Sorveglianza: chi ha aiutato il Messico a spiare i giornalisti

#TheCartelProject

Sorveglianza: chi ha aiutato il Messico a spiare i giornalisti

Raffaele Angius

Nel deserto del piccolo Stato di Puebla, a un paio d’ore di macchina da Città del Messico, una casa abbandonata è il luogo perfetto per una compravendita che richiede discrezione. È il maggio del 2013 e l’incontro è organizzato da intermediari che godono di una solida reputazione nel campo della sicurezza. Il venditore è l’azienda italiana Hacking Team, in quegli anni molto nota per i suoi software spia. Il compratore, almeno ufficialmente, dovrebbe essere la procura generale di Puebla, in procinto di dotarsi di nuove capacità di intercettazione e intrusione informatica.

Il prodotto che ha reso celebre l’azienda milanese nel mondo dell’intelligence è il Remote Control System (Rcs): una tecnologia in grado di acquisire ed esplorare diversi tipi di documenti ospitati sul dispositivo di un bersaglio. Un utilizzo sconsiderato di questi strumenti potrebbe essere estremamente pericoloso, ragion per cui la vendita e l’esportazione dei software spia è altamente regolamentata e sostanzialmente autorizzata solo per usi ufficiali e governativi. Rcs – dicevano all’epoca e hanno ripetuto negli anni i rappresentanti dell’azienda – serviva ad aiutare a combattere il terrorismo, il crimine e il narcotraffico. Tuttavia, l’identità dell’utilizzatore finale non è sempre nota neanche alle stesse aziende che producono i software di spionaggio. La discrezione fa parte del pacchetto.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

The Cartel Project

Anni dopo l’omicidio di Regina Martínez una squadra di giornalisti da Messico, Europa e Stati Uniti ha ripreso le sue indagini da dove è stata fermata. Il progetto è coordinato da Forbidden Stories, organizzazione francese nata per concludere le storie dei giornalisti assassinati. Questa inchiesta appartiene al Cartel Project, un progetto collaborativo che ha coinvolto 60 giornalisti di 25 media in 18 Paesi. IrpiMedia è partner italiano dell’inchiesta.

#TheCartelProject

The Cartel Project

Dei cartelli messicani manca una mappatura dell’influenza e degli affari a livello internazionale. E dal 2000, 119 giornalisti sono stati uccisi per loro mano. The Cartel Project fa luce su tutto questo

All’incontro nello Stato di Puebla partecipano due tecnici di Hacking Team, che hanno il compito di consegnare il prodotto alle autorità. Ma all’altro lato dello scambio si presenta Joaquin Arenal Romero: ufficiale dell’intelligence messicana già noto all’epoca per i suoi collegamenti con i Los Zetas, un cartello di narcotrafficanti che in quegli anni rafforzava il proprio controllo sul mercato nel Paese. «Quando sono stati portati in quella casa senza finestre c’era un po’ di preoccupazione», spiega a Forbidden Stories, sotto garanzia di anonimato, uno degli ex dipendenti dell’azienda italiana, che monitorava l’operazione da remoto.

«Uno dei nostri che era lì ha detto che conosceva uno di questi, che era collegato ai Los Zetas: era sicuro fosse uno del cartello», aggiunge. «Non dico che certe cose succedessero ogni giorno, ma sicuramente succedevano spesso», spiega un altro ex dipendente: «Era normale – conclude – che ci si presentassero davanti dei personaggi che dicevano di lavorare per l’intelligence e che noi, guardandoli, ci chiedessimo “chi sono queste persone?”».

Dall’altro lato dello scambio si presenta Joaquin Arenal Romero: ufficiale dell’intelligence messicana già noto all’epoca per i suoi collegamenti con i Los Zetas

#TheCartelProject

Cuochi messicani per la metanfetamina olandese

Laboratori di droga scoperti tra Belgio e Paesi Bassi sono gestiti da chimici venuti dal Messico. Li reclutano intermediari via EncroChat, un sistema di comunicazione (mal)ritenuto a prova di indagini

I tentacoli del cartello di Sinaloa in Italia

A gennaio 2020 i narcos hanno portato 400 chili di cocaina in Sicilia. Cercavano di aprire una nuova rotta aerea. Un segnale della campagna per la conquista del mercato europeo

Ma non era normale per il dipendente di Hacking Team inviato a Puebla, al suo primo incarico sul campo, come testimoniano alcune mail contenute in un archivio di oltre 400 gigabyte di documenti sottratti alla stessa società e resi pubblici da un hacker nel 2015. Fino a quel momento Hacking Team aveva difeso strenuamente i suoi affari, rivendicando l’importanza di Rcs nel contrasto alla criminalità organizzata e al terrorismo. Dall’altra, gli attivisti già li definivano “mercenari dell’era digitale”, come scrive Reporters without borders nel 2013.

Dopo l’enorme fuga di informazioni che nel 2015 coinvolse Hacking Team fu possibile osservare come la società fosse impegnata in affari con decine di Paesi in cui avvengono sistematicamente violazioni dei diritti umani come Sudan, Azerbaijan e Russia. Del resto il fondatore David Vincenzetti era solito ricordare come la regola non scritta di questo mercato fosse la seguente: «Se un governo dice che una persona (un bersaglio, ndr) è un terrorista, allora è un terrorista», riporta oggi una fonte.

Il leak di Hacking Team

Nessuno sa che fine abbia fatto Phineas Fisher: l’anonimo hacker che, a luglio del 2015, ha divulgato 400 gigabyte di informazioni sottratte ad Hacking Team. Tra quelle figurano i Paesi ai quali David Vincenzetti, fondatore e amministratore delegato dell’azienda, vendeva a governi e agenzie di intelligence il software spia Remote control system, di cui si scrive diffusamente in questa inchiesta. Oggi Vincenzetti è uscito dai radar e da Hacking Team, che nel frattempo è stata assorbita da un’altra società che si ocupa di sicurezza informatica. Phineas Fisher nei radar non ci è mai entrato.

Una delle immagini promozionali di Hacking Team nel 2015

Ma all’epoca dei fatti, due anni prima della fuga di informazioni, il nuovo arrivato appena impiegato a Puebla questo non lo poteva ancora sapere. Era stato accolto nell’azienda con calore ed era stato invitato a usare, da quel momento in poi, la prima persona plurale, “noi”, nel riferirsi ai progetti e obiettivi di Hacking Team. Quindi forse si sarebbe aspettato maggiore comprensione nel raccontare al datore di lavoro cos’era appena successo: «Aveva chiesto di essere riportato indietro perché stava dando di matto», ricorda un ex-dipendente: «Loro (Hacking Team) si sono arrabbiati moltissimo e lui ha lasciato (il lavoro, ndr) il giorno stesso o quello successivo: hanno cercato di contattarlo ma era già sparito».

Episodi simili in Messico non sono fuori dal comune, come spiega un ufficiale di alto grado dell’antidroga statunitense, la Drug enforcement agency (Dea). In un’altra occasione, nel 2011, l’intermediario messicano Dtxt ha tenuto per sé il software fornito da Hacking Team anziché consegnarlo all’utente finale, la polizia federale, che di fatto non ha mai firmato la licenza d’uso necessaria all’attivazione.

Per questa ragione, spiega un ex dipendente, l’installazione non dovrebbe neanche essere mai stata attivata, dal momento che la licenza era una condizione imprescindibile affinché il sistema venisse messo in funzione, spiega una fonte a Forbidden Stories. Dopo un anno e numerose richieste di avere il contratto di licenza firmato, un dipendente ha scritto in una nota interna: «Sembra sia una pratica comune in Messico».

In un’altra occasione, nel 2011, l’intermediario messicano Dtxt ha tenuto per sé il software fornito da Hacking Team anziché consegnarlo all’utente finale, la polizia federale

Il nuovo che avanza

Non stupisce che il Messico sia tra gli attori più attivi nel mercato delle intercettazioni: secondo il gruppo di attivisti della rete R3D, il Paese è stato a lungo quello che ha speso di più nelle tecnologie di Hacking Team. Mentre oggi, a cinque anni dal leak di informazioni dai server dell’azienda, secondo un ufficiale della Dea, sono almeno venti le società che riforniscono di tecnologie per lo spionaggio il governo e le polizie degli stati confederati, tra le quali l’israeliana Nso Group.

L’ultimo episodio, che oggi viene rivelato per la prima volta da Forbidden Stories, risale all’estate del 2016, quando il giornalista della rivista Proceso, Jorge Carrasco, è stato oggetto di un tentativo di infiltrazione informatica tramite il software Pegasus, prodotto di punta dell’azienda israeliana Nso. Carrasco stava investigando sui rapporti tra lo studio panamense Mossack Fonseca, al centro dei Panama Papers, e alcuni clienti messicani, quando riceve un inaspettato Sms sul cellulare: “Ciao Jorge. Ti condivido questo memo pubblicato oggi da Animal Politico. Credo sia importante farlo girare”. Seguendo il link, Carrasco avrebbe inconsapevolmente dato accesso a Pegasus: un trojan che avrebbe rivelato all’ignoto attaccante il contenuto del dispositivo.

Il messaggio “esca” spedito sullo smartphone del giornalista Jorge Carrasco – Foto: Forbidden Stories

La scoperta è il risultato di un lavoro d’indagine condotto dagli esperti di sicurezza informatica di Amnesty International, che da anni braccano Pegasus sui telefoni di attivisti e giornalisti di tutto il mondo. Come già raccontato da IrpiMedia, il software è lo stesso utilizzato in Marocco per spiare il giornalista Omar Radi, particolarmente inviso alla monarchia di Rabat. Ma si sospetta che Pegasus sia stato impiegato anche per spiare Jamal Khashoggi, dissidente e giornalista del Washington Post, ucciso dentro l’ambasciata saudita di Istanbul.

«Il messaggio che abbiamo recuperato faceva parte di una campagna (di intercettazioni, ndr) condotta in quello specifico periodo di tempo», spiega a Forbidden Stories Claudio Guarnieri, dell’Amnesty security lab. Come ricostruito dall’organizzazione, il numero di telefono da cui ha ricevuto il messaggio Carrasco è lo stesso utilizzato per condurre diversi tentativi di intercettazione nei confronti di Carmen Aristegui, tra le più note giornaliste d’inchiesta del Messico.

«Il messaggio che abbiamo recuperato faceva parte di una campagna di intercettazioni condotta in quello specifico periodo di tempo».
Claudio Guarnieri

Amnesty Security Lab

Il vecchio che evolve

Nonostante gli scandali e i palesi abusi di questa tecnologia, nessuna misura è stata presa per proteggere attivisti e giornalisti. Jorge Carrasco, oggi direttore della testata Proceso, è il nono giornalista in Messico il cui dispositivo contiene i segni di un attacco di Pegasus. E anche un ex dipendente di Hacking Team ricorda di aver assistito personalmente a un episodio nel quale il governatore di uno stato federale monitorava dal suo ufficio un giornalista: «Ne andava fiero», aggiunge.

Finora nessuno a livello di autorità pubbliche ha deciso di approfondire il tema. Al contrario, il Messico è stato a lungo uno dei principali acquirenti di Nso: la società israeliana nel 2014 ha firmato un contratto da 32 milioni di dollari con la Procura generale del Paese.

Dell’espansione di Nso nel Centroamerica si trova traccia anche nelle email sottratte nel 2015 ad Hacking Team, che rivelano come l’azienda si ponesse l’obiettivo di “sbugiardare il mito” della sua rivale israeliana.

«Sembra che praticamente tutte le principali società tecnologiche abbiano presentato i loro prodotti in Messico», spiega John Scott-Railton del Citizen Lab, un’organizzazione che da anni investiga sulle attività del software Pegasus prodotto da Nso.

Per approfondire

coding

Sorveglianza: giornalisti ancora nel mirino dei software spia

Amnesty International scopre come un altro giornalista, il marocchino Omar Radi, sia caduto vittima delle tecnologie di sorveglianza di NSO Group, azienda israeliana specializzata nello sviluppo di software di sorveglianza

«Sono convinto che gli abusi siano aumentati in tutto il mondo, ma è anche più difficile individuarli».

John Scott-Railton

Citizen Lab

La preoccupazione, da sempre, è che simili strumenti possano essere utilizzati per spiare attivisti e giornalisti, come più volte documentato, e non terroristi o appartenenti al crimine organizzzato. Ma a rendere ancora più complesso il quadro è l’evoluzione delle stesse tecnologie, sempre più invisibili e difficili da riconoscere. Un traguardo raggiunto quantomeno da Nso che, come già scritto da IrpiMedia a giugno, è in grado di introdurre Pegasus sul dispositivo di un bersaglio anche attraverso attacchi alla rete Internet che serve il dispositivo, bypassando così Sms o allegati malevoli su cui il bersaglio deve cliccare prima dell’inoculazione del virus.

«Sono convinto che gli abusi siano aumentati in tutto il mondo, ma è anche più difficile individuarli», commenta Scott-Railton: «Con l’Nso e altri che vanno nella direzione di vendere tecnologie “zero-click” che non si basano sugli Sms, siamo senz’altro in una situazione più difficile in termini di capacità di investigare». Ma la conseguenza dello sviluppo di queste tecnologie, riflette l’avvocato israeliano specializzato in diritti umani Eitay Mack, «è che in molti luoghi sarebbero in grado di identificare un Nelson Mandela prima ancora che sappia di essere il prossimo Nelson Mandela».

L’esempio di Mack riassume efficacemente le preoccupazioni di attivisti per i diritti digitali, oppositori politici e giornalisti: se chi ha il potere ne abusa, chi paga? Ma soprattutto, chi controlla?

Nessuno lo ha fatto finora nel caso di Emilio Aristegui, figlio della nota giornalista messicana, che ha ricevuto almeno 21 messaggi per altrettanti tentativi di attacco sul suo telefono cellulare, come accertato da Citizen Lab. La campagna nei suoi confronti si è svolta nel 2015 e risulta contigua con quella – evidentemente non andata a buon fine – sul telefono della madre. Ma all’epoca dei fatti Emilio Aristegui era minorenne: «Alcuni di questi messaggi rappresentavano contenuti sessualmente espliciti, mentre in altri si impersonava l’ambasciata statunitense o (si trasmettevano) notizie relative alla madre», si legge in un report pubblicato dall’organizzazione nel 2017.

Emilio Aristegui, figlio della nota giornalista messicana Carmen Aristegui, era minorenne quando ha ricevuto almeno 21 messaggi per altrettanti tentativi di attacco sul suo telefono cellulare

Chi controlla?

Nonostante le ripetute denunce da parte di organi di stampa e associazioni per la tutela dei diritti umani, il governo israeliano non ha mai ritenuto di intervenire nei confronti di Nso, che esporta su sua autorizzazione: «Ogni licenza è erogata alla luce di numerose considerazioni incluse quelle sulle autorizzazioni di sicurezza del prodotto e a una valutazione del Paese verso il quale il prodotto è commerciato», ha dichiarato a Forbidden Stories un portavoce del ministero della Difesa israeliano: «I diritti umani, le politiche e i problemi sociali sono tutti presi in considerazione».

Nel 2018 un gruppo di giornalisti e attivisti messicani presenta un esposto, in Israele, chiedendo di accertare eventuali negligenze di Nso relative agli abusi del governo Messicano, tuttavia il sistema giudiziario ha dovuto prendere atto della richiesta di tenere il procedimento sotto segreto per ragioni di sicurezza nazionale. La stessa segretezza è adottata nei confronti del comitato etico interno all’azienda, che non è però autorizzato a conoscere l’identità dei clienti, spiega Mack: «Se non hanno informazioni come possono intervenire? È una presa in giro».

«Compiamo approfondite indagini su ogni credibile segnalazione di abusi, comprese quelle che riguardano il sospetto che la nostra tecnologia possa essere stata utilizzata con scopi diversi dalla prevenzione legale o dall’indagine legittima in casi di terrorismo o altri reati maggiori», ha commentato un portavoce di Nso in risposta alle domande di Forbidden Stories. L’azienda rivendica di essere anche intervenuta in alcuni casi sospendendo l’accesso ai suoi prodotti: «Abbiamo la possibilità di interrompere l’intero sistema, una misura che abbiamo già preso in passato».

Nso rivendica di essere anche intervenuta in alcuni casi sospendendo l’accesso ai suoi prodotti

Ma se la Galilea piange, Roma non ride. A differenza di quanto dichiarato dal ministero della difesa di Tel Aviv, apparentemente in Italia Hacking Team ha goduto a lungo di migliori auspici, ben rappresentati da una licenza cumulativa all’esportazione ottenuta nel 2015 e valida nei confronti di 46 Paesi. All’epoca (ministro Carlo Calenda) e fino al 2019 queste autorizzazioni erano concesse dal ministero dello Sviluppo economico, ma non è chiaro se fossero previste delle procedure di due diligence come quelle dichiarate dal ministero della Difesa israeliano, al fine di compiere valutazioni specifiche sulle condizioni dei Paesi nei quali venivano esportati i software italiani.

In ogni caso, nel 2019 l’intero comparto è stato trasferito sotto il dicastero degli Affari esteri: «Qui non è rimasto più nulla», spiegano al telefono. Ma anche se così non fosse, negli anni passati il ministero dello Sviluppo Economico non è mai stato particolarmente disponibile a fornire informazioni né a rispondere alle numerose richieste di accesso inviate, in momenti diversi, da diversi giornalisti di IrpiMedia, respingendo sia le domande puntuali su alcune categorie di software sia quelle cumulative che avrebbero quantomeno permesso di ricostruire una statistica del mercato nazionale. Il tutto adducendo motivi di sicurezza nazionale. Al contrario, altri Paesi europei hanno fornito questo tipo di informazioni.


La risposta del Ministero per lo sviluppo economico alla richiesta di accesso agli atti del 2017 - IrpiMedia

«La cosa buona di essere un’azienda europea è che tu devi conoscere l’utente finale, anche se questo non vuol dire nulla e si traduce in un pezzo di carta con un timbro sopra», spiega uno degli ex dipendenti di Hacking Team: «Non dovevi controllare se l’ente sia poi effettivamente in grado di condurre quelle operazioni (di spionaggio, ndr) nella maniera corretta».

Il ministero degli Affari esteri non ha risposto a una richiesta di commento inviata da IrpiMedia.

«L’Italia è vista come un fornitore affidabile perché è cerchiobottista – commenta a IrpiMedia un responsabile governativo nel campo della sicurezza informatica – e il vaglio del cliente o dei suoi intermediari è in capo all’azienda, non all’ente che rilascia la certificazione».

E così non resta che seguire il denaro: all’indomani dell’attacco informatico subito nel luglio del 2015, che ne ha svelato i rapporti commerciali con alcuni Paesi fortemente criticati sul piano internazionale, Hacking Team si è ritrovata isolata proprio da quei clienti che più verosimilmente ne avrebbero sfruttato la tecnologia per fini legittimi, osservano persone vicine alla vicenda. In tal senso nel 2015 sembra essere provvidenziale (dal punto di vista degli affari, sic) la licenza ottenuta dal Mise, che quantomeno avrebbe dovuto garantire all’azienda di espandersi in altre direzioni e così evitare anche lo strapotere di Nso, ormai in piena scalata grazie alla qualità dei suoi prodotti.

Quello che David Vincenzetti, fondatore di Hacking Team, non ha potuto prevedere è ciò che successe al Cairo a gennaio del 2016, con l’omicidio del ricercatore italiano Giulio Regeni. L’Egitto è tra i clienti del polo milanese dello spionaggio, e la stampa italiana si è chiesta se proprio Regeni non fosse stato sorvegliato utilizzando la tecnologia sviluppata in terra natia. Poco più di un mese dopo, il 31 marzo, Hacking Team si è visto revocare la licenza all’esportazione. Una misura che ha segnato la fine dell’azienda sullo scacchiere internazionale.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

CREDITI

Autori

Raffaele Angius

In partnership con

Editing

Luca Rinaldi

Foto

Chris Yang/Unsplash

Sorveglianza: giornalisti ancora nel mirino dei software spia

22 Giugno 2020 | di Cecilia Anesi, Raffaele Angius

Un altro giornalista è caduto vittima delle tecnologie di sorveglianza di NSO Group, azienda israeliana specializzata nello sviluppo di software di sorveglianza, grazie alla quale i governi di mezzo mondo possono spiare media, attivisti e oppositori politici. A farne le spese stavolta, in Marocco, è stato Omar Radi, giornalista d’inchiesta del giornale indipendente LeDesk, che grazie ad Amnesty International ha scoperto di essere stato il bersaglio di una campagna di intrusioni informatiche contro il suo telefono durata almeno un anno: dal gennaio del 2019 allo stesso mese del 2020. Dietro l’operazione si sospetta ci siano le autorità del Paese, da tempo tra i clienti ai quali NSO Group fornisce sistemi di intercettazione tra i più avanzati al mondo.

È questo il quadro che emerge da un’analisi condotta dagli esperti di sorveglianza di Amnesty International, condiviso in esclusiva con Forbidden Stories, piattaforma che prosegue le inchieste di giornalisti minacciati o uccisi, di cui IrpiMedia è partner per l’Italia.

Aggiornamento del 24 giugno 2020

Oma Radi è stato convocato dalla Brigata nazionale di polizia giudiziaria del Paese per chiarimenti. La misura è stata disposta all’indomani della pubblicazione dell’inchiesta che state leggendo condotta dal consorzio di giornalismo investigativo Forbidden Stories, di cui IrpiMedia è membro, nella quale si sono rivelati i numerosi episodi nei quali attaccanti informatici non identificati hanno preso di mira lo smartphone del giornalista, utilizzando il software-spia Pegasus. Questa tecnologia è sviluppata dall’azienda israeliana NSO, di cui il Marocco è ritenuto da tempo un cliente. Omar Radi dovrà presentarsi alle autorità domani, 25 giugno 2020, alle 9:00 del mattino ora locale (le 10:00 in Italia). L’inchiesta internazionale era stata pubblicata tre giorni prima.

Forbidden Stories

Forbidden Stories è una piattaforma che prosegue le inchieste di giornalisti minacciati o uccisi, di cui IrpiMedia è partner per l’Italia. Nel mondo questo approfondimento è pubblicato anche da Le Monde, Radio France, Die Zeit, Süddeutsche Zeitung, WDR, SVT, Utrikesmagasinet, Washington Post, Toronto Star, The Guardian, OCCRP, Daraj, Haaretz, NDR.

Il nome di NSO Group è ben noto nell’ambito della sicurezza informatica e delle organizzazioni per la tutela dei diritti umani. Il software-spia da loro sviluppato – nome in codice Pegasus – è estremamente efficace per condurre intercettazioni e acquisire qualsiasi informazione contenuta nei telefoni dei suoi bersagli: funzionalità particolarmente gradite a governi autoritari e regimi repressivi. Il nome di Pegasus è emerso tra l’altro più volte nel caso dell’omicidio del giornalista saudita Jamal Kashoggi, spiato e poi ucciso al consolato dell’Arabia Saudita a Istanbul.

«Amnesty International aveva già scoperto altre violazioni prima della mia, ma nulla è cambiato»

Omar Radi, giornalista

«Amnesty International aveva già scoperto altre violazioni prima della mia, ma nulla è cambiato: possiamo solo continuare a cambiare telefono ma è come la lotta tra Davide e Golia», ricostruisce Omar Radi. E il problema non è solo che il telefono di Omar sia stato infettato al fine di controllarne il contenuto, ma anche che alcuni di questi episodi siano avvenuti dopo che NSO aveva pubblicato le nuove policy di rispetto dei diritti umani che cercavano di “ripulire” l’immagine di un’azienda su cui Amnesty aveva già pubblicato dati preoccupanti.

Le ripetute campagne di intercettazione nei confronti del dispositivo di Omar dimostrano come, nonostante le promesse, Nso Group abbia continuato a distribuire i propri prodotti senza condurre delle adeguate verifiche di valutazione sul rispetto dei diritti umani da parte dei suoi clienti.

Eppure tutto sarebbe dovuto cambiare

«I prodotti Nso sono utilizzati esclusivamente da agenzie di intelligence nazionali e organi di polizia al fine di combattere il crimine e il terrorismo», si legge sul sito dell’azienda israeliana. Tuttavia, numerosi studi e ripetuti casi venuti alla luce nell’ultimo anno raccontano una storia diversa, nella quale i bersagli prediletti dei clienti di Nso sono piuttosto attivisti e giornalisti. Tra questi, sempre in Marocco, anche lo storico e co-fondatore del movimento Freedom Now, Maati Monjiib, e l’avvocato Abdessadak El Bouchattaoui, coinvolto nella difesa dei manifestanti arrestati durante le proteste berbere del movimento Hirak El-Rif, tra il 2016 e il 2017.

Grazie all’analisi dei loro dispositivi, gli esperti di Amnesty International non solo avevano scoperto le ripetute operazioni ai danni dei due attivisti, ma erano anche stati in grado di determinare l’evoluzione tecnologica delle tecniche d’intrusione perfezionate da NSO Group, che sembra ora in grado di inoculare Pegasus semplicemente sfruttando il controllo della rete alla quale sono collegati gli smartphone.

Tecnicamente si chiama network injection (dall’inglese, iniezione su rete) e consiste nella capacità di deviare la connessione di un dispositivo su un indirizzo scelto dall’autore dell’attacco informatico. Dall’analisi condotta a ottobre del 2019, sarebbe proprio questa la tecnica utilizzata con lo smartphone di Maati Monjib, che durante una normale navigazione su internet si è visto reindirizzato, cliccando sul link di un sito d’informazione sull’app di Facebook, verso la pagina free247downloads[.]com. Di fatto una trappola, che una volta scattata ha permesso di inoculare Pegasus nel suo smartphone. Tre giorni dopo che Amnesty International ha condiviso il risultato della sua ricerca con NSO Group per chiedere un commento, il dominio free247downloads[.]com è stato disabilitato.

Il sito Internet di NSO Group/IrpiMedia

Ma non per questo la tecnica è stata cestinata. La network injection è estremamente efficace in quanto permette all’autore di un attacco informatico di acquisire il controllo di un dispositivo senza che il bersaglio debba interagire con la trappola. La tecnica più comune osservata fino al 2018 prevedeva l’invio di Sms apparentemente legittimi al telefono del bersaglio, contenenti un link malevolo. In questo scenario la “preda” avrebbe dovuto cliccare erroneamente sul link perché avvenisse l’inoculazione.

Se da un lato possono rivelarsi estremamente utili nel contrasto alla criminalità e al terrorismo, questi strumenti possono essere molto dannosi se abusati da Paesi nei quali non è garantita a pieno la libertà di espressione e di critica nei confronti del governo. 

È questo il caso del Marocco che, come denunciato più volte dalle organizzazioni per i diritti umani, ha intensificato la stretta contro proteste pacifiche e dissidenti, arrestando arbitrariamente giornalisti, attivisti, artisti, youtuber e in generale chiunque abbia osato criticare apertamente il Re o le autorità. Da novembre 2019 a oggi, Amnesty ha documentato dieci casi di persone irregolarmente arrestate e detenute

Tra questi anche Omar Radi, che a novembre del 2019 è stato arrestato per un tweet pubblicato mesi prima, ad aprile, nel quale criticava il sistema giudiziario e la condanna delle persone che avevano protestato nel 2017 durante le proteste della popolazione berbera

Rilasciato dopo alcuni giorni, a marzo del 2020 Radi è stato condannato a quattro mesi di carcere (con il beneficio della sospensione della pena) e a pagare una multa di 500 dirhams (circa 50 euro). L’analisi condotta dagli esperti di Amnesty International ha permesso di individuare sullo smartphone di Omar Radi una cartella nascosta creata il 27 gennaio del 2019, nel cui nome compare il medesimo indirizzo riscontrato sul telefono di Maati Monjiib: free247downloads.com.

Come funziona Pegasus: quei decisivi tre millisecondi

Tre millisecondi. Tanto è servito allo smartphone di Omar Radi per essere reindirizzato verso il sito dal quale gli è stato inoculato il malware Pegasus. Almeno questo è quanto ha riscontrato Amnesty International in uno degli episodi identificati sul suo smartphone, il 27 gennaio 2020. Come ricostruito dai tecnici, Radi era sull’app di Facebook quando ha cliccato sul link di un sito d’informazione ed è stato immediatamente reindirizzato verso l’indirizzo contenente il malware. Ma questa volta si trattava di un dominio non noto ai ricercatori – urlpush[.]net -, corrispondente a un server messo in servizio un mese dopo la pubblicazione di Amnesty di ottobre. Il precedente dominio, free247downloads[.]com, era stato cessato il 4 o il 5 ottobre, due giorni dopo che Amnesty International contattasse NSO Group e una decina di giorni prima che il report fosse reso pubblico. Precedenti attacchi sul telefono di Omar sono stati rilevati il 27 gennaio 2019, l’11 febbraio e il 13 settembre. L’ultimo attacco riscontrato risale al 29 gennaio 2020, due giorni prima del precedente. «Mentre le tempistiche suggeriscono un link a NSO – si legge nel report – alcuni dettagli tecnici dell’attacco, compreso il fatto che entrambi i domini riconducono verso lo stesso sito è una prova decisiva per collegare gli strumenti di NSO Group all’attacco contro Omar Radi».

«Questo [tipo di attacco] è tipicamente condotto grazie all’uso di apparecchiature tattiche», spiega a IrpiMedia Claudio Guarnieri, esperto di sicurezza informatica e autore dello studio condotto da Amnesty International. Il riferimento è agli IMSI Catcher: apparecchi che simulano una cella telefonica e quindi si frappongono tra uno smartphone e l’operatore telefonico. Un’altra ipotesi è che chi conduce l’operazione di spionaggio possa avere accesso agli stessi operatori telefonici. In tutti e due i casi, chi attacca ha accesso al traffico dati dell’utente. «Una volta stabilita la posizione di vantaggio, come nel caso di Omar a gennaio o prima ancora di Maati, gli attaccanti possono monitorare il traffico dei dispositivi». L’unico presupposto affinché il dirottamento della connessione avvenga è che l’utente provi ad accedere a siti non protetti da un certificato SSL: si tratta delle pagine il cui indirizzo è preceduto da un “http://”. Da anni è in fase di introduzione in tutto il regno di Internet il protocollo “https://”, la cui “S” identifica che la pagina è protetta. In tutti i casi analizzati, sia Maati Monjib sia Omar Radi stavano navigando su pagine prive di questo tipo di protezione.

«Qualsiasi sito visitato, sia tramite una ricerca manuale su Safari (il browser di default in iOS, ndr) sia visitando un link condiviso su Twitter o Facebook potrebbe causare la trasmissione [del malware], purché la pagina a cui si accede non sia criptata», precisa Guarnieri: «Il tutto avviene in modo automatico e non richiede alcuna interazione né da parte del bersaglio né da quella dell’attaccante: il sistema è autosufficiente».

Ma Pegasus non è solo un software d’intercettazione, anzi: «questo è solo un nome in codice che gli è stato affibbiato ormai diversi anni fa», spiega Guarnieri. «Versioni precedenti scoperte anni fa hanno fornito qualche indicazione su che tipo di dati raccolga, dai registri di Viber e IMO (due app di messaggistica, ndr) fino alle chiamate Whatsapp e agli Sms. Insomma, i dati che tipicamente ci si aspetta vengano esfiltrati da un telefono», aggiunge.

Ma a quali dati acceda oggi nessuno può saperlo con precisione, né è nota la lista dei clienti di NSO Group. A fornire una prima ricostruzione della fisionomia di Pegasus ci aveva pensato, nel 2018, il Citizen Lab della Munk School of Global Affairs di Toronto, che aveva accertato l’impiego di Pegasus in Arabia Saudita, Bahrain, Kazakistan, Marocco, Messico e Emirati Arabi Uniti. Una testimonianza del suo successo è però ben rappresentata anche dal valore del gruppo: a febbraio del 2019 il fondo privato britannico Novalpina Capital ha supportato l’acquisto dell’azienda da parte dei suoi dirigenti. Un’operazione costata un miliardo di dollari (circa 900 milioni di euro) e alla fine della quale il fondo d’investimento ha mantenuto una quota dell’azienda.

In seguito all’operazione, Novalpina Capital si era impegnata a promuovere una migliore definizione delle linee guida e dei principi di NSO Group al fine di meglio tutelare i diritti umani, istituendo addirittura un “Governance, Risk, and Compliance Committee”. Tre giorni dopo l’annuncio, Omar Radi è stato vittima di uno dei tentativi di inoculazione di Pegasus.

Sfortunatamente nessuno ha mai potuto analizzare una versione più recente di Pegasus – «Per quanto ne sappiamo», dice Guarnieri di Amnesty – dal momento che l’azienda ha sviluppato capacità e tecniche tali da renderlo irreperibile a qualsiasi analisi esterna: «L’azienda è molto più prudente di quanto non fosse cinque anni fa».

Le prime tracce di Pegasus risalgono proprio al 2016, quando un’inchiesta del New York Times ne svelò l’esistenza in collegamento con una massiccia campagna di spionaggio internazionale. All’epoca era possibile eseguire l’inoculazione del malware su dieci telefoni al costo di 650 mila dollari, più 500 mila dollari di supporto tecnico.

Ma della tecnologia “dual use” – termine che identifica gli strumenti impiegabili sia in scenari di pace sia bellici – si è tornati a parlare a maggio del 2019, con la scoperta che i tecnici di NSO Group erano in grado di installare il proprio prodotto sul dispositivo di un bersaglio attraverso una semplice videochiamata su Whatsapp, a causa di una vulnerabilità non nota e immediatamente riparata dagli sviluppatori dell’app di messaggistica. Tutt’ora Facebook, proprietaria dell’app per chattare, è in causa con NSO Group. Un miliardo e mezzo di utenti dovettero aggiornare l’app sui propri dispositivi.

Il confronto di Nso Group con l’opinione pubblica era iniziato proprio con quell’episodio, denunciato dagli esperti del Citizen Lab. I ricercatori avevano scoperto che la vulnerabilità di Whatsapp aveva permesso di infettare il telefono di un avvocato londinese coinvolto in un processo proprio proprio contro NSO Group, che doveva difendersi dall’accusa di aver fornito gli strumenti utilizzati per spiare il dissidente saudita Omar Abdulaziz. Tra il 2016 e il 2018 si stima che Pegasus sia stato impiegato in 36 diverse installazioni indipendenti tra loro in tutto il mondo, per un totale di 46 Paesi coinvolti.

«Gli attaccanti possono vedere qualunque cosa venga mostrata sullo schermo del bersaglio», ha commentato a Forbidden Stories un portavoce del Citizen Lab, una volta che l’organizzazione è stata messa al corrente della prossima pubblicazione di questa inchiesta. «Non abbiamo avuto alcuna significativa dimostrazione del fatto che le nuove regole sui diritti umani di NSO Group siano stati efficaci – commenta Citizen Lab – ma è importante notare che una volta venduto il prodotto c’è anche un’intensa attività di collaborazione tra il cliente e NSO. Per esempio, per la fornitura degli aggiornamenti»

Contattata il 16 giugno per una richiesta di commento, NSO Group ha risposto: «L’NSO è profondamente disturbata dalle accuse contenute nella lettera di Amnesty International. Stiamo verificando le informazioni in essa contenute e inizieremo un’investigazione», commenta un portavoce. «La lettera di Amnesty International pone diverse questioni riguardanti il rapporto che NSO Group potrebbe avere nei confronti delle autorità del Marocco, e delle azioni che avevamo preso in seguito a un rapporto di Amnesty International riguardo potenziali abusi dei prodotti di NSO da parte di quelle autorità. L’NSO intende essere quanto più trasparente possibile in risposta a tali accuse riguardanti gli abusi del suo prodotto. Ma dal momento che sviluppiamo e distribuiamo tecnologie che assistono la lotta al terrorismo, ai crimini seri e alle minacce di sicurezza nazionale, NSO è obbligata a rispettare un vincolo di confidenzialità e non può rivelare l’identità dei suoi clienti».

Gli altri attacchi e il lavoro di Omar

Omar ci racconta che da tempo sospettava di essere intercettato. Sia perchè in passato il governo aveva già spiato il suo computer grazie a un virus prodotto dalla italiana Hacking Team (erano state infettati più di 2.000 target in Marocco) e sia perché, sostiene Omar, «le autorità marocchine stanno comprando qualsiasi tipo di tecnologia di sorveglianza e spionaggio possibile. Vogliono sapere tutto, sono diventati un’azienda di spionaggio. D’altronde siamo in uno stato di polizia, quindi è normale». 

Omar ha lavorato come giornalista d’inchiesta per oltre 12 anni seguendo la politica, il potere locale e le relazioni con l’industria e la finanza. Ha anche lavorato e lavora sul tema della giustizia sociale, soprattutto la questione del land grabbing. Proprio in questi giorni su LeDesk è stato pubblicato un nuovo lavoro di Omar sul tema che è stato più difficile del previsto: le vittime che avevano deciso di parlargli sono state poi minacciate dalla polizia e Omar prima di pubblicare ha dovuto togliere le loro storie per proteggerli. Durante la primavera araba, Omar aveva contribuito al lancio della piattaforma di informazione in francese Lakome.com che è stata censurata dalle autorità e il suo direttore imprigionato per avere «glorificato il terrorismo».

Il giornalista Omar Radi – Foto: Fanny Hedenmo

Durante il lockdown a causa del Covid-19, Omar con la redazione di LeDesk ha lavorato sulla mancanza di trasparenza negli appalti per le forniture mediche. Ma per Omar non è solo la voglia di scoprire i temi su cui lavorano i giornalisti il motivo delle intrusioni delle autorità marocchine con il software spia Pegasus. «Faccio parte di un gruppo di persone ritenute “teste calde”, “nemici della nazione”. E ci sorvegliano, anche elettronicamente. È fastidioso perché è una invasione della nostra privacy, lo Stato ha in mano il tuo passato, presente, le tue foto, i tuoi messaggi, le tue cose personali», spiega Omar. Ma non è solo questo, è la rete dei contatti che secondo il giornalista è la gallina dalle uova d’oro che cercano le autorità. «C’è in corso un vero e proprio processo di mappatura delle persone, e probabilmente spiano principalmente i soggetti che hanno più contatti, come i giornalisti. Ed è una cosa che credo sia iniziata da molto tempo, almeno dal 2009», conclude Omar Radi.

Il 7, 9 e 14 giugno di quest’anno il tabloid Chouftv ha pubblicato una campagna di delegittimazione su alcuni giornalisti di punta, tra cui Omar. Le vittime sospettano che sia stata una manovra pilotata dai servizi segreti. Le informazioni riportate erano sicuramente state estrapolate dai telefoni dei giornalisti. «Hanno pubblicato informazioni su di noi di vario tipo, chi siamo, dove viviamo, con chi viviamo, se paghiamo l’elettricità o no, se beviamo alcolici e cose di questo genere. Tutto per fare passare un messaggio: vi controlliamo». Nel caso di Omar, è stato pubblicato il nome della sua coinquilina descrivendo la cosa come una «relazione illegale, fuori dal matrimonio» ma anche materiale di lavoro, per lo più conversazioni avvenute su Whatsapp, e in particolare una conversazione con un ricercatore americano avvenuta sulla app Signal (in teoria sicura, ma non se Pegasus buca il telefono).

Alcune delle informazioni però, erano chiaramente frutto di un’altro tipo di sorveglianza, quella classica, fisica, e non meno preoccupante. Significa che chi spia i giornalisti marocchini con i software NSO, poi li segue anche per strada e potrebbe facilmente attaccarli. Ma per Omar questo non è l’aspetto peggiore. L’aspetto peggiore sono le smear campaign che vengono costruite, campagne di delegittimazione che isolano il giornalista e che terrorizzano potenziali fonti, su cui si basa il lavoro di informazione. «In questo modo le persone diventano riluttanti a parlare con noi giornalisti, se sanno che sono intercettato. Ci organizziamo con altri sistemi come SecureDrop», spiega Omar. Questo però, conclude il giornalista «rallenta i processi, per le persone è complicato capire come usare i sistemi di comunicazione sicura. Ma non importa, anche se ci vorrà più tempo e se ci sorvegliano, non smetteremo di fare il nostro lavoro». Il governo marocchino, contattato da Forbidden Stories per il consorzio, non ha voluto commentare.

In partnership con: Forbidden Stories | Foto: Shahadat Rahman/Unsplash

0Shares
Share via