Myanmar, fuori Telenor, dentro M1 Group: il regime di sorveglianza alla fase 2

13 Luglio 2021 | di Riccardo Coluccini

Acinque mesi dal colpo di stato in Myanmar, l’opposizione pacifica al regime si è trasformata in resistenza armata. Il modo in cui la giunta militare birmana sfrutta le tecnologie europee è stato ricostruito in una precedente inchiesta di IrpiMedia realizzata insieme a Lighthouse Reports, The Intercept, Al Jazeera e OCCRP. Un mese dopo la pubblicazione, i timori che in Myanmar si costituisse uno Stato di sorveglianza si stanno concretizzando sempre di più. Il più recente segnale è dato dalla decisione di Telenor, operatore di telecomunicazioni norvegese, di vendere in fretta la propria divisione birmana, Telenor Myanmar, e andarsene dal Paese. In un comunicato dello scorso 8 luglio Telenor ha annunciato la cessione completa delle sue attività in Myanmar alla società M1 Group, holding con base in Libano, a fronte di un pagamento complessivo di 105 milioni di dollari (circa 84,5 milioni di euro), di cui 55 milioni da versare in differita in un periodo di 5 anni.

«La situazione in Myanmar è diventata negli ultimi mesi sempre più impegnativa per Telenor», ha dichiarato nel comunicato Sigve Brekke, presidente e amministratore delegato di Telenor Group. Le motivazioni sono tre: «la sicurezza del personale», «le condizioni normative» e «la conformità» alle regole dettate dalla giunta. «Abbiamo valutato tutte le opzioni e crediamo che una vendita della società sia la migliore soluzione possibile – ha aggiunto Brekke -. L’accordo per la vendita a M1 Group garantirà la continuità delle operazioni».

L’acquirente libanese M1 ha già legami con l’esercito birmano visto che in passato ha investito in un’azienda locale che si occupa di installare torri telefoniche e la rapida cessione di Telenor Myanmar ha generato nuovi timori per gli attivisti.

Telenor è entrata nel mercato birmano nel 2014 ed è una dei quattro operatori telefonici in Myanmar, assieme a Ooredoo del Qatar, Myanmar Posts and Telecommunications (MPT) e a Mytel, società di telefonia nata come joint venture tra le aziende di Stato controllate dai ministeri della difesa vietnamita e birmano. Fino a questo momento Telenor era stata costretta ad accettare ordini di rimozione e blocco di pagine internet senza pubblicare i decreti ricevuti dal Ministero.

Per approfondire

Myanmar, lo Stato di sorveglianza che aggira l’embargo dell’Ue

Il blocco europeo vieta l’export di beni dual use e altre tecnologie in quanto possibili strumenti di repressione. Documenti dei ministeri birmani però mettono in dubbio che sia stato rispettato

A maggio 2021 Telenor aveva tagliato ogni prospettiva futura per le sue attività in Myanmar, a fronte di una perdita stimata in 6,5 miliardi di corone norvegesi – quasi 7 milioni di euro – per il 2021, ma la situazione è precipitata negli ultimi due mesi al punto da costringere l’azienda norvegese a fare questa vera e propria svendita.

Ricatti e pressioni dell’esercito birmano

Una delle motivazioni che potrebbero aver spinto ad accelerare i tempi dell’operazione potrebbe essere dovuta alle recenti richieste del Tatmadaw, nome con cui è conosciuto l’esercito birmano, tornato al potere dopo il colpo di Stato del 1 febbraio.

Secondo quanto ricostruito da Reuters, i dirigenti stranieri delle principali aziende di telecomunicazioni in Myanmar sono stati informati dalla giunta che non avrebbero potuto lasciare il Paese senza un permesso speciale. Questa richiesta sarebbe arrivata intorno alla metà di giugno sotto forma di ordine riservato inviato dal Dipartimento delle Poste e Telecomunicazioni (PTD) – uno dei dipartimenti del Ministero dei Trasporti e Comunicazioni (MOTC), coinvolto nella repressione online e nell’acquisto di tecnologie di sorveglianza come ricostruito da IrpiMedia.

Una seconda lettera, inviata successivamente, avrebbe chiarito agli operatori telefonici di avere tempo fino a lunedì 5 luglio 2021 per implementare «un sistema per le intercettazioni». Secondo Reuters, questa richiesta era già stata fatta in precedenza e il sistema permetterebbe alle autorità di spiare le chiamate, i messaggi e il traffico internet. Conosciuto come sistema di Lawful Interception (intercettazioni legali, ndr), anche IrpiMedia ne aveva trovato traccia nei bilanci di previsioni sui quali è stata costruita l’inchiesta coordinata da Lighthouse Reports, non riuscendo però a confermare l’avvenuto acquisto del sistema di spionaggio per chiamate, messaggi e traffico internet.

Secondo quanto ricostruito dalla testata Frontier Myanmar – che ha parlato con un ufficiale della polizia e con un dipendente dell’operatore telefonico Myanmar Posts and Telecommunications (MPT) – lo scorso anno il Ministero dei trasporti birmano e la polizia nazionale avrebbero messo in piedi un team di cybersicurezza per monitorare le telefonate e i social media. Il team sarebbe però entrato in azione solo dopo un mese dal colpo di stato. La squadra di tecnici e spie sfrutterebbe una tecnologia in grado di monitorare e selezionare le conversazioni telefoniche di interesse effettuando una ricerca per parole chiave. Il monitoraggio si estende però anche ai social media. Secondo l’ufficiale di polizia contattato da Frontier Myanmar, il programma non era ancora stato esteso a tutti gli operatori e ne rimanevano fuori quelli stranieri, come Telenor e Ooredoo, quest’ultimo è un operatore con base in Qatar.

Telenor, le richieste dell’esercito birmano e il suo passato con i regimi autoritari

Il fatto che l’ordine sia partito dal Ministero sottolinea ulteriormente le criticità del contesto politico del Myanmar: l’esercito ha continuato a tenere il controllo sul Paese nascondendosi dietro la facciata della transizione democratica, controllo che è inserito persino nella Costituzione del 2008.

La situazione politica in Myanmar

Il Myanmar è un Paese del sud-est asiatico con una popolazione di circa 54 milioni di abitanti. Dopo aver ottenuto l’indipendenza dalla Gran Bretagna nel 1948 e aver formato un parlamento bicamerale, nel 1962 l’esercito compie un colpo di Stato che lascia il Paese sotto il controllo diretto dei militari fino al 2011. In quasi 50 anni, tra le violenze perpetrate dal Tatmadaw, nome con cui viene chiamato l’esercito birmano, ci sono le repressioni di proteste degli studenti negli anni ‘70 e il rifiuto dei risultati delle prime elezioni libere nel Paese avvenute nel 1990.

Solo nel 2011 il Tatmadaw inizia la transizione democratica cedendo il potere al governo civile, dopo l’introduzione nel 2008 di una nuova Costituzione. Questi sono gli anni in cui la premio Nobel Aung San Suu Kyi e il suo partito National League for Democracy (NLD) salgono al potere.

Il governo del NLD, però, pur segnando un’apertura al mondo esterno per il Paese, porta con sé ulteriori violenze: l’esercito e la polizia di frontiera hanno sottoposto la popolazione Rohingya – minoranza etnica di religione musulmana che vive nello stato del Rakhine, sulla costa ovest del Myanmar – a quello che le organizzazioni internazionali definiscono un vero e proprio genocidio.

Secondo alcune stime, almeno 6.700 Rohingya sono stati uccisi nel primo mese di violenze scoppiate nel 2017. Attualmente, più di 800.000 rifugiati sono fuggiti dal Myanmar per andare in Bangladesh. A marzo 2021 uno di questi campi profughi è stato colpito da un incendio: si contano 15 morti, e 900 persone tra feriti e dispersi.

La stessa Aung San Suu Kyi ha dichiarato alla Corte internazionale di giustizia dell’Aia che le accuse di genocidio sono un «quadro incompleto e fuorviante della situazione».

In contemporanea, l’esercito ha continuato a tenere il controllo sul Paese nascondendosi dietro la facciata della transizione democratica. La Costituzione del 2008 prevede infatti un ruolo di primo piano per l’esercito: un quarto dei seggi in tutte le assemblee provinciali e nazionali riservati agli ufficiali militari in servizio e i ministeri della Difesa, degli Interni e degli Affari di Frontiera riservati ad alti ufficiali militari nominati dal comandante in capo.

In passato Telenor era già stata coinvolta in inchieste giudiziarie e giornalistiche a seguito di operazioni in Stati autoritari. Nel 1998, ad esempio, Telenor ha acquistato una quota minoritaria della società di telecomunicazioni russa VimpelCom. Secondo un’inchiesta del 2014 del quotidiano norvegese Klassekampen in collaborazione con il consorzio di giornalisti investigativi OCCRP, nel 2007 VimpelCom ha inviato denaro a un’azienda controllata da Gulnara Karimova, figlia dell’allora presidente dell’Uzbekistan Islam Karimov. Quei soldi sono serviti per acquistare le licenze per le telecomunicazioni.

Nel 2015 l’ex amministratore delegato di VimpelCom è stato arrestato con l’accusa di corruzione in un’indagine da parte delle autorità statunitensi, svizzere e olandesi. A novembre 2017 queste accuse sono cadute. Nel frattempo VimpelCom – che ha cambiato nome in Veon – ha ammesso nel 2016 di aver pagato più di 114 milioni di dollari in tangenti e ha accettato di pagare una sanzione di 795 milioni di dollari per risolvere le relative indagini statunitensi e olandesi.

Inoltre, un’altra inchiesta di Klassekampen ha rivelato che, oltre alla corruzione, VimpelCom ha sponsorizzato la raccolta annuale di cotone in Uzbekistan, facendo donazioni al regime di Karimov. L’Ong Human Rights Watch ha equiparato queste raccolte di cotone a veri e propri lavori forzati.

Gli operatori telefonici in Myanmar giocano un ruolo importante nella repressione, in particolare i due operatori nazionali MPT e Mytel, entrambi vicini al governo e all’esercito.

Per certi versi Telenor sembrava offrire una speranza di protezione dalla sorveglianza. Pur avendo cercato di resistere alla richiesta di fornire sorveglianza in tempo reale, però, Telenor è stata costretta a consegnare i dati degli utenti come gli indirizzi e la cronologia delle chiamate, come rivelato da un’inchiesta della testata danese Danwatch in collaborazione con Frontier Myanmar e grazie alle informazioni di una fonte interna alla polizia birmana.

Da quando è entrata nel mercato birmano, Telenor è obbligata a condividere i dati dei propri utenti come ad esempio lo storico delle chiamate effettuate, il documento d’identità usato per registrare la SIM card e la posizione – ma non i contenuti delle conversazioni. Queste informazioni possono essere richieste a fini di indagine ma, in una situazione di quasi-guerra civile, potrebbero essere facilmente usati anche per reprimere l’opposizione. Una situazione simile avviene anche nei Paesi europei: in Italia gli operatori telefonici sono costretti a fornire le cosiddette “prestazioni obbligatorie di giustizia” per aiutare nelle attività di indagine.

Stando al report annuale pubblicato dalla stessa Telenor, nel 2020 l’azienda ha soddisfatto le richieste del governo birmano in 91 casi su 97. Danwatch sottolinea però che una richiesta può riguardare più persone e non è quindi chiaro quanti utenti fossero coinvolti.

Il futuro nelle mani della libanese M1 Group

Il nuovo proprietario di Telenor Myanmar desta però già preoccupazioni, come sottolineato in un articolo degli attivisti di Justice for Myanmar. M1 Group è stata fondata da Najib Mikati e da suo fratello Taha Mikati. Najib Mikati è stato due volte primo ministro del Libano nel 2005 e nel 2011. I due hanno fondato anche l’azienda Investcom con lo scopo di entrare nel mercato delle telecomunicazioni, espandendosi nei mercati dell’Africa occidentale e in altri Paesi del Medio Oriente.

Nel 2001 Investcom sbarca in Siria sotto il regime di Bashar al-Assad, in un momento in cui le atrocità del regime stavano già affiorando, sottolineano gli attivisti di Justice for Myanmar. E nel 2005 Investcom ha lanciato una rete mobile in Sudan, in un momento centrale della crisi in Darfur – proprio in quell’anno una squadra investigativa delle Nazioni unite aveva concluso che erano stati commessi crimini di guerra. Investcom si è poi fusa con MTN Group, un operatore mobile che opera in Africa, Asia e Europa, di cui M1 Group possiede la maggioranza delle azioni.

M1 Group possiede una quota anche in Irrawaddy Green Towers (IGT), una delle maggiori società di torri telefoniche del Myanmar. Come ricostruito dagli attivisti di Justice for Myanmar, IGT ha firmato un accordo con Mytel nel luglio 2017 per concedere l’utilizzo delle proprie torri telefoniche. Per gli attivisti quindi IGT sostiene gli affari dell’esercito del Myanmar ed è legata ai suoi crimini.

«Telenor è entrata in Myanmar perché credevamo che l’accesso a servizi mobili a prezzi accessibili avrebbe sostenuto lo sviluppo e la crescita del Paese», ha dichiarato il Presidente di Telenor nel comunicato di annuncio della vendita. Ora quella stessa infrastruttura potrebbe essere utilizzata esclusivamente per lo sviluppo e la crescita della sorveglianza.

Foto: la polizia del Myanmar in tenuta antisommossa a Taunggyi, Myanmar, il 28 febbraio 2021 – R. Bociaga/Shutterstock | Editing: Lorenzo Bagnoli

L’export dei software di sorveglianza fra triangolazioni e opacità

15 Giugno 2021 | di Luca Rinaldi

La vicenda riportata ieri, 14 giugno, da IrpiMedia nell’ambito di una inchiesta internazionale sull’export di tecnologia a doppio uso (beni che possono essere utilizzati sia a scopo civile, sia militare) riapre, o dovrebbe riaprire, un dibattito rimasto sopito da ormai un decennio: come è possibile che beni di questo tipo finiscano da Paesi dell’Unione europea a Paesi inseriti nelle blacklist internazionali perché ritenuti autoritari, come lo è oggi il Myanmar?

Il materiale venduto riguarda in sostanza tecnologie di tracciamento e mappatura per il monitoraggio delle comunicazioni. Software che possono localizzare e in molti casi osservare il contenuto di telefoni cellulari e dispositivi connessi alla rete. Applicazioni con cui oggi si combatte, nei Paesi autoritari, la guerra al dissenso politico. Sono queste le applicazioni che permettono a eserciti o gruppi paramilitari di localizzare manifestanti, attivisti, giornalisti e dissidenti andandoli a stanare per reprimere le rivolte nel sangue, come testimoniano gli 805 morti in Myanmar dall’inizio dell’anno.

L’inchiesta

Myanmar, lo Stato di sorveglianza che aggira l’embargo dell’Ue

Il blocco europeo vieta l’export di beni dual use e altre tecnologie in quanto possibili strumenti di repressione. Documenti dei ministeri birmani però mettono in dubbio che sia stato rispettato

Dalla guerra civile in Siria in poi la vendita di questa tipologia di software a Paesi nella lista nera dell’Unione europea è un tema ricorrente, anche perché a costituire la base legale di tali transazioni commerciali c’è il trattato di Wassenaar. Quaranta Paesi a partire dal 2011 si accollano il controllo del movimento di questa tipologia di beni validi sia per scopi civili sia per scopi militari per la prevenzione della proliferazione di materiali potenzialmente pericolosi. Non a caso nel trattato a fianco a una lista riguardante munizioni e oggetti con chiari scopi militari ce n’è una al cui interno ricadono proprio i sistemi elettronici e le applicazioni di cui abbiamo scritto.

Il problema nel corso di questo decennio sono state però non le vendite dirette a Paesi in lista nera da parte dei produttori europei, ma le triangolazioni. Un esempio: un produttore italiano vende tecnologia dual-use a un Paese in cui è autorizzata a farlo e quest’ultimo funge di fatto da intermediario rivendendo il prodotto a un Paese che per l’Unione europea è sotto embargo (e dunque non potrebbe ricevere il prodotto direttamente dall’Italia), ma non lo è per il Paese che ha originariamente acquistato il bene dall’Italia.

Le tecnologie digitali dual-use

Per tecnologie digitali dual-use si intendono quelle tecnologie che possono essere usate sia per scopi civili sia militari. Alcuni esempi di tecnologie dual-use sono quelle che permettono di intercettare le comunicazioni telefoniche, gli spyware che possono intrufolarsi negli smartphone, ma anche tecnologie per eludere la cifratura e le password utilizzate per proteggere i dispositivi da occhi indiscreti. In molti di questi casi, queste tecnologie possono sfruttare i cosiddetti zero-days, ovvero vulnerabilità dei software di cui neppure il produttore è a conoscenza. Non tutte le tecnologie digitali sono beni dual-use ma questo non vuol dire che ci siano minori rischi di abusarne.

Questo è in sostanza ciò che è accaduto nel caso del Myanmar con la italiana SecurCube. Non risultano infatti nei report annuali pubblicati dal governo sull’export di armamenti licenze rilasciate per l’esportazione verso il Myanmar negli ultimi due anni. Tracciare la vendita è sicuramente complicato e probabilmente una richiesta di maggiore responsabilizzazione in capo ai venditori pare essere sacrosanta, ma allo stesso tempo non si può fingere che i meccanismi di controllo istituzionali messi in campo da governi e Unione europea siano sufficienti e soprattutto attuali.

Ci sarà occasione a livello politico di tornare sul tema nelle prossime settimane quando, come annunciato ieri, 14 giugno, il deputato Filippo Sensi presenterà una interrogazione parlamentare sulla vicenda che abbiamo riportato. Una riflessione quanto mai necessaria viste le “armi spuntate” del controllo delle licenze all’interno delle triangolazioni. Non c’è una ricetta per risolvere un problema di tale portata, soprattutto in tema di software, ma la presa di coscienza che rivedere la filiera di controllo (oggi in mano all’Unità per le autorizzazioni dei materiali di armamento [UAMA] del Ministero degli Esteri) deve essere un tema all’ordine del giorno dell’agenda politica sarebbe già un grande passo avanti.

In ultimo si pone poi un grande tema di trasparenza applicata a macchia di leopardo in tutta l’Unione europea. Una quota di Paesi, tra cui l’Italia, avvolge di segretezza l’intero mercato ritenendolo tout-court ricompreso nel perimetro della sicurezza nazionale, con qualche lamentela perfino di produttori e venditori, altri che invece rendono disponibili i dati sulle licenze di esportazione completamente aperte al pubblico. Pur agendo all’interno di un quadro legale comune e comunitario le applicazioni della stessa normativa sono disomogenee. Una disomogeneità che crea opacità.

Editing: Lorenzo Bagnoli | Foto: Mathew Schwartz/Unsplash

Arresti immotivati e nuovi interrogatori per il giornalista marocchino Omar Radi

8 Luglio 2020 | di Cecilia Anesi, Raffaele Angius

Omar Radi, giornalista d’inchiesta in Marocco, ieri sera ha ricevuto una terza convocazione dalla polizia per un nuovo interrogatorio previsto per oggi, 8 luglio. Solo due giorni fa era stato arrestato: «Ubriachezza molesta, violenza, insulti e riprese senza autorizzazione», queste le accuse con cui è stato ammanettato e successivamente rilasciato la sera del 6 luglio scorso a Casablanca. Da tempo Radi è inviso al governo del Paese per aver denunciato la corruzione dell’esecutivo in numerose inchieste.

Il giornalista da giorni è al centro dell’attenzione mediatica in Marocco, in seguito alla pubblicazione da parte di Amnesty International di un report con il quale si dimostra come il telefono dell’uomo fosse sottoposto a sorveglianza grazie all’impiego di un malware sviluppato dall’azienda israeliana NSO Group, di cui si sospetta il Marocco sia cliente. L’inchiesta pubblicata da Amnesty International in collaborazione con il consorzio investigativo Forbidden Stories, di cui IrpiMedia è partner per l’Italia, ha consolidato la consapevolezza che diversi giornalisti, attivisti per i diritti umani e in generale personalità critiche nei confronti del governo sono sottoposte a sorveglianza. Lo scorso 6 luglio insieme a Omar Radi è stato arrestato e poi rilasciato anche il giornalista Imad Stitou, che si trovava con Radi al momento dell’episodio.

Come ricostruito da Forbidden Stories, Radi e Stitou erano in un pub di Casablanca, quando un operatore del canale televisivo Chouf TV – noto per il suo sensazionalismo e considerato vicino al governo marocchino – li ha avvicinati cercando di riprenderli. Da tempo l’emittente segue il giornalista, su cui ha pubblicato diversi articoli e servizi televisivi nei quali ha anche rilevato dettagli della sua vita personale, nel tentativo di screditarlo. Come riporta Le Desk, la testata online per cui lavora Radi, l’operatore di Chouf TV ha aspettato Radi fuori dal pub appostato in un furgone, insieme alla moglie e al figlio. Non appena Radi è uscito dal pub, l’operatore insieme alla famiglia si è diretto verso il giornalista filmandolo. Dalle immagini diffuse dall’emittente si vede chiaramente l’alterco verbale tra Radi e l’operatore di Chouf TV, interrotto dall’arrivo immediato della polizia, che ha arrestato Radi e Stitou. Le Desk ha definito l’episodio «un agguato», suggerendo che l’intera scena fosse stata preparata a danno del proprio giornalista.

Aggiornamento del 30 luglio

Omar Radi è stato arrestato ieri, 29 luglio. Alle accuse di spionaggio internazionale si sono aggiunte quelle di stupro dopo una denuncia presentata alle autorità nei giorni in cui lo stesso veniva sottoposto agli interrogatori da parte della polizia marocchina. Radi è stato interrogato una decina di volte dopo la pubblicazione del report di Amnesty Internationale che dimostrava come il giornalista fosse sottoposto a sorveglianza da parte delle autorità marocchine. Solidali con il giornalista la stessa Amnesty e Reporters Senza Frontiere che bolla l’arresto come una «intimidazione».

Una delle convocazioni ricevute da Omar Radi all’indomani dell’inchiesta di Amnesty sulla sorveglianza 

Nel filmato è possibile vedere i due giornalisti che cercano di riprendere a loro volta il cameraman, usando i propri smartphone. «Guarda, è Omar Radi, è completamente ubriaco. E anche il suo ragazzo è ubriaco», replica l’operatore, alludendo a una relazione sentimentale tra i due. In Marocco infatti l’omosessualità è considerata un reato.

Radi era stato chiamato due volte per essere interrogato dalla polizia giudiziaria negli ultimi 10 giorni, dopo la pubblicazione del report di Amnesty e la copertura giornalistica internazionale data da Forbidden Stories e dai media partner di più di dieci Paesi.

Il video ripreso dall’operatore di Chouf TV 

Durante il primo interrogatorio, il 25 giugno, la polizia aveva chiesto conto di alcuni finanziamenti che il giornalista ha ricevuto dall’organizzazione non-profit Bertha Foundation, impegnata nel sostenere attività d’inchiesta sull’esproprio delle terre, il cosiddetto land-grabbing. Secondo le autorità il fatto che Omar non abbia ancora pubblicato articoli derivanti dal lavoro finanziato dalla Ong sarebbe la prova che Radi utilizza il suo lavoro da giornalista come copertura per delle attività di spionaggio. Radi è stato nuovamente convocato per un interrogatorio il 1 luglio a mezzogiorno, e rilasciato dopo molte ore.

«Due interrogatori in due settimane: è una persecuzione giudiziaria. Sono stato assalito, arrestato, incarcerato, querelato e linciato anche dai tabloid. Ritengo – spiega il giornalista – che siamo arrivati ad un preoccupante stadio di criminalizzazione del giornalismo: questi interrogatori sono parte di una più ampia strategia persecutoria nei miei confronti, che – conclude Radi in una nota diramata ai media – inizia con il malware, passa per articoli su tabloid denigratori e termina con una sorveglianza fisica continua da parte della polizia, che mi segue ovunque».

In partnership con: Forbidden Stories | Foto: il giornalista marocchino Omar Radi – Fanny Hedenmo

Sorveglianza: giornalisti ancora nel mirino dei software spia

22 Giugno 2020 | di Cecilia Anesi, Raffaele Angius

Un altro giornalista è caduto vittima delle tecnologie di sorveglianza di NSO Group, azienda israeliana specializzata nello sviluppo di software di sorveglianza, grazie alla quale i governi di mezzo mondo possono spiare media, attivisti e oppositori politici. A farne le spese stavolta, in Marocco, è stato Omar Radi, giornalista d’inchiesta del giornale indipendente LeDesk, che grazie ad Amnesty International ha scoperto di essere stato il bersaglio di una campagna di intrusioni informatiche contro il suo telefono durata almeno un anno: dal gennaio del 2019 allo stesso mese del 2020. Dietro l’operazione si sospetta ci siano le autorità del Paese, da tempo tra i clienti ai quali NSO Group fornisce sistemi di intercettazione tra i più avanzati al mondo.

È questo il quadro che emerge da un’analisi condotta dagli esperti di sorveglianza di Amnesty International, condiviso in esclusiva con Forbidden Stories, piattaforma che prosegue le inchieste di giornalisti minacciati o uccisi, di cui IrpiMedia è partner per l’Italia.

Aggiornamento del 24 giugno 2020

Oma Radi è stato convocato dalla Brigata nazionale di polizia giudiziaria del Paese per chiarimenti. La misura è stata disposta all’indomani della pubblicazione dell’inchiesta che state leggendo condotta dal consorzio di giornalismo investigativo Forbidden Stories, di cui IrpiMedia è membro, nella quale si sono rivelati i numerosi episodi nei quali attaccanti informatici non identificati hanno preso di mira lo smartphone del giornalista, utilizzando il software-spia Pegasus. Questa tecnologia è sviluppata dall’azienda israeliana NSO, di cui il Marocco è ritenuto da tempo un cliente. Omar Radi dovrà presentarsi alle autorità domani, 25 giugno 2020, alle 9:00 del mattino ora locale (le 10:00 in Italia). L’inchiesta internazionale era stata pubblicata tre giorni prima.

Forbidden Stories

Forbidden Stories è una piattaforma che prosegue le inchieste di giornalisti minacciati o uccisi, di cui IrpiMedia è partner per l’Italia. Nel mondo questo approfondimento è pubblicato anche da Le Monde, Radio France, Die Zeit, Süddeutsche Zeitung, WDR, SVT, Utrikesmagasinet, Washington Post, Toronto Star, The Guardian, OCCRP, Daraj, Haaretz, NDR.

Il nome di NSO Group è ben noto nell’ambito della sicurezza informatica e delle organizzazioni per la tutela dei diritti umani. Il software-spia da loro sviluppato – nome in codice Pegasus – è estremamente efficace per condurre intercettazioni e acquisire qualsiasi informazione contenuta nei telefoni dei suoi bersagli: funzionalità particolarmente gradite a governi autoritari e regimi repressivi. Il nome di Pegasus è emerso tra l’altro più volte nel caso dell’omicidio del giornalista saudita Jamal Kashoggi, spiato e poi ucciso al consolato dell’Arabia Saudita a Istanbul.

«Amnesty International aveva già scoperto altre violazioni prima della mia, ma nulla è cambiato»

Omar Radi, giornalista

«Amnesty International aveva già scoperto altre violazioni prima della mia, ma nulla è cambiato: possiamo solo continuare a cambiare telefono ma è come la lotta tra Davide e Golia», ricostruisce Omar Radi. E il problema non è solo che il telefono di Omar sia stato infettato al fine di controllarne il contenuto, ma anche che alcuni di questi episodi siano avvenuti dopo che NSO aveva pubblicato le nuove policy di rispetto dei diritti umani che cercavano di “ripulire” l’immagine di un’azienda su cui Amnesty aveva già pubblicato dati preoccupanti.

Le ripetute campagne di intercettazione nei confronti del dispositivo di Omar dimostrano come, nonostante le promesse, Nso Group abbia continuato a distribuire i propri prodotti senza condurre delle adeguate verifiche di valutazione sul rispetto dei diritti umani da parte dei suoi clienti.

Eppure tutto sarebbe dovuto cambiare

«I prodotti Nso sono utilizzati esclusivamente da agenzie di intelligence nazionali e organi di polizia al fine di combattere il crimine e il terrorismo», si legge sul sito dell’azienda israeliana. Tuttavia, numerosi studi e ripetuti casi venuti alla luce nell’ultimo anno raccontano una storia diversa, nella quale i bersagli prediletti dei clienti di Nso sono piuttosto attivisti e giornalisti. Tra questi, sempre in Marocco, anche lo storico e co-fondatore del movimento Freedom Now, Maati Monjiib, e l’avvocato Abdessadak El Bouchattaoui, coinvolto nella difesa dei manifestanti arrestati durante le proteste berbere del movimento Hirak El-Rif, tra il 2016 e il 2017.

Grazie all’analisi dei loro dispositivi, gli esperti di Amnesty International non solo avevano scoperto le ripetute operazioni ai danni dei due attivisti, ma erano anche stati in grado di determinare l’evoluzione tecnologica delle tecniche d’intrusione perfezionate da NSO Group, che sembra ora in grado di inoculare Pegasus semplicemente sfruttando il controllo della rete alla quale sono collegati gli smartphone.

Tecnicamente si chiama network injection (dall’inglese, iniezione su rete) e consiste nella capacità di deviare la connessione di un dispositivo su un indirizzo scelto dall’autore dell’attacco informatico. Dall’analisi condotta a ottobre del 2019, sarebbe proprio questa la tecnica utilizzata con lo smartphone di Maati Monjib, che durante una normale navigazione su internet si è visto reindirizzato, cliccando sul link di un sito d’informazione sull’app di Facebook, verso la pagina free247downloads[.]com. Di fatto una trappola, che una volta scattata ha permesso di inoculare Pegasus nel suo smartphone. Tre giorni dopo che Amnesty International ha condiviso il risultato della sua ricerca con NSO Group per chiedere un commento, il dominio free247downloads[.]com è stato disabilitato.

Il sito Internet di NSO Group/IrpiMedia

Ma non per questo la tecnica è stata cestinata. La network injection è estremamente efficace in quanto permette all’autore di un attacco informatico di acquisire il controllo di un dispositivo senza che il bersaglio debba interagire con la trappola. La tecnica più comune osservata fino al 2018 prevedeva l’invio di Sms apparentemente legittimi al telefono del bersaglio, contenenti un link malevolo. In questo scenario la “preda” avrebbe dovuto cliccare erroneamente sul link perché avvenisse l’inoculazione.

Se da un lato possono rivelarsi estremamente utili nel contrasto alla criminalità e al terrorismo, questi strumenti possono essere molto dannosi se abusati da Paesi nei quali non è garantita a pieno la libertà di espressione e di critica nei confronti del governo. 

È questo il caso del Marocco che, come denunciato più volte dalle organizzazioni per i diritti umani, ha intensificato la stretta contro proteste pacifiche e dissidenti, arrestando arbitrariamente giornalisti, attivisti, artisti, youtuber e in generale chiunque abbia osato criticare apertamente il Re o le autorità. Da novembre 2019 a oggi, Amnesty ha documentato dieci casi di persone irregolarmente arrestate e detenute

Tra questi anche Omar Radi, che a novembre del 2019 è stato arrestato per un tweet pubblicato mesi prima, ad aprile, nel quale criticava il sistema giudiziario e la condanna delle persone che avevano protestato nel 2017 durante le proteste della popolazione berbera

Rilasciato dopo alcuni giorni, a marzo del 2020 Radi è stato condannato a quattro mesi di carcere (con il beneficio della sospensione della pena) e a pagare una multa di 500 dirhams (circa 50 euro). L’analisi condotta dagli esperti di Amnesty International ha permesso di individuare sullo smartphone di Omar Radi una cartella nascosta creata il 27 gennaio del 2019, nel cui nome compare il medesimo indirizzo riscontrato sul telefono di Maati Monjiib: free247downloads.com.

Come funziona Pegasus: quei decisivi tre millisecondi

Tre millisecondi. Tanto è servito allo smartphone di Omar Radi per essere reindirizzato verso il sito dal quale gli è stato inoculato il malware Pegasus. Almeno questo è quanto ha riscontrato Amnesty International in uno degli episodi identificati sul suo smartphone, il 27 gennaio 2020. Come ricostruito dai tecnici, Radi era sull’app di Facebook quando ha cliccato sul link di un sito d’informazione ed è stato immediatamente reindirizzato verso l’indirizzo contenente il malware. Ma questa volta si trattava di un dominio non noto ai ricercatori – urlpush[.]net -, corrispondente a un server messo in servizio un mese dopo la pubblicazione di Amnesty di ottobre. Il precedente dominio, free247downloads[.]com, era stato cessato il 4 o il 5 ottobre, due giorni dopo che Amnesty International contattasse NSO Group e una decina di giorni prima che il report fosse reso pubblico. Precedenti attacchi sul telefono di Omar sono stati rilevati il 27 gennaio 2019, l’11 febbraio e il 13 settembre. L’ultimo attacco riscontrato risale al 29 gennaio 2020, due giorni prima del precedente. «Mentre le tempistiche suggeriscono un link a NSO – si legge nel report – alcuni dettagli tecnici dell’attacco, compreso il fatto che entrambi i domini riconducono verso lo stesso sito è una prova decisiva per collegare gli strumenti di NSO Group all’attacco contro Omar Radi».

«Questo [tipo di attacco] è tipicamente condotto grazie all’uso di apparecchiature tattiche», spiega a IrpiMedia Claudio Guarnieri, esperto di sicurezza informatica e autore dello studio condotto da Amnesty International. Il riferimento è agli IMSI Catcher: apparecchi che simulano una cella telefonica e quindi si frappongono tra uno smartphone e l’operatore telefonico. Un’altra ipotesi è che chi conduce l’operazione di spionaggio possa avere accesso agli stessi operatori telefonici. In tutti e due i casi, chi attacca ha accesso al traffico dati dell’utente. «Una volta stabilita la posizione di vantaggio, come nel caso di Omar a gennaio o prima ancora di Maati, gli attaccanti possono monitorare il traffico dei dispositivi». L’unico presupposto affinché il dirottamento della connessione avvenga è che l’utente provi ad accedere a siti non protetti da un certificato SSL: si tratta delle pagine il cui indirizzo è preceduto da un “http://”. Da anni è in fase di introduzione in tutto il regno di Internet il protocollo “https://”, la cui “S” identifica che la pagina è protetta. In tutti i casi analizzati, sia Maati Monjib sia Omar Radi stavano navigando su pagine prive di questo tipo di protezione.

«Qualsiasi sito visitato, sia tramite una ricerca manuale su Safari (il browser di default in iOS, ndr) sia visitando un link condiviso su Twitter o Facebook potrebbe causare la trasmissione [del malware], purché la pagina a cui si accede non sia criptata», precisa Guarnieri: «Il tutto avviene in modo automatico e non richiede alcuna interazione né da parte del bersaglio né da quella dell’attaccante: il sistema è autosufficiente».

Ma Pegasus non è solo un software d’intercettazione, anzi: «questo è solo un nome in codice che gli è stato affibbiato ormai diversi anni fa», spiega Guarnieri. «Versioni precedenti scoperte anni fa hanno fornito qualche indicazione su che tipo di dati raccolga, dai registri di Viber e IMO (due app di messaggistica, ndr) fino alle chiamate Whatsapp e agli Sms. Insomma, i dati che tipicamente ci si aspetta vengano esfiltrati da un telefono», aggiunge.

Ma a quali dati acceda oggi nessuno può saperlo con precisione, né è nota la lista dei clienti di NSO Group. A fornire una prima ricostruzione della fisionomia di Pegasus ci aveva pensato, nel 2018, il Citizen Lab della Munk School of Global Affairs di Toronto, che aveva accertato l’impiego di Pegasus in Arabia Saudita, Bahrain, Kazakistan, Marocco, Messico e Emirati Arabi Uniti. Una testimonianza del suo successo è però ben rappresentata anche dal valore del gruppo: a febbraio del 2019 il fondo privato britannico Novalpina Capital ha supportato l’acquisto dell’azienda da parte dei suoi dirigenti. Un’operazione costata un miliardo di dollari (circa 900 milioni di euro) e alla fine della quale il fondo d’investimento ha mantenuto una quota dell’azienda.

In seguito all’operazione, Novalpina Capital si era impegnata a promuovere una migliore definizione delle linee guida e dei principi di NSO Group al fine di meglio tutelare i diritti umani, istituendo addirittura un “Governance, Risk, and Compliance Committee”. Tre giorni dopo l’annuncio, Omar Radi è stato vittima di uno dei tentativi di inoculazione di Pegasus.

Sfortunatamente nessuno ha mai potuto analizzare una versione più recente di Pegasus – «Per quanto ne sappiamo», dice Guarnieri di Amnesty – dal momento che l’azienda ha sviluppato capacità e tecniche tali da renderlo irreperibile a qualsiasi analisi esterna: «L’azienda è molto più prudente di quanto non fosse cinque anni fa».

Le prime tracce di Pegasus risalgono proprio al 2016, quando un’inchiesta del New York Times ne svelò l’esistenza in collegamento con una massiccia campagna di spionaggio internazionale. All’epoca era possibile eseguire l’inoculazione del malware su dieci telefoni al costo di 650 mila dollari, più 500 mila dollari di supporto tecnico.

Ma della tecnologia “dual use” – termine che identifica gli strumenti impiegabili sia in scenari di pace sia bellici – si è tornati a parlare a maggio del 2019, con la scoperta che i tecnici di NSO Group erano in grado di installare il proprio prodotto sul dispositivo di un bersaglio attraverso una semplice videochiamata su Whatsapp, a causa di una vulnerabilità non nota e immediatamente riparata dagli sviluppatori dell’app di messaggistica. Tutt’ora Facebook, proprietaria dell’app per chattare, è in causa con NSO Group. Un miliardo e mezzo di utenti dovettero aggiornare l’app sui propri dispositivi.

Il confronto di Nso Group con l’opinione pubblica era iniziato proprio con quell’episodio, denunciato dagli esperti del Citizen Lab. I ricercatori avevano scoperto che la vulnerabilità di Whatsapp aveva permesso di infettare il telefono di un avvocato londinese coinvolto in un processo proprio proprio contro NSO Group, che doveva difendersi dall’accusa di aver fornito gli strumenti utilizzati per spiare il dissidente saudita Omar Abdulaziz. Tra il 2016 e il 2018 si stima che Pegasus sia stato impiegato in 36 diverse installazioni indipendenti tra loro in tutto il mondo, per un totale di 46 Paesi coinvolti.

«Gli attaccanti possono vedere qualunque cosa venga mostrata sullo schermo del bersaglio», ha commentato a Forbidden Stories un portavoce del Citizen Lab, una volta che l’organizzazione è stata messa al corrente della prossima pubblicazione di questa inchiesta. «Non abbiamo avuto alcuna significativa dimostrazione del fatto che le nuove regole sui diritti umani di NSO Group siano stati efficaci – commenta Citizen Lab – ma è importante notare che una volta venduto il prodotto c’è anche un’intensa attività di collaborazione tra il cliente e NSO. Per esempio, per la fornitura degli aggiornamenti»

Contattata il 16 giugno per una richiesta di commento, NSO Group ha risposto: «L’NSO è profondamente disturbata dalle accuse contenute nella lettera di Amnesty International. Stiamo verificando le informazioni in essa contenute e inizieremo un’investigazione», commenta un portavoce. «La lettera di Amnesty International pone diverse questioni riguardanti il rapporto che NSO Group potrebbe avere nei confronti delle autorità del Marocco, e delle azioni che avevamo preso in seguito a un rapporto di Amnesty International riguardo potenziali abusi dei prodotti di NSO da parte di quelle autorità. L’NSO intende essere quanto più trasparente possibile in risposta a tali accuse riguardanti gli abusi del suo prodotto. Ma dal momento che sviluppiamo e distribuiamo tecnologie che assistono la lotta al terrorismo, ai crimini seri e alle minacce di sicurezza nazionale, NSO è obbligata a rispettare un vincolo di confidenzialità e non può rivelare l’identità dei suoi clienti».

Gli altri attacchi e il lavoro di Omar

Omar ci racconta che da tempo sospettava di essere intercettato. Sia perchè in passato il governo aveva già spiato il suo computer grazie a un virus prodotto dalla italiana Hacking Team (erano state infettati più di 2.000 target in Marocco) e sia perché, sostiene Omar, «le autorità marocchine stanno comprando qualsiasi tipo di tecnologia di sorveglianza e spionaggio possibile. Vogliono sapere tutto, sono diventati un’azienda di spionaggio. D’altronde siamo in uno stato di polizia, quindi è normale». 

Omar ha lavorato come giornalista d’inchiesta per oltre 12 anni seguendo la politica, il potere locale e le relazioni con l’industria e la finanza. Ha anche lavorato e lavora sul tema della giustizia sociale, soprattutto la questione del land grabbing. Proprio in questi giorni su LeDesk è stato pubblicato un nuovo lavoro di Omar sul tema che è stato più difficile del previsto: le vittime che avevano deciso di parlargli sono state poi minacciate dalla polizia e Omar prima di pubblicare ha dovuto togliere le loro storie per proteggerli. Durante la primavera araba, Omar aveva contribuito al lancio della piattaforma di informazione in francese Lakome.com che è stata censurata dalle autorità e il suo direttore imprigionato per avere «glorificato il terrorismo».

Il giornalista Omar Radi – Foto: Fanny Hedenmo

Durante il lockdown a causa del Covid-19, Omar con la redazione di LeDesk ha lavorato sulla mancanza di trasparenza negli appalti per le forniture mediche. Ma per Omar non è solo la voglia di scoprire i temi su cui lavorano i giornalisti il motivo delle intrusioni delle autorità marocchine con il software spia Pegasus. «Faccio parte di un gruppo di persone ritenute “teste calde”, “nemici della nazione”. E ci sorvegliano, anche elettronicamente. È fastidioso perché è una invasione della nostra privacy, lo Stato ha in mano il tuo passato, presente, le tue foto, i tuoi messaggi, le tue cose personali», spiega Omar. Ma non è solo questo, è la rete dei contatti che secondo il giornalista è la gallina dalle uova d’oro che cercano le autorità. «C’è in corso un vero e proprio processo di mappatura delle persone, e probabilmente spiano principalmente i soggetti che hanno più contatti, come i giornalisti. Ed è una cosa che credo sia iniziata da molto tempo, almeno dal 2009», conclude Omar Radi.

Il 7, 9 e 14 giugno di quest’anno il tabloid Chouftv ha pubblicato una campagna di delegittimazione su alcuni giornalisti di punta, tra cui Omar. Le vittime sospettano che sia stata una manovra pilotata dai servizi segreti. Le informazioni riportate erano sicuramente state estrapolate dai telefoni dei giornalisti. «Hanno pubblicato informazioni su di noi di vario tipo, chi siamo, dove viviamo, con chi viviamo, se paghiamo l’elettricità o no, se beviamo alcolici e cose di questo genere. Tutto per fare passare un messaggio: vi controlliamo». Nel caso di Omar, è stato pubblicato il nome della sua coinquilina descrivendo la cosa come una «relazione illegale, fuori dal matrimonio» ma anche materiale di lavoro, per lo più conversazioni avvenute su Whatsapp, e in particolare una conversazione con un ricercatore americano avvenuta sulla app Signal (in teoria sicura, ma non se Pegasus buca il telefono).

Alcune delle informazioni però, erano chiaramente frutto di un’altro tipo di sorveglianza, quella classica, fisica, e non meno preoccupante. Significa che chi spia i giornalisti marocchini con i software NSO, poi li segue anche per strada e potrebbe facilmente attaccarli. Ma per Omar questo non è l’aspetto peggiore. L’aspetto peggiore sono le smear campaign che vengono costruite, campagne di delegittimazione che isolano il giornalista e che terrorizzano potenziali fonti, su cui si basa il lavoro di informazione. «In questo modo le persone diventano riluttanti a parlare con noi giornalisti, se sanno che sono intercettato. Ci organizziamo con altri sistemi come SecureDrop», spiega Omar. Questo però, conclude il giornalista «rallenta i processi, per le persone è complicato capire come usare i sistemi di comunicazione sicura. Ma non importa, anche se ci vorrà più tempo e se ci sorvegliano, non smetteremo di fare il nostro lavoro». Il governo marocchino, contattato da Forbidden Stories per il consorzio, non ha voluto commentare.

In partnership con: Forbidden Stories | Foto: Shahadat Rahman/Unsplash

18Shares

coding
Share via