfruttando i meccanismi stessi che permettono il funzionamento delle reti—cosa che spesso rende difficile capire se si tratta di un’attività normale o di un tentativo di sorveglianza. Un’inchiesta di Lighthouse Reports (LHR) con Irpimedia, Domani, Der Spiegel, EUobserver, e Mediapart svela che un’azienda italiana, Tykelab, controllata alla più nota azienda di sorveglianza RCS, vende proprio questa capacità alle forze dell’ordine.
L'inchiesta in breve
  • Un’azienda italiana è in grado di monitorare la posizione degli smartphone in giro per il mondo senza che le vittime se ne accorgano, sfruttando una vulnerabilità vecchia di dieci anni e che sembra destinata a non essere risolta.
  • Dati riservati del settore delle telecomunicazioni mostrano come Tykelab abbia inviato di nascosto decine di migliaia di richieste per tracciare la posizione di cellulari collegati alla rete telefonica in Libia, Malesia, Pakistan, Nicaragua, Iraq, Mali, Grecia, Portogallo e Italia.
  • Tykelab è di proprietà di RCS, nota azienda di intercettazioni italiane, che rivende la tecnologia di Tykelab sotto il nome di Ubiqo a forze dell’ordine e agenzie di intelligence.
  • RCS e Tykelab sviluppano anche uno spyware, Hermit, in grado di prendere il controllo del tuo smartphone e ascoltare tutto ciò che dici. Ricercatori di sicurezza informatica ne hanno trovato traccia in Kazakhstan, Italia e Romania.

Mentre il dibattito sui rischi per i diritti umani e per la tenuta democratica dei paesi a Bruxelles si sta focalizzando sull’azienda israeliana NSO, produttrice dello spyware Pegasus al centro degli abusi portati alla luce lo scorso anno dal consorzio di giornalisti guidati da Forbidden Stories, nel frattempo in Italia RCS dichiara di poter «tracciare gli spostamenti di quasi chiunque abbia un telefono con sé, sia che si trovi a pochi isolati di distanza che in un altro continente». Per poter ottenere queste informazioni, le forze dell’ordine devono solitamente avviare una rogatoria internazionale con la loro controparte nel paese estero. Con questo prodotto invece, senza alcun controllo, un paese potrebbe monitorare la posizione di una persona dall’altra parte del mondo sia che si tratti di un pericoloso criminale che di un attivista o oppositore politico—episodi già avvenuti in passato con tecnologie simili. A supportare questa promessa, sul piano tecnico, ci sarebbero gli strumenti di Tykelab, di cui l’inchiesta di LHR ha trovato traccia nel sud-est asiatico, in paesi dell’Africa, dell’America Latina e nell’Unione Europea — inclusi paesi che potrebbero violare i diritti umani.

Tykelab è stata ora acquisita da Cy4gate assieme alla holding Aurora S.p.A, già proprietaria di RCS e che ha formalizzato ufficialmente il controllo di Tykelab prima dell’acquisizione. Cy4gate, come ha ricostruito in precedenza Irpimedia, vorrebbe sfidare direttamente NSO. Questo conglomerato di società di sorveglianza italiane ora punta a espandersi in Italia e all’estero.
Diversi esperti di sicurezza delle telecomunicazioni hanno fornito a LHR e Irpimedia dati riservati che mostrano l’attività di Tykelab nel mondo. L’azienda si presenta come un innocuo fornitore di servizi telefonici ma ha noleggiato decine di punti di accesso alla rete (noti anche con il nome di “global titles”) da operatori telefonici legittimi in giro per il mondo, come se fosse anche lei una sorta di operatore. Ma, anziché usare questo accesso per inviare SMS o indirizzare telefonate, sta usando l’accesso per inviare comandi in grado di testare vulnerabilità nelle reti di vari paesi e di raccogliere di nascosto dati personali — in particolare la posizione delle persone connesse alla rete telefonica.

Un ufficio discreto

A sud di Roma, a poca distanza dalla zona EUR, nascosto da palazzi residenziali e uffici di banche e associazioni finanziare, si trova un anonimo palazzo grigio. All’ingresso ci sono unicamente placche di altre aziende ma nessuna traccia di Tykelab. Al secondo piano, però, dietro una porta di vetro schermata da bande opache si intravede in bella vista un logo, affiancato da un dispenser di mascherine e gel igienizzante per mani: Tykelab. 

L’ingresso degli uffici è protetto da un codice di sblocco e un lettore di impronte digitali targato Hikvision. Suonando il campanello però nessuna risposta.

All’interno si intravedono almeno 5 porte. Una di esse, rimasta aperta, lascia intravedere alcune bottigliette d’acqua e un paio di cuffie, unico segno visibile di dipendenti. Il portinaio, all’ingresso dell’edificio, spiega che almeno da due settimane non si vede nessuno. Presumibilmente sono in ferie.

Solo al secondo piano, di fronte alla porta dei suoi uffici, si scorge il logo di Tykelab – Foto: IrpiMedia

Gli esperti di sicurezza — che hanno richiesto l’anonimato per via del tema trattato — hanno raccontato di come Tykelab stia mettendo in atto una sorveglianza su larga scala. Tracce dell’attività di Tykelab sono in Libia, Nicaragua, Malesia e Pakistan ma anche in Italia e paesi dell’Unione Europea.

«Stanno diventando sempre più attivi», ha dichiarato un esperto che per mesi ha monitorato l’attività di Tykelab su diversi network. «Dall’inizio di quest’anno hanno aumentato il numero di attacchi e ora sono costanti».

Come funziona la vulnerabilità usata da Tykelab

Tykelab sfrutta una vulnerabilità nel protocollo chiamato Signalling System 7 (SS7). Gli operatori telefonici di due paesi diversi devono essere in grado di poter comunicare tra di loro nel caso in cui un numero di un cliente di uno di essi si trovi in viaggio all’estero nel paese dell’altro operatore. Una chiamata deve poter raggiungere un numero italiano sia che esso si trovi in Italia che in roaming in Germania. SS7 permette proprio questo tipo di scambio di informazioni.

Per fare questo, però, il sistema di telecomunicazione mondiale poggia su una serie di protocolli oramai vecchi e che presentano alcune vulnerabilità note che possono essere sfruttate da criminali informatici e agenzie di intelligence. Inizialmente, le connessioni della rete telefonica mondiale tra pochi diversi operatori poggiavano sulla fiducia reciproca. L’apertura del mercato, però, ha reso più facile l’ingresso in questo network e così il numero di operatori è esploso. Chiunque abbia accesso a una di queste reti può inviare comandi verso un numero di telefono e ricevere indietro informazioni. Si può scoprire la posizione del telefono, ottenere informazioni identificative sulla SIM o si possono anche effettuare attacchi più sofisticati, come intercettare telefonate e SMS (con lo scopo spesso di commettere frodi economiche), o disturbare la connettività di un numero.

Alcuni degli attacchi menzionati sono più complicati da effettuare ma quello che permette di monitorare la posizione di un dispositivo è piuttosto facile, scrive l’Agenzia dell’Unione europea per la cyber-sicurezza (ENISA) in un report pubblicato nel 2018. E aggiunge che, sebbene questi attacchi non siano molto frequenti, possono comunque avere un impatto significativo sulle persone, e questo perché è facile acquistare l’accesso al network e iniziare a inviare comandi.

È emerso infatti un gruppo di aziende specializzate che offre la possibilità di sfruttare queste vulnerabilità per conto dei clienti, che sono spesso forze dell’ordine o agenzie di intelligence. Alcuni gestori telefonici hanno provato a correre ai ripari ma purtroppo gran parte del settore delle telecomunicazioni sembra non voler affrontare il problema, considerato difficile e costoso da risolvere.
Inoltre, queste vulnerabilità non sembrano destinate a scomparire con l’introduzione di più evolute tecnologie di comunicazione, come la rete 5G. Sono infatti state già trovate le prime vulnerabilità e alcuni ricercatori hanno trovato modi per effettuare attacchi simili a quelli di Tykelab anche sulla rete 5G.

Membri del parlamento europeo, esperti di telecomunicazioni e attivisti a difesa della privacy si dicono sgomenti per le attività di Tykelab, sottolineando i rischi per la privacy e la sicurezza, e chiedendo ai governi di impegnarsi maggiormente per regolare queste aziende europee.

«Questa storia riguarda un fornitore di spyware che viola la legge e in questo caso risiede proprio in Europa», ha dichiarato l’europarlamentare Sophie In ’t Veld. «È giunta l’ora che nell’UE l’intera industria degli spyware, che al momento opera in una sorta di zona grigia di legalità, venga regolamentata e resa trasparente. È necessario imporre dei limiti altrimenti la nostra democrazia può andare in crisi».

Edin Omanovic, Advocacy Director dell’associazione Privacy International, ha dichiarato: «La minaccia che questi mercenari dell’industria degli spyware presentano deve oramai essere chiara a Bruxelles e ai paesi Europei: bisogna adottare azioni decise per proteggere le reti di comunicazione, fermare la commercializzazione di spyware e sanzionare le aziende che sono complici negli abusi, come già fatto dagli Stati Uniti».

Dopo lo scandalo Pegasus il Parlamento europeo ha creato una commissione ad hoc che ha ascoltato esperti della società civile e portato in parlamento un rappresentate di NSO, l’azienda che produce Pegasus, per un’audizione pubblica. Ma le attività di Tykelab mettono al centro il ruolo stesso dell’UE in questo scandalo senza fine.

Scorcio dell’anonima sede di Tykelab – Foto: IrpiMedia

L’attacco alla rete telefonica mondiale

Malgrado la sede di Tykelab a Roma sia una tranquilla zona residenziale vicino al quartiere EUR, l’eco delle sue attività ha attirato l’attenzione degli esperti di sicurezza. Lo scorso anno, un gruppo di reti telefoniche a 15 mila chilometri di distanza da Roma, nel sud del Pacifico, inizia a inviare strane richieste a numeri in giro per il mondo. Inviano comandi per tracciare la posizione di un numero e per raccogliere informazioni relative a SIM connesse alla rete. Non si tratta di poche richieste, ma di migliaia. E non finisce qui. 

Dati riservati visionati da LHR mostrano che, in un solo giorno del 2022, Tykelab ha usato un operatore telefonico — situato su un remoto arcipelago a circa 5000 km a est dell’Australia — per inviare migliaia di richieste sospette a un network in Malesia. Queste richieste, che colpiscono una rete non protetta, permettono di rivelare la posizione delle persone collegate alla rete. Non rimane alcuna traccia sul dispositivo e l’utente è indifeso. 

Un altro set di dati offre un’istantanea di un periodo di circa dieci giorni a giugno scorso: l’azienda ha impiegato 11 diversi accessi alla rete da paesi nella regione del Pacifico per raggiungere obiettivi che si trovano in Costa Rica, Nicaragua, Libia, Pakistan, Iraq, Mali, Macedonia, Grecia e Portogallo. 

«Li vediamo testare le reti, cercando in maniera sistematica e insistente modi per aggirarne le protezioni, e li vediamo anche compiere palesi attacchi mirati per localizzare specifici individui», ha spiegato a LHR l’analista che ha fornito il set di dati.

«Sebbene molti di questi attacchi hanno lo scopo di forzare il rilascio di informazioni relative alla posizione, nel caso della Libia si notano attività coerenti con quelle necessarie a intercettare chiamate o SMS», ha dichiarato la fonte.

Secondo l’esperto, Tykelab non si ferma solo alla sorveglianza, l’azienda sembra interessata anche a esplorare in modo sistematico le vulnerabilità della rete telefonica mondiale. Una mappa delle attività dell’azienda, visionata da LHR, mostra Tykelab testare le reti di quasi ogni paese del mondo in un periodo di due giorni a giugno di quest’anno.

«Ci sono tutti i segni distintivi tipici di una scansione di grande portata con l’obiettivo di individuare quali sono le reti meno protette», ha dichiarato l’esperto.

Tykelab ha attirato le attenzioni anche di altri soggetti. Un’email ottenuta da LHR mostra che il Cyber Security Center (CCCS) del governo canadese ha messo gli occhi su Tykelab, indicando alcuni accessi alla rete legati a Tykelab come «ad alto rischio» per un uso malevolo. E secondo un report riservato destinato a un meeting privato del settore, visionato da LHR, Tykelab sarebbe dietro circa 27,000 attacchi alla rete telefonica in alcune zone del continente Africano, nel Sud-est Asiatico e in Europa, solo nella prima metà del 2022. 

La segnalazione del CCCS avrebbe spinto almeno un operatore a valutare la possibilità di bloccare il traffico che proviene da alcuni accessi alla rete telefonica globale di Tykelab. Ma secondo Pat Walshe, ex direttore del dipartimento privacy presso l’associazione di categoria della telefonia mobile GSMA, c’è da fare molto di più. 

«Queste rivelazioni richiedono un’indagine immediata da parte degli enti di controllo e azioni immediate dell’industria», ha dichiarato a LHR. «Abbiamo superato il limite. L’industria della telefonia mobile deve chiarire categoricamente perché non è in grado di affrontare le gravi falle che facilitano gli abusi dei diritti umani su scala globale».

I prodotti di RCS e Tykelab 

Commercialmente, la tecnologia di Tykelab che abbiamo descritto è venduta da RCS sotto il nome di  Ubiqo. Una brochure di RCS ottenuta da LHR descrive infatti la possibilità di «tracciare gli spostamenti di quasi chiunque abbia un telefono con sé» e «generare informazioni analizzando pattern degli spostamenti, luoghi di incontro e durata». Ubiqo, si legge nell’opuscolo, «è una piattaforma sviluppata per effettuare una geolocalizzazione di obiettivi sulla rete mobile in tempo reale su scala mondiale, basata su un approccio non intrusivo e che non può essere notato dal target».

RCS è nota per essere fornitrice di tradizionali sistemi per le «intercettazioni legali» grazie al suo sistema di monitoraggio che permette di collegare l’infrastruttura telefonica italiana alle Procure, le quali possono così attivare le intercettazioni telefoniche. Secondo documenti pubblicati da Cy4gate per l’acquisizione del gruppo Aurora, nel 2000 RCS ha sviluppato il suo sistema di monitoraggio per poi ottenere la prima commessa estera nel 2007. Nel 2015 amplia i prodotti offerti includendo uno spyware per Windows e dal 2018 completa la gamma di spyware sviluppando versioni per iOS e Android. Questo spyware non è passato inosservato.

A giugno 2022 RCS e Tykelab sono finite al centro dell’attenzione per un report dell’azienda di sicurezza informatica Lookout e uno del Threat Analysis Group di Google. I ricercatori hanno individuato uno spyware chiamato Hermit attivo in Italia e in Kazakhstan — un paese con una lunga storia di sorveglianza alle spalle. A svilupparlo sarebbero state RCS e Tykelab, come dimostrano vari certificati digitali presenti sia nello spyware che nei server che ne permettono il controllo. Lookout ha inoltre dichiarato di avere recentemente individuato un caso di attacco da parte di Hermit in Romania. Lo spyware sarebbe lo stesso utilizzato nel caso delle intercettazioni di Luca Palamara, ex membro del Consiglio Superiore della Magistratura—vicenda che ha messo RCS sotto indagine perché i dati copiati non sarebbero stati gestiti nella maniera corretta.

I dati di RCS

Secondo presentazioni finanziare di Cy4gate, RCS è il leader italiano nella forensic intelligence e data analysis. Il suo fatturato nel 2020 è stato pari a 40.5 milioni di euro, di cui il 74% proveniente da clienti italiani. Più della metà di questi 40.5 milioni è legato a sistemi di intercettazione forniti alle procure e dalla fornitura dello spyware.

I recenti guai di RCS

I guai per RCS esplodono con l’indagine sul caso nomine al Consiglio Superiore della Magistratura e con le intercettazioni ai danni di Luca Palamara nel 2019. Il consulente della difesa scopre infatti che ci sarebbero problemi con il funzionamento dello spyware utilizzato nelle intercettazioni, quello di RCS. Contrariamente a quanto previsto dalla legge, i dati intercettati non finivano direttamente nei server della Procura di Roma ma transitavano prima su quelli della Procura di Napoli. 

Un responsabile tecnico e i membri del consiglio di amministrazione di RCS sono finiti indagati dalla Procura di Napoli per frode nelle pubbliche forniture (l’architettura di sistema dei server non sarebbe risultata corrispondente a quanto previsto nei contratti stipulati) e accesso abusivo a sistema informatico poiché il personale di RCS avrebbe avuto accesso, senza autorizzazione, ai dati intercettati. I reati di falsa testimonianza e di falsità ideologica commessa dal pubblico ufficiale in atti pubblici sono contestati da parte della Procura di Firenze. 

Come se non bastasse, sul proprio sito RCS comunica «di aver subito un’intrusione informatica al server di posta elettronica con possibile accesso non autorizzato a dati di contatto dei propri clienti». Secondo RCS potrebbero essere stati violati i dati di contatto relativi a numeri di telefono e email dei clienti. L’attacco risalirebbe a sarebbe stato compiuto a maggio 2021, secondo RCS. Al momento nessuno ha rivendicato l’attacco o pubblicato copia dei dati, come invece era accaduto nel caso della controversa Hacking Team. 

Nel 2021 RCS ha richiesto una licenza di export temporanea verso il Kazakhstan ma, dopo un preavviso di diniego, l’istanza è stata ritirata dall’azienda. Contattato da Irpimedia, un portavoce del Ministero degli Esteri, dicastero che si occupa dell’autorizzazione all’export di beni a duplice uso come gli spyware, ha spiegato che la licenza richiesta includeva il sistema di monitoraggio di comunicazioni telefoniche e telematiche prodotto da RCS. Sempre secondo quanto dichiarato dal Ministero, prima del 2020 RCS era in possesso di una licenza per esportare in Kazakhstan.

Per installare Hermit le vittime devono cliccare su un link ricevuto tramite un messaggio inviato da quelli che sembrano essere fornitori di servizi di telefonia. Dai dati pubblicati da Google e Lookout i finti link utilizzati impersonano aziende come Apple e Facebook, ma soprattutto operatori telefonici italiani come Wind, TIM, Kena, Iliad e Ho Mobile. LHR è riuscita a individuare un sito aggiuntivo che si spaccia per l’operatore Vodafone. I domini più vecchi sono stati acquistati da RCS nel 2015 mentre il più recente risale a marzo 2022, secondo un’analisi di LHR.

In Italia gli operatori telefonici possono facilitare l’infezione dei dispositivi, come rivelato in un’audizione del Company Security Governance di Wind Tre Spa riportata dal Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR). Le operazioni svolte dagli operatori telefonici, che rientrano nelle cosiddette prestazioni obbligatorie di giustizia per cui ricevono un compenso, «consistono soprattutto nell’ampliamento della banda e nell’invio di messaggi per richiedere determinate attività di manutenzione», si legge nel documento del COPASIR.
Una volta installato, Hermit permette di leggere i messaggi, vedere le foto e i documenti salvati nello smartphone, attivare da remoto il microfono e la videocamera, e registrare le telefonate—anche quelle effettuate tramite app cifrate come Signal e WhatsApp, secondo Lookout.

Il ricercatore di sicurezza informatica di Lookout, Justin Albrecht, ha dichiarato a LHR che Pegasus e Hermit presentano metodi di infezione diversi—meno sofisticati nel caso di Hermit—ma le loro capacità sono simili.

«Pegasus e Hermit sono entrambi potenti strumenti di sorveglianza in grado di superare le protezioni di sicurezza di dispositivi Android e iOS con lo scopo di monitorare tutte le attività della vittima», ha dichiarato Albrecht. «Questo tipo di spyware offre un accesso impareggiabile al network di relazioni della vittima, alle sue attività quotidiane e ai pattern della sua vita».

La sorveglianza made in Italy viaggia verso l’estero

Il nuovo colosso delle intercettazioni Cy4gate-RCS punta a una continua espansione nel mercato estero. Insieme, le due aziende hanno già «relazioni commerciali con governi nell’area del Golfo, Asia centrale e America Latina», secondo quanto riportato in un report di Cy4gate, con piani per «diversificare maggiormente la clientela grazie a un espansione del segmento corporate e rafforzando la nostra posizione all’estero». L’acquisizione di RCS, infatti, potrebbe favorire un’espansione nel nord Europa, secondo Cy4gate.

Questo desiderio di espansione deve però portarsi dietro anche un maggior scrutinio.
«Le autorità italiane che monitorano l’export devono confermare se stanno supervisionando l’azienda, verso quali clienti le è stato concesso di vendere e i motivi per cui ritengono che ciò non rappresenti una minaccia chiara e diretta ai diritti delle persone nel mondo», ha dichiarato Omanovic di Privacy International.

Al momento della pubblicazione dell’articolo, il Ministero degli affari esteri non ha fornito ulteriori informazioni in merito a licenze di export concesse a Tykelab e RCS verso gli altri paesi menzionati in questa inchiesta.

«È ora che questo oscuro mondo [ndr degli spyware] in Europa venga alla luce», ha sottolineato l’europarlamentare In ’t Veld a LHR. «Per troppo tempo ha continuato a esistere dietro questa apparenza di legalità mentre invece viola la legge ed è esportato verso regimi controversi».

I guai legati all’espansione di RCS potrebbero già essere all’orizzonte. Secondo quanto riportato dalle testate greche Inside Story e News24/7, i servizi segreti ellenici (EYP) avrebbero aggiudicato un appalto a RCS tra il 2020 e il 2021 per un sistema di intercettazioni. La Grecia in questo momento si trova però al centro di un nuovo scandalo: uno spyware simile a Pegasus, chiamato Predator e prodotto dall’azienda Cytrox, è stato usato contro un giornalista investigativo nel 2020 e il Primo Ministro greco ha confermato che sono state effettuate intercettazioni telefoniche ai danni di un politico dell’opposizione nonché membro del parlamento europeo per tre mesi a partire da settembre 2021. Non è chiaro se queste intercettazioni siano avvenute con il sistema fornito da RCS. Al momento, dopo le dimissioni del capo dell’EYP, il governo greco ha risposto a una richiesta di chiarimenti inviata dalla Commissione Europea, affermando di non aver mai acquistato quello spyware e di aver rispettato il proprio quadro legislativo nel caso delle intercettazioni ai danni del politico, attaccando poi direttamente i giornalisti che stanno seguendo la vicenda.

Contattata da Irpimedia, RCS ha confermato di controllare Tykelab ma si è rifiutata di fornire dettagli sui propri clienti. E ha ribadito che i propri prodotti sono forniti alle forze dell’ordine a supporto delle attività di prevenzione e indagine nei casi di gravi reati, come atti di terrorismo, traffico di droga, e crimine organizzato. L’azienda ha dichiarato di esportare i propri prodotti “in conformità con quanto previsto da leggi e regolamenti nazionali e europei.

CREDITI

Autori

Crofton Black
Riccardo Coluccini
Gabriel Geiger

Editing

Giulio Rubino

In collaborazione con

Lighthouse Reports
Domani
Der Spiegel
EUobserver
Mediapart

Infografiche

Edoardo Anziano

Myanmar, fuori Telenor, dentro M1 Group: il regime di sorveglianza alla fase 2

13 Luglio 2021 | di Riccardo Coluccini

Acinque mesi dal colpo di stato in Myanmar, l’opposizione pacifica al regime si è trasformata in resistenza armata. Il modo in cui la giunta militare birmana sfrutta le tecnologie europee è stato ricostruito in una precedente inchiesta di IrpiMedia realizzata insieme a Lighthouse Reports, The Intercept, Al Jazeera e OCCRP. Un mese dopo la pubblicazione, i timori che in Myanmar si costituisse uno Stato di sorveglianza si stanno concretizzando sempre di più. Il più recente segnale è dato dalla decisione di Telenor, operatore di telecomunicazioni norvegese, di vendere in fretta la propria divisione birmana, Telenor Myanmar, e andarsene dal Paese. In un comunicato dello scorso 8 luglio Telenor ha annunciato la cessione completa delle sue attività in Myanmar alla società M1 Group, holding con base in Libano, a fronte di un pagamento complessivo di 105 milioni di dollari (circa 84,5 milioni di euro), di cui 55 milioni da versare in differita in un periodo di 5 anni.

«La situazione in Myanmar è diventata negli ultimi mesi sempre più impegnativa per Telenor», ha dichiarato nel comunicato Sigve Brekke, presidente e amministratore delegato di Telenor Group. Le motivazioni sono tre: «la sicurezza del personale», «le condizioni normative» e «la conformità» alle regole dettate dalla giunta. «Abbiamo valutato tutte le opzioni e crediamo che una vendita della società sia la migliore soluzione possibile – ha aggiunto Brekke -. L’accordo per la vendita a M1 Group garantirà la continuità delle operazioni».

L’acquirente libanese M1 ha già legami con l’esercito birmano visto che in passato ha investito in un’azienda locale che si occupa di installare torri telefoniche e la rapida cessione di Telenor Myanmar ha generato nuovi timori per gli attivisti.

Telenor è entrata nel mercato birmano nel 2014 ed è una dei quattro operatori telefonici in Myanmar, assieme a Ooredoo del Qatar, Myanmar Posts and Telecommunications (MPT) e a Mytel, società di telefonia nata come joint venture tra le aziende di Stato controllate dai ministeri della difesa vietnamita e birmano. Fino a questo momento Telenor era stata costretta ad accettare ordini di rimozione e blocco di pagine internet senza pubblicare i decreti ricevuti dal Ministero.

Per approfondire

Myanmar, lo Stato di sorveglianza che aggira l’embargo dell’Ue

Il blocco europeo vieta l’export di beni dual use e altre tecnologie in quanto possibili strumenti di repressione. Documenti dei ministeri birmani però mettono in dubbio che sia stato rispettato

A maggio 2021 Telenor aveva tagliato ogni prospettiva futura per le sue attività in Myanmar, a fronte di una perdita stimata in 6,5 miliardi di corone norvegesi – quasi 7 milioni di euro – per il 2021, ma la situazione è precipitata negli ultimi due mesi al punto da costringere l’azienda norvegese a fare questa vera e propria svendita.

Ricatti e pressioni dell’esercito birmano

Una delle motivazioni che potrebbero aver spinto ad accelerare i tempi dell’operazione potrebbe essere dovuta alle recenti richieste del Tatmadaw, nome con cui è conosciuto l’esercito birmano, tornato al potere dopo il colpo di Stato del 1 febbraio.

Secondo quanto ricostruito da Reuters, i dirigenti stranieri delle principali aziende di telecomunicazioni in Myanmar sono stati informati dalla giunta che non avrebbero potuto lasciare il Paese senza un permesso speciale. Questa richiesta sarebbe arrivata intorno alla metà di giugno sotto forma di ordine riservato inviato dal Dipartimento delle Poste e Telecomunicazioni (PTD) – uno dei dipartimenti del Ministero dei Trasporti e Comunicazioni (MOTC), coinvolto nella repressione online e nell’acquisto di tecnologie di sorveglianza come ricostruito da IrpiMedia.

Una seconda lettera, inviata successivamente, avrebbe chiarito agli operatori telefonici di avere tempo fino a lunedì 5 luglio 2021 per implementare «un sistema per le intercettazioni». Secondo Reuters, questa richiesta era già stata fatta in precedenza e il sistema permetterebbe alle autorità di spiare le chiamate, i messaggi e il traffico internet. Conosciuto come sistema di Lawful Interception (intercettazioni legali, ndr), anche IrpiMedia ne aveva trovato traccia nei bilanci di previsioni sui quali è stata costruita l’inchiesta coordinata da Lighthouse Reports, non riuscendo però a confermare l’avvenuto acquisto del sistema di spionaggio per chiamate, messaggi e traffico internet.

Secondo quanto ricostruito dalla testata Frontier Myanmar – che ha parlato con un ufficiale della polizia e con un dipendente dell’operatore telefonico Myanmar Posts and Telecommunications (MPT) – lo scorso anno il Ministero dei trasporti birmano e la polizia nazionale avrebbero messo in piedi un team di cybersicurezza per monitorare le telefonate e i social media. Il team sarebbe però entrato in azione solo dopo un mese dal colpo di stato. La squadra di tecnici e spie sfrutterebbe una tecnologia in grado di monitorare e selezionare le conversazioni telefoniche di interesse effettuando una ricerca per parole chiave. Il monitoraggio si estende però anche ai social media. Secondo l’ufficiale di polizia contattato da Frontier Myanmar, il programma non era ancora stato esteso a tutti gli operatori e ne rimanevano fuori quelli stranieri, come Telenor e Ooredoo, quest’ultimo è un operatore con base in Qatar.

Telenor, le richieste dell’esercito birmano e il suo passato con i regimi autoritari

Il fatto che l’ordine sia partito dal Ministero sottolinea ulteriormente le criticità del contesto politico del Myanmar: l’esercito ha continuato a tenere il controllo sul Paese nascondendosi dietro la facciata della transizione democratica, controllo che è inserito persino nella Costituzione del 2008.

La situazione politica in Myanmar

Il Myanmar è un Paese del sud-est asiatico con una popolazione di circa 54 milioni di abitanti. Dopo aver ottenuto l’indipendenza dalla Gran Bretagna nel 1948 e aver formato un parlamento bicamerale, nel 1962 l’esercito compie un colpo di Stato che lascia il Paese sotto il controllo diretto dei militari fino al 2011. In quasi 50 anni, tra le violenze perpetrate dal Tatmadaw, nome con cui viene chiamato l’esercito birmano, ci sono le repressioni di proteste degli studenti negli anni ‘70 e il rifiuto dei risultati delle prime elezioni libere nel Paese avvenute nel 1990.

Solo nel 2011 il Tatmadaw inizia la transizione democratica cedendo il potere al governo civile, dopo l’introduzione nel 2008 di una nuova Costituzione. Questi sono gli anni in cui la premio Nobel Aung San Suu Kyi e il suo partito National League for Democracy (NLD) salgono al potere.

Il governo del NLD, però, pur segnando un’apertura al mondo esterno per il Paese, porta con sé ulteriori violenze: l’esercito e la polizia di frontiera hanno sottoposto la popolazione Rohingya – minoranza etnica di religione musulmana che vive nello stato del Rakhine, sulla costa ovest del Myanmar – a quello che le organizzazioni internazionali definiscono un vero e proprio genocidio.

Secondo alcune stime, almeno 6.700 Rohingya sono stati uccisi nel primo mese di violenze scoppiate nel 2017. Attualmente, più di 800.000 rifugiati sono fuggiti dal Myanmar per andare in Bangladesh. A marzo 2021 uno di questi campi profughi è stato colpito da un incendio: si contano 15 morti, e 900 persone tra feriti e dispersi.

La stessa Aung San Suu Kyi ha dichiarato alla Corte internazionale di giustizia dell’Aia che le accuse di genocidio sono un «quadro incompleto e fuorviante della situazione».

In contemporanea, l’esercito ha continuato a tenere il controllo sul Paese nascondendosi dietro la facciata della transizione democratica. La Costituzione del 2008 prevede infatti un ruolo di primo piano per l’esercito: un quarto dei seggi in tutte le assemblee provinciali e nazionali riservati agli ufficiali militari in servizio e i ministeri della Difesa, degli Interni e degli Affari di Frontiera riservati ad alti ufficiali militari nominati dal comandante in capo.

In passato Telenor era già stata coinvolta in inchieste giudiziarie e giornalistiche a seguito di operazioni in Stati autoritari. Nel 1998, ad esempio, Telenor ha acquistato una quota minoritaria della società di telecomunicazioni russa VimpelCom. Secondo un’inchiesta del 2014 del quotidiano norvegese Klassekampen in collaborazione con il consorzio di giornalisti investigativi OCCRP, nel 2007 VimpelCom ha inviato denaro a un’azienda controllata da Gulnara Karimova, figlia dell’allora presidente dell’Uzbekistan Islam Karimov. Quei soldi sono serviti per acquistare le licenze per le telecomunicazioni.

Nel 2015 l’ex amministratore delegato di VimpelCom è stato arrestato con l’accusa di corruzione in un’indagine da parte delle autorità statunitensi, svizzere e olandesi. A novembre 2017 queste accuse sono cadute. Nel frattempo VimpelCom – che ha cambiato nome in Veon – ha ammesso nel 2016 di aver pagato più di 114 milioni di dollari in tangenti e ha accettato di pagare una sanzione di 795 milioni di dollari per risolvere le relative indagini statunitensi e olandesi.

Inoltre, un’altra inchiesta di Klassekampen ha rivelato che, oltre alla corruzione, VimpelCom ha sponsorizzato la raccolta annuale di cotone in Uzbekistan, facendo donazioni al regime di Karimov. L’Ong Human Rights Watch ha equiparato queste raccolte di cotone a veri e propri lavori forzati.

Gli operatori telefonici in Myanmar giocano un ruolo importante nella repressione, in particolare i due operatori nazionali MPT e Mytel, entrambi vicini al governo e all’esercito.

Per certi versi Telenor sembrava offrire una speranza di protezione dalla sorveglianza. Pur avendo cercato di resistere alla richiesta di fornire sorveglianza in tempo reale, però, Telenor è stata costretta a consegnare i dati degli utenti come gli indirizzi e la cronologia delle chiamate, come rivelato da un’inchiesta della testata danese Danwatch in collaborazione con Frontier Myanmar e grazie alle informazioni di una fonte interna alla polizia birmana.

Da quando è entrata nel mercato birmano, Telenor è obbligata a condividere i dati dei propri utenti come ad esempio lo storico delle chiamate effettuate, il documento d’identità usato per registrare la SIM card e la posizione – ma non i contenuti delle conversazioni. Queste informazioni possono essere richieste a fini di indagine ma, in una situazione di quasi-guerra civile, potrebbero essere facilmente usati anche per reprimere l’opposizione. Una situazione simile avviene anche nei Paesi europei: in Italia gli operatori telefonici sono costretti a fornire le cosiddette “prestazioni obbligatorie di giustizia” per aiutare nelle attività di indagine.

Stando al report annuale pubblicato dalla stessa Telenor, nel 2020 l’azienda ha soddisfatto le richieste del governo birmano in 91 casi su 97. Danwatch sottolinea però che una richiesta può riguardare più persone e non è quindi chiaro quanti utenti fossero coinvolti.

Il futuro nelle mani della libanese M1 Group

Il nuovo proprietario di Telenor Myanmar desta però già preoccupazioni, come sottolineato in un articolo degli attivisti di Justice for Myanmar. M1 Group è stata fondata da Najib Mikati e da suo fratello Taha Mikati. Najib Mikati è stato due volte primo ministro del Libano nel 2005 e nel 2011. I due hanno fondato anche l’azienda Investcom con lo scopo di entrare nel mercato delle telecomunicazioni, espandendosi nei mercati dell’Africa occidentale e in altri Paesi del Medio Oriente.

Nel 2001 Investcom sbarca in Siria sotto il regime di Bashar al-Assad, in un momento in cui le atrocità del regime stavano già affiorando, sottolineano gli attivisti di Justice for Myanmar. E nel 2005 Investcom ha lanciato una rete mobile in Sudan, in un momento centrale della crisi in Darfur – proprio in quell’anno una squadra investigativa delle Nazioni unite aveva concluso che erano stati commessi crimini di guerra. Investcom si è poi fusa con MTN Group, un operatore mobile che opera in Africa, Asia e Europa, di cui M1 Group possiede la maggioranza delle azioni.

M1 Group possiede una quota anche in Irrawaddy Green Towers (IGT), una delle maggiori società di torri telefoniche del Myanmar. Come ricostruito dagli attivisti di Justice for Myanmar, IGT ha firmato un accordo con Mytel nel luglio 2017 per concedere l’utilizzo delle proprie torri telefoniche. Per gli attivisti quindi IGT sostiene gli affari dell’esercito del Myanmar ed è legata ai suoi crimini.

«Telenor è entrata in Myanmar perché credevamo che l’accesso a servizi mobili a prezzi accessibili avrebbe sostenuto lo sviluppo e la crescita del Paese», ha dichiarato il Presidente di Telenor nel comunicato di annuncio della vendita. Ora quella stessa infrastruttura potrebbe essere utilizzata esclusivamente per lo sviluppo e la crescita della sorveglianza.

Foto: la polizia del Myanmar in tenuta antisommossa a Taunggyi, Myanmar, il 28 febbraio 2021 – R. Bociaga/Shutterstock | Editing: Lorenzo Bagnoli

L’export dei software di sorveglianza fra triangolazioni e opacità

15 Giugno 2021 | di Luca Rinaldi

La vicenda riportata ieri, 14 giugno, da IrpiMedia nell’ambito di una inchiesta internazionale sull’export di tecnologia a doppio uso (beni che possono essere utilizzati sia a scopo civile, sia militare) riapre, o dovrebbe riaprire, un dibattito rimasto sopito da ormai un decennio: come è possibile che beni di questo tipo finiscano da Paesi dell’Unione europea a Paesi inseriti nelle blacklist internazionali perché ritenuti autoritari, come lo è oggi il Myanmar?

Il materiale venduto riguarda in sostanza tecnologie di tracciamento e mappatura per il monitoraggio delle comunicazioni. Software che possono localizzare e in molti casi osservare il contenuto di telefoni cellulari e dispositivi connessi alla rete. Applicazioni con cui oggi si combatte, nei Paesi autoritari, la guerra al dissenso politico. Sono queste le applicazioni che permettono a eserciti o gruppi paramilitari di localizzare manifestanti, attivisti, giornalisti e dissidenti andandoli a stanare per reprimere le rivolte nel sangue, come testimoniano gli 805 morti in Myanmar dall’inizio dell’anno.

L’inchiesta

Myanmar, lo Stato di sorveglianza che aggira l’embargo dell’Ue

Il blocco europeo vieta l’export di beni dual use e altre tecnologie in quanto possibili strumenti di repressione. Documenti dei ministeri birmani però mettono in dubbio che sia stato rispettato

Dalla guerra civile in Siria in poi la vendita di questa tipologia di software a Paesi nella lista nera dell’Unione europea è un tema ricorrente, anche perché a costituire la base legale di tali transazioni commerciali c’è il trattato di Wassenaar. Quaranta Paesi a partire dal 2011 si accollano il controllo del movimento di questa tipologia di beni validi sia per scopi civili sia per scopi militari per la prevenzione della proliferazione di materiali potenzialmente pericolosi. Non a caso nel trattato a fianco a una lista riguardante munizioni e oggetti con chiari scopi militari ce n’è una al cui interno ricadono proprio i sistemi elettronici e le applicazioni di cui abbiamo scritto.

Il problema nel corso di questo decennio sono state però non le vendite dirette a Paesi in lista nera da parte dei produttori europei, ma le triangolazioni. Un esempio: un produttore italiano vende tecnologia dual-use a un Paese in cui è autorizzata a farlo e quest’ultimo funge di fatto da intermediario rivendendo il prodotto a un Paese che per l’Unione europea è sotto embargo (e dunque non potrebbe ricevere il prodotto direttamente dall’Italia), ma non lo è per il Paese che ha originariamente acquistato il bene dall’Italia.

Le tecnologie digitali dual-use

Per tecnologie digitali dual-use si intendono quelle tecnologie che possono essere usate sia per scopi civili sia militari. Alcuni esempi di tecnologie dual-use sono quelle che permettono di intercettare le comunicazioni telefoniche, gli spyware che possono intrufolarsi negli smartphone, ma anche tecnologie per eludere la cifratura e le password utilizzate per proteggere i dispositivi da occhi indiscreti. In molti di questi casi, queste tecnologie possono sfruttare i cosiddetti zero-days, ovvero vulnerabilità dei software di cui neppure il produttore è a conoscenza. Non tutte le tecnologie digitali sono beni dual-use ma questo non vuol dire che ci siano minori rischi di abusarne.

Questo è in sostanza ciò che è accaduto nel caso del Myanmar con la italiana SecurCube. Non risultano infatti nei report annuali pubblicati dal governo sull’export di armamenti licenze rilasciate per l’esportazione verso il Myanmar negli ultimi due anni. Tracciare la vendita è sicuramente complicato e probabilmente una richiesta di maggiore responsabilizzazione in capo ai venditori pare essere sacrosanta, ma allo stesso tempo non si può fingere che i meccanismi di controllo istituzionali messi in campo da governi e Unione europea siano sufficienti e soprattutto attuali.

Ci sarà occasione a livello politico di tornare sul tema nelle prossime settimane quando, come annunciato ieri, 14 giugno, il deputato Filippo Sensi presenterà una interrogazione parlamentare sulla vicenda che abbiamo riportato. Una riflessione quanto mai necessaria viste le “armi spuntate” del controllo delle licenze all’interno delle triangolazioni. Non c’è una ricetta per risolvere un problema di tale portata, soprattutto in tema di software, ma la presa di coscienza che rivedere la filiera di controllo (oggi in mano all’Unità per le autorizzazioni dei materiali di armamento [UAMA] del Ministero degli Esteri) deve essere un tema all’ordine del giorno dell’agenda politica sarebbe già un grande passo avanti.

In ultimo si pone poi un grande tema di trasparenza applicata a macchia di leopardo in tutta l’Unione europea. Una quota di Paesi, tra cui l’Italia, avvolge di segretezza l’intero mercato ritenendolo tout-court ricompreso nel perimetro della sicurezza nazionale, con qualche lamentela perfino di produttori e venditori, altri che invece rendono disponibili i dati sulle licenze di esportazione completamente aperte al pubblico. Pur agendo all’interno di un quadro legale comune e comunitario le applicazioni della stessa normativa sono disomogenee. Una disomogeneità che crea opacità.

Editing: Lorenzo Bagnoli | Foto: Mathew Schwartz/Unsplash

Arresti immotivati e nuovi interrogatori per il giornalista marocchino Omar Radi

8 Luglio 2020 | di Cecilia Anesi, Raffaele Angius

Omar Radi, giornalista d’inchiesta in Marocco, ieri sera ha ricevuto una terza convocazione dalla polizia per un nuovo interrogatorio previsto per oggi, 8 luglio. Solo due giorni fa era stato arrestato: «Ubriachezza molesta, violenza, insulti e riprese senza autorizzazione», queste le accuse con cui è stato ammanettato e successivamente rilasciato la sera del 6 luglio scorso a Casablanca. Da tempo Radi è inviso al governo del Paese per aver denunciato la corruzione dell’esecutivo in numerose inchieste.

Il giornalista da giorni è al centro dell’attenzione mediatica in Marocco, in seguito alla pubblicazione da parte di Amnesty International di un report con il quale si dimostra come il telefono dell’uomo fosse sottoposto a sorveglianza grazie all’impiego di un malware sviluppato dall’azienda israeliana NSO Group, di cui si sospetta il Marocco sia cliente. L’inchiesta pubblicata da Amnesty International in collaborazione con il consorzio investigativo Forbidden Stories, di cui IrpiMedia è partner per l’Italia, ha consolidato la consapevolezza che diversi giornalisti, attivisti per i diritti umani e in generale personalità critiche nei confronti del governo sono sottoposte a sorveglianza. Lo scorso 6 luglio insieme a Omar Radi è stato arrestato e poi rilasciato anche il giornalista Imad Stitou, che si trovava con Radi al momento dell’episodio.

Come ricostruito da Forbidden Stories, Radi e Stitou erano in un pub di Casablanca, quando un operatore del canale televisivo Chouf TV – noto per il suo sensazionalismo e considerato vicino al governo marocchino – li ha avvicinati cercando di riprenderli. Da tempo l’emittente segue il giornalista, su cui ha pubblicato diversi articoli e servizi televisivi nei quali ha anche rilevato dettagli della sua vita personale, nel tentativo di screditarlo. Come riporta Le Desk, la testata online per cui lavora Radi, l’operatore di Chouf TV ha aspettato Radi fuori dal pub appostato in un furgone, insieme alla moglie e al figlio. Non appena Radi è uscito dal pub, l’operatore insieme alla famiglia si è diretto verso il giornalista filmandolo. Dalle immagini diffuse dall’emittente si vede chiaramente l’alterco verbale tra Radi e l’operatore di Chouf TV, interrotto dall’arrivo immediato della polizia, che ha arrestato Radi e Stitou. Le Desk ha definito l’episodio «un agguato», suggerendo che l’intera scena fosse stata preparata a danno del proprio giornalista.

Aggiornamento del 30 luglio

Omar Radi è stato arrestato ieri, 29 luglio. Alle accuse di spionaggio internazionale si sono aggiunte quelle di stupro dopo una denuncia presentata alle autorità nei giorni in cui lo stesso veniva sottoposto agli interrogatori da parte della polizia marocchina. Radi è stato interrogato una decina di volte dopo la pubblicazione del report di Amnesty Internationale che dimostrava come il giornalista fosse sottoposto a sorveglianza da parte delle autorità marocchine. Solidali con il giornalista la stessa Amnesty e Reporters Senza Frontiere che bolla l’arresto come una «intimidazione».

Una delle convocazioni ricevute da Omar Radi all’indomani dell’inchiesta di Amnesty sulla sorveglianza 

Nel filmato è possibile vedere i due giornalisti che cercano di riprendere a loro volta il cameraman, usando i propri smartphone. «Guarda, è Omar Radi, è completamente ubriaco. E anche il suo ragazzo è ubriaco», replica l’operatore, alludendo a una relazione sentimentale tra i due. In Marocco infatti l’omosessualità è considerata un reato.

Radi era stato chiamato due volte per essere interrogato dalla polizia giudiziaria negli ultimi 10 giorni, dopo la pubblicazione del report di Amnesty e la copertura giornalistica internazionale data da Forbidden Stories e dai media partner di più di dieci Paesi.

Il video ripreso dall’operatore di Chouf TV 

Durante il primo interrogatorio, il 25 giugno, la polizia aveva chiesto conto di alcuni finanziamenti che il giornalista ha ricevuto dall’organizzazione non-profit Bertha Foundation, impegnata nel sostenere attività d’inchiesta sull’esproprio delle terre, il cosiddetto land-grabbing. Secondo le autorità il fatto che Omar non abbia ancora pubblicato articoli derivanti dal lavoro finanziato dalla Ong sarebbe la prova che Radi utilizza il suo lavoro da giornalista come copertura per delle attività di spionaggio. Radi è stato nuovamente convocato per un interrogatorio il 1 luglio a mezzogiorno, e rilasciato dopo molte ore.

«Due interrogatori in due settimane: è una persecuzione giudiziaria. Sono stato assalito, arrestato, incarcerato, querelato e linciato anche dai tabloid. Ritengo – spiega il giornalista – che siamo arrivati ad un preoccupante stadio di criminalizzazione del giornalismo: questi interrogatori sono parte di una più ampia strategia persecutoria nei miei confronti, che – conclude Radi in una nota diramata ai media – inizia con il malware, passa per articoli su tabloid denigratori e termina con una sorveglianza fisica continua da parte della polizia, che mi segue ovunque».

In partnership con: Forbidden Stories | Foto: il giornalista marocchino Omar Radi – Fanny Hedenmo

Sorveglianza: giornalisti ancora nel mirino dei software spia

22 Giugno 2020 | di Cecilia Anesi, Raffaele Angius

Un altro giornalista è caduto vittima delle tecnologie di sorveglianza di NSO Group, azienda israeliana specializzata nello sviluppo di software di sorveglianza, grazie alla quale i governi di mezzo mondo possono spiare media, attivisti e oppositori politici. A farne le spese stavolta, in Marocco, è stato Omar Radi, giornalista d’inchiesta del giornale indipendente LeDesk, che grazie ad Amnesty International ha scoperto di essere stato il bersaglio di una campagna di intrusioni informatiche contro il suo telefono durata almeno un anno: dal gennaio del 2019 allo stesso mese del 2020. Dietro l’operazione si sospetta ci siano le autorità del Paese, da tempo tra i clienti ai quali NSO Group fornisce sistemi di intercettazione tra i più avanzati al mondo.

È questo il quadro che emerge da un’analisi condotta dagli esperti di sorveglianza di Amnesty International, condiviso in esclusiva con Forbidden Stories, piattaforma che prosegue le inchieste di giornalisti minacciati o uccisi, di cui IrpiMedia è partner per l’Italia.

Aggiornamento del 24 giugno 2020

Oma Radi è stato convocato dalla Brigata nazionale di polizia giudiziaria del Paese per chiarimenti. La misura è stata disposta all’indomani della pubblicazione dell’inchiesta che state leggendo condotta dal consorzio di giornalismo investigativo Forbidden Stories, di cui IrpiMedia è membro, nella quale si sono rivelati i numerosi episodi nei quali attaccanti informatici non identificati hanno preso di mira lo smartphone del giornalista, utilizzando il software-spia Pegasus. Questa tecnologia è sviluppata dall’azienda israeliana NSO, di cui il Marocco è ritenuto da tempo un cliente. Omar Radi dovrà presentarsi alle autorità domani, 25 giugno 2020, alle 9:00 del mattino ora locale (le 10:00 in Italia). L’inchiesta internazionale era stata pubblicata tre giorni prima.

Forbidden Stories

Forbidden Stories è una piattaforma che prosegue le inchieste di giornalisti minacciati o uccisi, di cui IrpiMedia è partner per l’Italia. Nel mondo questo approfondimento è pubblicato anche da Le Monde, Radio France, Die Zeit, Süddeutsche Zeitung, WDR, SVT, Utrikesmagasinet, Washington Post, Toronto Star, The Guardian, OCCRP, Daraj, Haaretz, NDR.

Il nome di NSO Group è ben noto nell’ambito della sicurezza informatica e delle organizzazioni per la tutela dei diritti umani. Il software-spia da loro sviluppato – nome in codice Pegasus – è estremamente efficace per condurre intercettazioni e acquisire qualsiasi informazione contenuta nei telefoni dei suoi bersagli: funzionalità particolarmente gradite a governi autoritari e regimi repressivi. Il nome di Pegasus è emerso tra l’altro più volte nel caso dell’omicidio del giornalista saudita Jamal Kashoggi, spiato e poi ucciso al consolato dell’Arabia Saudita a Istanbul.

«Amnesty International aveva già scoperto altre violazioni prima della mia, ma nulla è cambiato»

Omar Radi, giornalista

«Amnesty International aveva già scoperto altre violazioni prima della mia, ma nulla è cambiato: possiamo solo continuare a cambiare telefono ma è come la lotta tra Davide e Golia», ricostruisce Omar Radi. E il problema non è solo che il telefono di Omar sia stato infettato al fine di controllarne il contenuto, ma anche che alcuni di questi episodi siano avvenuti dopo che NSO aveva pubblicato le nuove policy di rispetto dei diritti umani che cercavano di “ripulire” l’immagine di un’azienda su cui Amnesty aveva già pubblicato dati preoccupanti.

Le ripetute campagne di intercettazione nei confronti del dispositivo di Omar dimostrano come, nonostante le promesse, Nso Group abbia continuato a distribuire i propri prodotti senza condurre delle adeguate verifiche di valutazione sul rispetto dei diritti umani da parte dei suoi clienti.

Eppure tutto sarebbe dovuto cambiare

«I prodotti Nso sono utilizzati esclusivamente da agenzie di intelligence nazionali e organi di polizia al fine di combattere il crimine e il terrorismo», si legge sul sito dell’azienda israeliana. Tuttavia, numerosi studi e ripetuti casi venuti alla luce nell’ultimo anno raccontano una storia diversa, nella quale i bersagli prediletti dei clienti di Nso sono piuttosto attivisti e giornalisti. Tra questi, sempre in Marocco, anche lo storico e co-fondatore del movimento Freedom Now, Maati Monjiib, e l’avvocato Abdessadak El Bouchattaoui, coinvolto nella difesa dei manifestanti arrestati durante le proteste berbere del movimento Hirak El-Rif, tra il 2016 e il 2017.

Grazie all’analisi dei loro dispositivi, gli esperti di Amnesty International non solo avevano scoperto le ripetute operazioni ai danni dei due attivisti, ma erano anche stati in grado di determinare l’evoluzione tecnologica delle tecniche d’intrusione perfezionate da NSO Group, che sembra ora in grado di inoculare Pegasus semplicemente sfruttando il controllo della rete alla quale sono collegati gli smartphone.

Tecnicamente si chiama network injection (dall’inglese, iniezione su rete) e consiste nella capacità di deviare la connessione di un dispositivo su un indirizzo scelto dall’autore dell’attacco informatico. Dall’analisi condotta a ottobre del 2019, sarebbe proprio questa la tecnica utilizzata con lo smartphone di Maati Monjib, che durante una normale navigazione su internet si è visto reindirizzato, cliccando sul link di un sito d’informazione sull’app di Facebook, verso la pagina free247downloads[.]com. Di fatto una trappola, che una volta scattata ha permesso di inoculare Pegasus nel suo smartphone. Tre giorni dopo che Amnesty International ha condiviso il risultato della sua ricerca con NSO Group per chiedere un commento, il dominio free247downloads[.]com è stato disabilitato.

Il sito Internet di NSO Group/IrpiMedia

Ma non per questo la tecnica è stata cestinata. La network injection è estremamente efficace in quanto permette all’autore di un attacco informatico di acquisire il controllo di un dispositivo senza che il bersaglio debba interagire con la trappola. La tecnica più comune osservata fino al 2018 prevedeva l’invio di Sms apparentemente legittimi al telefono del bersaglio, contenenti un link malevolo. In questo scenario la “preda” avrebbe dovuto cliccare erroneamente sul link perché avvenisse l’inoculazione.

Se da un lato possono rivelarsi estremamente utili nel contrasto alla criminalità e al terrorismo, questi strumenti possono essere molto dannosi se abusati da Paesi nei quali non è garantita a pieno la libertà di espressione e di critica nei confronti del governo. 

È questo il caso del Marocco che, come denunciato più volte dalle organizzazioni per i diritti umani, ha intensificato la stretta contro proteste pacifiche e dissidenti, arrestando arbitrariamente giornalisti, attivisti, artisti, youtuber e in generale chiunque abbia osato criticare apertamente il Re o le autorità. Da novembre 2019 a oggi, Amnesty ha documentato dieci casi di persone irregolarmente arrestate e detenute

Tra questi anche Omar Radi, che a novembre del 2019 è stato arrestato per un tweet pubblicato mesi prima, ad aprile, nel quale criticava il sistema giudiziario e la condanna delle persone che avevano protestato nel 2017 durante le proteste della popolazione berbera

Rilasciato dopo alcuni giorni, a marzo del 2020 Radi è stato condannato a quattro mesi di carcere (con il beneficio della sospensione della pena) e a pagare una multa di 500 dirhams (circa 50 euro). L’analisi condotta dagli esperti di Amnesty International ha permesso di individuare sullo smartphone di Omar Radi una cartella nascosta creata il 27 gennaio del 2019, nel cui nome compare il medesimo indirizzo riscontrato sul telefono di Maati Monjiib: free247downloads.com.

Come funziona Pegasus: quei decisivi tre millisecondi

Tre millisecondi. Tanto è servito allo smartphone di Omar Radi per essere reindirizzato verso il sito dal quale gli è stato inoculato il malware Pegasus. Almeno questo è quanto ha riscontrato Amnesty International in uno degli episodi identificati sul suo smartphone, il 27 gennaio 2020. Come ricostruito dai tecnici, Radi era sull’app di Facebook quando ha cliccato sul link di un sito d’informazione ed è stato immediatamente reindirizzato verso l’indirizzo contenente il malware. Ma questa volta si trattava di un dominio non noto ai ricercatori – urlpush[.]net -, corrispondente a un server messo in servizio un mese dopo la pubblicazione di Amnesty di ottobre. Il precedente dominio, free247downloads[.]com, era stato cessato il 4 o il 5 ottobre, due giorni dopo che Amnesty International contattasse NSO Group e una decina di giorni prima che il report fosse reso pubblico. Precedenti attacchi sul telefono di Omar sono stati rilevati il 27 gennaio 2019, l’11 febbraio e il 13 settembre. L’ultimo attacco riscontrato risale al 29 gennaio 2020, due giorni prima del precedente. «Mentre le tempistiche suggeriscono un link a NSO – si legge nel report – alcuni dettagli tecnici dell’attacco, compreso il fatto che entrambi i domini riconducono verso lo stesso sito è una prova decisiva per collegare gli strumenti di NSO Group all’attacco contro Omar Radi».

«Questo [tipo di attacco] è tipicamente condotto grazie all’uso di apparecchiature tattiche», spiega a IrpiMedia Claudio Guarnieri, esperto di sicurezza informatica e autore dello studio condotto da Amnesty International. Il riferimento è agli IMSI Catcher: apparecchi che simulano una cella telefonica e quindi si frappongono tra uno smartphone e l’operatore telefonico. Un’altra ipotesi è che chi conduce l’operazione di spionaggio possa avere accesso agli stessi operatori telefonici. In tutti e due i casi, chi attacca ha accesso al traffico dati dell’utente. «Una volta stabilita la posizione di vantaggio, come nel caso di Omar a gennaio o prima ancora di Maati, gli attaccanti possono monitorare il traffico dei dispositivi». L’unico presupposto affinché il dirottamento della connessione avvenga è che l’utente provi ad accedere a siti non protetti da un certificato SSL: si tratta delle pagine il cui indirizzo è preceduto da un “http://”. Da anni è in fase di introduzione in tutto il regno di Internet il protocollo “https://”, la cui “S” identifica che la pagina è protetta. In tutti i casi analizzati, sia Maati Monjib sia Omar Radi stavano navigando su pagine prive di questo tipo di protezione.

«Qualsiasi sito visitato, sia tramite una ricerca manuale su Safari (il browser di default in iOS, ndr) sia visitando un link condiviso su Twitter o Facebook potrebbe causare la trasmissione [del malware], purché la pagina a cui si accede non sia criptata», precisa Guarnieri: «Il tutto avviene in modo automatico e non richiede alcuna interazione né da parte del bersaglio né da quella dell’attaccante: il sistema è autosufficiente».

Ma Pegasus non è solo un software d’intercettazione, anzi: «questo è solo un nome in codice che gli è stato affibbiato ormai diversi anni fa», spiega Guarnieri. «Versioni precedenti scoperte anni fa hanno fornito qualche indicazione su che tipo di dati raccolga, dai registri di Viber e IMO (due app di messaggistica, ndr) fino alle chiamate Whatsapp e agli Sms. Insomma, i dati che tipicamente ci si aspetta vengano esfiltrati da un telefono», aggiunge.

Ma a quali dati acceda oggi nessuno può saperlo con precisione, né è nota la lista dei clienti di NSO Group. A fornire una prima ricostruzione della fisionomia di Pegasus ci aveva pensato, nel 2018, il Citizen Lab della Munk School of Global Affairs di Toronto, che aveva accertato l’impiego di Pegasus in Arabia Saudita, Bahrain, Kazakistan, Marocco, Messico e Emirati Arabi Uniti. Una testimonianza del suo successo è però ben rappresentata anche dal valore del gruppo: a febbraio del 2019 il fondo privato britannico Novalpina Capital ha supportato l’acquisto dell’azienda da parte dei suoi dirigenti. Un’operazione costata un miliardo di dollari (circa 900 milioni di euro) e alla fine della quale il fondo d’investimento ha mantenuto una quota dell’azienda.

In seguito all’operazione, Novalpina Capital si era impegnata a promuovere una migliore definizione delle linee guida e dei principi di NSO Group al fine di meglio tutelare i diritti umani, istituendo addirittura un “Governance, Risk, and Compliance Committee”. Tre giorni dopo l’annuncio, Omar Radi è stato vittima di uno dei tentativi di inoculazione di Pegasus.

Sfortunatamente nessuno ha mai potuto analizzare una versione più recente di Pegasus – «Per quanto ne sappiamo», dice Guarnieri di Amnesty – dal momento che l’azienda ha sviluppato capacità e tecniche tali da renderlo irreperibile a qualsiasi analisi esterna: «L’azienda è molto più prudente di quanto non fosse cinque anni fa».

Le prime tracce di Pegasus risalgono proprio al 2016, quando un’inchiesta del New York Times ne svelò l’esistenza in collegamento con una massiccia campagna di spionaggio internazionale. All’epoca era possibile eseguire l’inoculazione del malware su dieci telefoni al costo di 650 mila dollari, più 500 mila dollari di supporto tecnico.

Ma della tecnologia “dual use” – termine che identifica gli strumenti impiegabili sia in scenari di pace sia bellici – si è tornati a parlare a maggio del 2019, con la scoperta che i tecnici di NSO Group erano in grado di installare il proprio prodotto sul dispositivo di un bersaglio attraverso una semplice videochiamata su Whatsapp, a causa di una vulnerabilità non nota e immediatamente riparata dagli sviluppatori dell’app di messaggistica. Tutt’ora Facebook, proprietaria dell’app per chattare, è in causa con NSO Group. Un miliardo e mezzo di utenti dovettero aggiornare l’app sui propri dispositivi.

Il confronto di Nso Group con l’opinione pubblica era iniziato proprio con quell’episodio, denunciato dagli esperti del Citizen Lab. I ricercatori avevano scoperto che la vulnerabilità di Whatsapp aveva permesso di infettare il telefono di un avvocato londinese coinvolto in un processo proprio proprio contro NSO Group, che doveva difendersi dall’accusa di aver fornito gli strumenti utilizzati per spiare il dissidente saudita Omar Abdulaziz. Tra il 2016 e il 2018 si stima che Pegasus sia stato impiegato in 36 diverse installazioni indipendenti tra loro in tutto il mondo, per un totale di 46 Paesi coinvolti.

«Gli attaccanti possono vedere qualunque cosa venga mostrata sullo schermo del bersaglio», ha commentato a Forbidden Stories un portavoce del Citizen Lab, una volta che l’organizzazione è stata messa al corrente della prossima pubblicazione di questa inchiesta. «Non abbiamo avuto alcuna significativa dimostrazione del fatto che le nuove regole sui diritti umani di NSO Group siano stati efficaci – commenta Citizen Lab – ma è importante notare che una volta venduto il prodotto c’è anche un’intensa attività di collaborazione tra il cliente e NSO. Per esempio, per la fornitura degli aggiornamenti»

Contattata il 16 giugno per una richiesta di commento, NSO Group ha risposto: «L’NSO è profondamente disturbata dalle accuse contenute nella lettera di Amnesty International. Stiamo verificando le informazioni in essa contenute e inizieremo un’investigazione», commenta un portavoce. «La lettera di Amnesty International pone diverse questioni riguardanti il rapporto che NSO Group potrebbe avere nei confronti delle autorità del Marocco, e delle azioni che avevamo preso in seguito a un rapporto di Amnesty International riguardo potenziali abusi dei prodotti di NSO da parte di quelle autorità. L’NSO intende essere quanto più trasparente possibile in risposta a tali accuse riguardanti gli abusi del suo prodotto. Ma dal momento che sviluppiamo e distribuiamo tecnologie che assistono la lotta al terrorismo, ai crimini seri e alle minacce di sicurezza nazionale, NSO è obbligata a rispettare un vincolo di confidenzialità e non può rivelare l’identità dei suoi clienti».

Gli altri attacchi e il lavoro di Omar

Omar ci racconta che da tempo sospettava di essere intercettato. Sia perchè in passato il governo aveva già spiato il suo computer grazie a un virus prodotto dalla italiana Hacking Team (erano state infettati più di 2.000 target in Marocco) e sia perché, sostiene Omar, «le autorità marocchine stanno comprando qualsiasi tipo di tecnologia di sorveglianza e spionaggio possibile. Vogliono sapere tutto, sono diventati un’azienda di spionaggio. D’altronde siamo in uno stato di polizia, quindi è normale». 

Omar ha lavorato come giornalista d’inchiesta per oltre 12 anni seguendo la politica, il potere locale e le relazioni con l’industria e la finanza. Ha anche lavorato e lavora sul tema della giustizia sociale, soprattutto la questione del land grabbing. Proprio in questi giorni su LeDesk è stato pubblicato un nuovo lavoro di Omar sul tema che è stato più difficile del previsto: le vittime che avevano deciso di parlargli sono state poi minacciate dalla polizia e Omar prima di pubblicare ha dovuto togliere le loro storie per proteggerli. Durante la primavera araba, Omar aveva contribuito al lancio della piattaforma di informazione in francese Lakome.com che è stata censurata dalle autorità e il suo direttore imprigionato per avere «glorificato il terrorismo».

Il giornalista Omar Radi – Foto: Fanny Hedenmo

Durante il lockdown a causa del Covid-19, Omar con la redazione di LeDesk ha lavorato sulla mancanza di trasparenza negli appalti per le forniture mediche. Ma per Omar non è solo la voglia di scoprire i temi su cui lavorano i giornalisti il motivo delle intrusioni delle autorità marocchine con il software spia Pegasus. «Faccio parte di un gruppo di persone ritenute “teste calde”, “nemici della nazione”. E ci sorvegliano, anche elettronicamente. È fastidioso perché è una invasione della nostra privacy, lo Stato ha in mano il tuo passato, presente, le tue foto, i tuoi messaggi, le tue cose personali», spiega Omar. Ma non è solo questo, è la rete dei contatti che secondo il giornalista è la gallina dalle uova d’oro che cercano le autorità. «C’è in corso un vero e proprio processo di mappatura delle persone, e probabilmente spiano principalmente i soggetti che hanno più contatti, come i giornalisti. Ed è una cosa che credo sia iniziata da molto tempo, almeno dal 2009», conclude Omar Radi.

Il 7, 9 e 14 giugno di quest’anno il tabloid Chouftv ha pubblicato una campagna di delegittimazione su alcuni giornalisti di punta, tra cui Omar. Le vittime sospettano che sia stata una manovra pilotata dai servizi segreti. Le informazioni riportate erano sicuramente state estrapolate dai telefoni dei giornalisti. «Hanno pubblicato informazioni su di noi di vario tipo, chi siamo, dove viviamo, con chi viviamo, se paghiamo l’elettricità o no, se beviamo alcolici e cose di questo genere. Tutto per fare passare un messaggio: vi controlliamo». Nel caso di Omar, è stato pubblicato il nome della sua coinquilina descrivendo la cosa come una «relazione illegale, fuori dal matrimonio» ma anche materiale di lavoro, per lo più conversazioni avvenute su Whatsapp, e in particolare una conversazione con un ricercatore americano avvenuta sulla app Signal (in teoria sicura, ma non se Pegasus buca il telefono).

Alcune delle informazioni però, erano chiaramente frutto di un’altro tipo di sorveglianza, quella classica, fisica, e non meno preoccupante. Significa che chi spia i giornalisti marocchini con i software NSO, poi li segue anche per strada e potrebbe facilmente attaccarli. Ma per Omar questo non è l’aspetto peggiore. L’aspetto peggiore sono le smear campaign che vengono costruite, campagne di delegittimazione che isolano il giornalista e che terrorizzano potenziali fonti, su cui si basa il lavoro di informazione. «In questo modo le persone diventano riluttanti a parlare con noi giornalisti, se sanno che sono intercettato. Ci organizziamo con altri sistemi come SecureDrop», spiega Omar. Questo però, conclude il giornalista «rallenta i processi, per le persone è complicato capire come usare i sistemi di comunicazione sicura. Ma non importa, anche se ci vorrà più tempo e se ci sorvegliano, non smetteremo di fare il nostro lavoro». Il governo marocchino, contattato da Forbidden Stories per il consorzio, non ha voluto commentare.

In partnership con: Forbidden Stories | Foto: Shahadat Rahman/Unsplash

18Shares

Share via