Cybersorveglianza, le conseguenze dell’inchiesta Pegasus Project
27 Luglio 2021 | di Riccardo Coluccini
Apartire da domenica 18 luglio 2021 sono stati pubblicati più di cento articoli di un’inchiesta internazionale che rivela l’estensione degli abusi effettuati con lo spyware Pegasus, prodotto dall’azienda israeliana NSO Group e utilizzato da diversi Paesi per sorvegliare gli smartphone e le vite di giornalisti, attivisti, avvocati, politici e dei loro familiari.
L’inchiesta prende il nome di Pegasus Project ed è coordinata da Forbidden Stories, organizzazione francese che prosegue le inchieste di giornalisti minacciati o uccisi, con il supporto tecnico del Security Lab di Amnesty International e coinvolge 17 testate in tutto il mondo. I casi di abuso si estendono in quasi ogni continente ma l’inchiesta dimostra che questo tipo di sorveglianza illegittima è già penetrato in Europa: ci sono infatti casi in Ungheria ma anche giornalisti e politici francesi sorvegliati probabilmente dal Marocco.
Al centro della storia vi è una lista di 50mila numeri telefonici che potenzialmente potrebbero essere gli obiettivi dei clienti di NSO. Amnesty è riuscita ad analizzare 67 dispositivi collegati a quei numeri e in 37 casi ci sono conferme di inoculazioni dello spyware o comunque indizi di tentativi di infezione. A fianco di ogni numero la lista conterrebbe anche un’indicazione di orario e data: questi dati starebbero a indicare il momento esatto in cui il numero di cellulare del target è stato inserito nel sistema – non è chiaro se per verificare lo status del numero (in che zona del mondo si trova e se è attivo oppure no) o per effettuare anche subito l’attacco e installare Pegasus. In base alle analisi di Amnesty, questa marca temporale precederebbe sempre di alcuni minuti l’inoculazione del malware sui dispositivi analizzati. Non è chiaro chi abbia messo insieme questa lista, né se tutti i numeri siano stati oggetto di tentativi di compromissione e sorveglianza. La lista include obiettivi in 50 Paesi e i dati risalgono indietro nel tempo fino al 2016.
Nella lista non sono presenti i nomi dei possessori di quei numeri ma i giornalisti sono riusciti a identificare più di mille persone: tra queste ci sono 10 tra ex e attuali primi ministri, tre presidenti e un re, quasi 200 giornalisti, familiari e persone vicine a Jamal Khashoggi, rivali del leader indiano Narendra Modi e un giornalista messicano che è stato ucciso da un sicario nel 2017, Cecilio Pineda Birto (dell’utilizzo del software in Messico se n’è occupata anche IrpiMedia nell’ambito dell’inchiesta Cartel Project). Un altro caso di cui ci siamo già occupati riguarda il giornalista marocchino Omar Radi.
Gli esponenti politici non hanno concesso la possibilità di analizzare i propri dispositivi e in altri casi non è stato possibile farlo perché lo smartphone utilizzato nel momento in cui il numero è apparso nella lista è stato cambiato. I numeri della lista fanno riferimento a Paesi già noti per effettuare questo tipo di sorveglianza e per essere clienti di NSO Group. La presenza del numero di cellulare nella lista non vuol dire necessariamente che il dispositivo sia stato infettato.
I Paesi origine dei dispositivi sorvegliati da Pegasus
Secondo i giornalisti, nella lista vi sarebbero anche numeri appartenenti a criminali ma non è possibile stabilire con esattezza in quale percentuale visto che non tutti i proprietari dei telefoni sono stati identificati.
NSO Group sostiene che il lavoro di Forbidden Stories si basi su «false ipotesi e teorie non provate», si legge in un comunicato di replica all’inchiesta. Ribadisce che il proprio software è utilizzato per il contrasto al terrorismo e in altri gravi reati e ritiene che «le affermazioni che sono fatte dalle fonti senza nome a Forbidden Stories sono basate su un’interpretazione fuorviante dei dati […] che non hanno alcuna attinenza con la lista degli obiettivi dei clienti di Pegasus o qualsiasi altro prodotto NSO».
Cos’è Pegasus e cosa fa
Il Security Lab di Amnesty segue da anni le tracce lasciate da Pegasus come dimostrano le precedenti analisi di dispositivi infettati: IrpiMedia si era occupata del caso di Omar Radi, giornalista d’inchiesta del giornale indipendente LeDesk in Marocco, bersaglio di una campagna di intrusioni informatiche contro il suo telefono durata almeno un anno, dal gennaio del 2019.
Pegasus può infettare gli smartphone in due modi: con un’interazione diretta della vittima come ad esempio cliccando un link ricevuto via SMS (1-click) oppure senza che la persona faccia nulla (0-click) sfruttando falle in iMessage, WhatsApp, o indirizzando la navigazione su un sito in cui è presente il malware. Una volta installato, Pegasus è in grado di accedere a tutti i contenuti presenti sullo smartphone: la lista dei nostri contatti, le foto salvate, i documenti scaricati, gli sms e le email, le nostre chat; ma può anche agire attivamente accendendo il nostro microfono o la fotocamera, scattando screenshot delle nostre schermate e registrando le nostre chiamate.
Nella dettagliata analisi tecnica che accompagna l’inchiesta di Forbidden Stories, il Security Lab traccia una panoramica delle modalità di infezione individuate in 37 smartphone tra i 67 su cui i ricercatori sono riusciti a mettere le mani: 23 telefoni sono stati infettati con successo e 14 hanno mostrato segni di tentativi. Per i restanti 30 telefoni i test sono stati inconcludenti, in diversi casi perché i telefoni erano stati sostituiti. Per questi ultimi, quindici dei telefoni erano dispositivi Android che, a differenza degli iPhone, non registrano il tipo di informazioni necessarie per il lavoro investigativo di Amnesty. Tuttavia, tre telefoni Android hanno mostrato segni di targeting, come i messaggi SMS collegati a Pegasus.
Amnesty ha registrato tracce di infezione tramite iMessage e casi in cui sembrerebbero essere stati sfruttati anche l’app Foto e l’app Apple Music per installare Pegasus. Gli attacchi di tipo 0-click sono stati osservati a partire dal 2018 e continuano fino ad oggi: un iPhone 12 con la versione di iOS 14.6, l’ultima disponibile rispetto alla data di pubblicazione dell’inchiesta, ha mostrato segni di compromissione.
«Queste scoperte più recenti indicano che i clienti di NSO Group sono attualmente in grado di compromettere a distanza tutti i recenti modelli di iPhone e versioni di iOS», spiegano nell’analisi i ricercatori di Amnesty.
L’invasione di Pegasus. Anche in Europa
La storia di NSO è costellata di casi in cui il software Pegasus è stato usato contro dissidenti e altre vittime che non sono in alcun modo collegate al terrorismo o a gravi reati. Pegasus ha fatto il suo ingresso in scena nel 2016 grazie a un report del Citizen Lab, un laboratorio interdisciplinare dell’Università di Toronto: Ahmed Mansoor, attivista per i diritti umani negli Emirati Arabi Uniti, riceve un SMS con un link sospetto e da lì i ricercatori scoprono la catena di infezioni per installare lo spyware. In precedenza c’erano state notizie legate a potenziali intercettazioni illegali a Panama e l’uso contro giornalisti in Messico.
Forbidden Stories e le altre testate sono riuscite a identificare potenziali clienti in 11 Paesi: Azerbaijan, Bahrain, Ungheria, India, Kazakhstan, Messico, Marocco, Rwanda, Arabia Saudita, Togo ed Emirati Arabi Uniti.
«Il numero di giornalisti identificati come obiettivi illustra vividamente come Pegasus sia usato come strumento per intimidire i media. Si tratta di controllare la narrazione pubblica, resistere allo scrutinio e sopprimere ogni voce di dissenso», ha dichiarato Agnès Callamard, segretario generale di Amnesty International.
L’inchiesta di Forbidden Stories rivela che questo tipo di attacco avviene proprio in Europa: per anni Pegasus è stato in uso in Ungheria contro obiettivi come giornalisti investigativi e proprietari di media. La testata ungherese Direkt36, che ha preso parte al Pegasus Project, ha individuato prove di avvenuta infezione nei dispositivi di due suoi giornalisti, Szabolcs Panyi e András Szabó.
L’attacco ai media è facilmente ricostruibile, secondo quanto ricostruito dal giornale e dalle analisi di Amnesty: il 3 aprile 2019 Panyi ha inviato una richiesta di commento a diversi dipartimenti governativi riguardo un articolo a cui stava lavorando sulle operazioni di una banca russa che si stava trasferendo a Budapest. Il giorno seguente lo smartphone di Panyi è stato infettato da Pegasus.
Tra gli oltre 300 numeri telefonici ungheresi, Direkt36 ha identificato anche altri due giornalisti, un fotografo ungherese che stava lavorando come fixer per un giornalista statunitense, il figlio e uno dei più stretti confidenti dell’ex oligarca Lajos Simicska – Simicska nel 2018 stava apertamente attaccando Orbán ed era a capo di un vero e proprio impero mediatico -, e Adrien Beauduin, uno studente straniero della Central European University arrestato dalla polizia ungherese durante una protesta antigovernativa nel 2018. In questi casi non ci sono prove di infezione sui dispositivi ma i numeri erano presenti nella lista.
Pegasus è stato però installato sullo smartphone di una delle persone che hanno preso parte a una cena organizzata da Zoltán Varga, proprietario di Central Media Group e oggetto di attacchi da parte del governo, secondo quanto ricostruito da Direkt36.
Un ex membro dei servizi di intelligence ungheresi ha dichiarato a Direkt36 che Pegasus è in uso dal 2018 grazie all’avvicinamento nelle relazioni internazionali avvenuto tra Israele e Ungheria – NSO deve infatti richiedere un’approvazione dal governo israeliano per esportare il suo software.
«Ci sono tanti pericoli per lo Stato ovunque», ha dichiarato la Ministra della giustizia ungherese Judit Varga in risposta alle domande di un giornalista di Le Monde, coinvolto nel progetto Pegasus, che chiedeva se avrebbe autorizzato la sorveglianza di un giornalista o di un esponente dell’opposizione.
Nel frattempo, dall’altra parte dell’Europa anche la Francia si trova a dover fare i conti con Pegasus. Nella lista ci sono i numeri di telefono di diversi giornalisti francesi e direttori di testate come Le Monde, Le Canard enchaîné, Le Figaro, Agence France-Presse e France Télévisions.
Cinque sono i giornalisti francesi sui cui smartphone sono state trovate tracce di Pegasus: Dominique Simonnot, una ex cronista giudiziaria di Le Canard enchaîné e ora Garante francese per la protezione delle persone private della libertà; Bruno Delport, direttore della radio TSF Jazz e che si occupa di lavoratori e lavoratrici sessuali in Marocco; due vittime all’interno del giornale Mediapart, la giornalista Lenaïg Bredoux che aveva indagato in passato sul capo dei servizi segreti di Rabat, e il fondatore del giornale stesso, Edwy Plenel; e infine un giornalista di Le Monde che non è stato nominato esplicitamente.
Mediapart e Le Canard enchaîné hanno annunciato il 19 luglio di aver sporto denuncia e il 20 Luglio la procura di Parigi ha aperto un’inchiesta. Secondo quanto riportato da Le Monde, ci sarebbero dieci ipotesi di reato tra cui «violazione della privacy», «intercettazione di corrispondenza», «accesso abusivo» a un sistema informatico e «associazione criminale».
«Il governo del regno del Marocco non ha mai acquisito software per infiltrarsi nei dispositivi di comunicazione, né le autorità marocchine hanno mai fatto ricorso a tali atti», riporta un comunicato inviato al The Guardian.
La lista di numeri però mette ancora più in difficoltà il Marocco. Oltre ai giornalisti vi sono anche i numeri di cellulare del Presidente francese Emmanuel Macron, dell’ex primo ministro Édouard Philippe e di 14 ministri compresi quelli della giustizia e degli affari esteri. Non è chiaro se gli smartphone siano stati effettivamente sorvegliati ma in un caso l’analisi di Amnesty conferma tracce di un tentativo di inoculazione di Pegasus: è lo smartphone dell’ex ministro dell’ambiente François de Rugy che ha ricevuto tre diversi tentativi di intrusione nel 2019. Sempre nello stesso anno, il numero di Macron è stato inserito nella lista.
I precedenti europei e altre storie di abusi
Non è la prima volta però che Pegasus mette piede in Europa. Lo ha fatto sul piano legale: nel 2019 l’associazione Access Now ha scritto ai governi di Bulgaria e Cipro per richiedere indagini sulle licenze di esportazione che sarebbero state rilasciate dalle autorità bulgare e cipriote a NSO Group, secondo quanto rivelato da Novalpina Capital, società con sede a Londra che possiede la maggioranza delle azioni di NSO, in una lettera a diverse associazioni tra cui Amnesty.
Ma NSO non si è fermata a quello: secondo un articolo del Guardian ed El Pais pubblicato nel 2020, i telefoni cellulari di diversi politici in Spagna sono stati presi di mira con Pegasus nel 2019. Non è chiaro chi fosse stato il mandante ma un ex dipendente di NSO ha confermato a Motherboard che il governo spagnolo è diventato uno dei clienti dell’azienda a partire dal 2015.
Lo stesso amministratore delegato, cofondatore e responsabile delle vendite dei software intrusivi di NSO, Shalev Hulio, ha dichiarato in un’intervista che «la maggior parte dei 45 Paesi con cui lavoriamo sono in Europa». Casi di utilizzo di Pegasus sono già stati indicati in precedenza in un report del Citizen Lab del 2018: ci sono tracce in Polonia, Paesi Bassi, Svizzera, Francia, Grecia e Lettonia.
Le prove raccolte negli anni dimostrano che il software della NSO è stato utilizzato ripetutamente per sorvegliare e monitorare attivisti, dissidenti politici e giornalisti, ma Pegasus è stato abusato persino dagli stessi dipendenti di NSO: in un caso un dipendente si è introdotto nell’ufficio di un cliente e ha effettuato l’accesso al sistema Pegasus al di fuori del normale orario di lavoro per sorvegliare una donna per cui provava interesse.
Inoltre NSO dichiara di non poter né voler colpire vittime negli Stati Uniti però impiega server e infrastruttura su suolo statunitense come emerso quando in passato è stata sfruttata una vulnerabilità di WhatsApp per colpire 1.400 utenti – tra cui sembra ci fossero anche ufficiali di governo -, motivo per cui Facebook ha portato in tribunale NSO. E secondo Reuters, l’FBI starebbe indagando dal 2017 sull’azienda israeliana.
Le reazioni e il contrattacco
A causa delle prove di infezione sul dispositivo dell’ex Ministro dell’Ambiente Francois de Rugy e della presenza del numero del Presidente francese nella lista, Emmanuel Macron ha indetto già una riunione urgente per parlare di sicurezza nazionale. Secondo la BBC, Macron avrebbe anche cambiato il proprio smartphone e numero di telefono.
I procuratori ungheresi hanno aperto un’indagine sulle accuse rivolte al governo per l’utilizzo dello spyware Pegasus per colpire centinaia di numeri di telefono, compresi quelli dei giornalisti.
Il governo israeliano starebbe istituendo una task force per valutare modifiche alle regole sulle esportazioni. Al momento i prodotti di NSO richiedono tutti una licenza per essere esportati, ricostruiscono i giornalisti dell’inchiesta Pegasus Project, ma sembra che Israele abbia usato NSO come carta diplomatica per facilitare nuove connessioni: basti pensare che è un reato punibile per i cittadini israeliani viaggiare in Arabia Saudita senza la dovuta autorizzazione, ma nel 2017 NSO ha ricevuto la licenza per vendere il proprio spyware direttamente dal governo israeliano.
«Quello che abbiamo letto, se confermato dopo le verifiche, è qualcosa di completamente inaccettabile. Contro ogni tipo di regole che abbiamo nell’Unione europea», ha dichiarato la Presidente della Commissione europea Ursula von der Leyen durante una visita a Praga.
Nel frattempo il governo del Marocco è passato alla controffensiva presentando una denuncia in Francia contro Forbidden Stories e Amnesty International per diffamazione. Il governo marocchino nega di aver acquistato il software malgrado ci fossero già in precedenza sufficienti prove per dimostrare l’uso di Pegasus contro i giornalisti. Omar Radi, il giornalista sorvegliato nel 2019, deve scontare ora una pena di 6 anni in carcere.
Nella lista, secondo il Washington Post, è presente anche il numero di Romano Prodi, inserito insieme ad altri numeri che sembrano essere riconducibili a obiettivi del Marocco. Il Garante italiano per la protezione dei dati personali ha inviato una richiesta a NSO lo scorso 23 luglio per sapere «se vi siano, ed eventualmente chi siano, i clienti italiani che utilizzano il software».
Per l’Alta Commissaria delle Nazioni unite per i diritti umani, Michelle Bachelet, le notizie rivelate dal Pegasus Project dimostrano che «la linea rossa è stata superata più e più volte nella totale impunità».
Per ora NSO continua a negare ogni coinvolgimento con la lista dei numeri, afferma di implementare dei rigidi controlli su chi può essere un obiettivo della sorveglianza, e dichiara di aver effettuato tutte le verifiche con i propri clienti e di non aver riscontrato alcun tipo di abuso. Inoltre, pur avendo dichiarato che non avrebbe rilasciato più dichiarazioni, l’azienda continua a spostare il focus dagli abusi sui diritti umani all’origine della lista dei numeri: in un’intervista rilasciata al giornale gratuito conservatore Israel Hayom il 21 luglio, l’ad di NSO ha sostenuto che molte aziende di cybersicurezza israeliane sono vittime di attacchi da gruppi pro-Palestina. «Sembra che qualcuno voglia andarci contro», ha aggiunto in riferimento all’inchiesta coordinata da Forbidden Stories. I promotori dell’attacco, secondo Shalev Hulio, sono il Qatar o il movimento Boycott, Divestment, and Sanctions (BDS) che cerca di fare pressione sull’opinione pubblica internazionale promuovendo il boicottaggio di Israele e le sanzioni nei suoi confronti per porre fine all’occupazione della Palestina.
Per Amnesty International non ci sono dubbi: «I dati sono inconfutabilmente collegati a potenziali obiettivi dello spyware Pegasus di NSO Group. Le false voci diffuse sui social media hanno lo scopo di distrarre dall’attacco illegale nei confronti di giornalisti, attivisti e altri che il Pegasus Project ha rivelato».
Amnesty chiede che sia adottata immediatamente una moratoria globale sull’esportazione, la vendita e l’uso di apparecchiature di sorveglianza fino a quando non ci sarà un quadro normativo conforme ai diritti umani.