Pegasus, intercettazioni e trojan di Stato: ecco perché nessuno smartphone è al sicuro - Cybersecurity360

Si torna a parlare di Pegasus, lo spyware sviluppato dall’ormai nota società israeliana NSO e usato per spiare giornalisti, attivisti e capi di Stato. Una minaccia persistente che rende insicuro qualsiasi smartphone, anche di chi non vive sotto regimi autoritari.

Ecco perché nel mio articolo per Cybersecurity360

pegasus

Pegasus ha colpito ancora. Ne abbiamo già parlato e previsto un ritorno. Così è stato: 80 giornalisti e 30 capi di stato sono stati sorvegliati dallo spyware che aveva già fatto parlare di sé per una falla nella sicurezza a WhatsApp sviluppata da NSO Group, la società israeliana sua creatrice.

Vediamo cosa è successo questa volta.

 

Spyware Pegasus: l’indagine internazionale

Da un’indagine portata avanti da testate internazionali, tra cui l’autorevole Washington Post, è emerso che il malware di spionaggio Pegasus ha attaccato numerosi dispositivi di giornalisti, attivisti e capi di stato: si parla, come dicevamo, di 180 reporter e 30 capi di stato.

Da quanto dichiarato a seguito dell’indagine, il software israeliano è stato utilizzato da alcuni governi del mondo come strumento di spionaggio nei confronti di giornalisti, attivisti e manager. Tra questi governi che ne hanno fatto uso ci sarebbe anche quello ungherese presieduto da Victor Orban.

Nato come software per controllare i traffici di terroristi e criminali a livello internazionale, del valore di 8 milioni di dollari, Pegasus ha coinvolto più di 50.000 numeri di telefono localizzati nei paesi che sono soliti sorvegliare i propri cittadini, clienti della NSO Group e appartenenti a numerosi giornalisti di testate internazionali autorevoli, come CNN, New York Times, Wall Street Journal, Financial Times, Voice of America e Al Jazeera, così come quelli di diversi capi di stato.

In Ungheria, ad esempio, il malware di spionaggio sembra aver preso di mira giornalisti investigativi e manager di media indipendenti su ordine del presidente ungherese Victor Orban, nella sua guerra contro i media.

Ma anche persone vicine a Jamal Khashoggi, il giornalista “saudita progressista” del Washington Post che aveva apertamente criticato l’operato del principe ereditario dell’Arabia Saudita, Mohammad bin Salman. Lo stesso Khashoggi si era anche opposto all’intervento militare saudita in Yemen e fu ucciso all’interno dell’Ambasciata Saudita a Istanbul dallo stesso principe ereditario, secondo quanto dichiarato dalla CIA.

 

Gli attacchi con Pegasus: il caso WhatsApp

La notizia del nuovo attacco Pegasus è stata divulgata dalla ONG Forbidden Stories e da Amnesty International e potrebbe essere considerata la più grande violazione della privacy dai tempi di Prism, programma americano di sorveglianza elettronica di cui Edward Snowden rivelò l’esistenza nel 2013.

Ricordiamo che già nel 2019 una falla nella sicurezza di WhatsApp aveva mietuto numerose vittime, tra cui il Presidente del Parlamento catalano Roger Torrent. WhatsApp si era mossa con una causa a NSO Group per aver sfruttato la vulnerabilità delle videochiamate per attaccare gli utenti e la stessa Amnesty International aveva già allora avviato una causa legale contro la piattaforma social tra le più usate al mondo per altri numerosi attacchi contro attivisti, politici e giornalisti.

Il ricorso fu respinto dal tribunale di Tel Aviv, nonostante il gruppo di ricerca canadese Citizen Lab e testate giornalistiche come The Guardian, El País e il Washington Post avessero dimostrato che Pegasus era stato usato nel settembre 2019 per entrare nel telefono di Omar Radi, giornalista investigativo marocchino, in quello di Bezos, di Khashoggi, Abdulaziz e molti altri, tra cui un giornalista del New York Times, Ben Hubbard, e Osama Bin Laden.

 

Pegasus: da strumento di difesa a mezzo di attacco

Come abbiamo già avuto modo di approfondire in precedenza, il malware di spionaggio Pegasus è stato sviluppato dalla società israeliana NSO Group per contrastare il crimine e soprattutto il terrorismo.

L’attacco attraverso Pegasus viene avviato mediante un’esca, ovvero l’intrusione, nel caso degli smartphone, tramite una videochiamata (prevalentemente su WhatsApp) in cui non serve che la vittima risponda.

Lo spyware si attiva e, attraverso la finta chiamata, sfruttando tecniche di phishing, di social engineering e la navigazione Web, riesce ad “entrare” nel dispositivo e può attivare l’ascolto delle conversazioni, vedere i contenuti archiviati nella memoria interna, scattare foto e altro.

Lo scopo dello spyware è spiare i movimenti della vittima, fino all’uso “discreto” del microfono per una sua costante geolocalizzazione.

Questa attività si unisce con un’attività molto più sofisticata: la cosiddetta spia silente. Ovvero, mentre stiamo navigando su un qualsiasi sito dal browser o da motori di ricerca, prevalentemente su siti HTTP (quelli HTTPS sono apparentemente più “sicuri”, la “s” finale sta infatti per sito crittografato), questa spia ha la capacità di reindirizzare la nostra ricerca su siti ulteriori che a loro volta aprono degli indirizzi mirati, a cui si aggancia automaticamente il software: può trattarsi di servizi degli operatori e quindi inviti a scaricare app, suonerie e offerte oppure dell’infrastruttura su cui poggia il device fisico, ossia antenne, ponti e ripetitore di aggancio.

In base all’uso che si fa di un software, ovviamente se ne può modificare lo scopo.

“Tutti gli spyware sono strumenti essenziali per le indagini criminali, ma il loro uso conferisce un potere enorme, capace di destabilizzare uno Stato. Tutta la supply chain della loro messa in produzione va controllata, al pari del loro uso. Nei nostri dispositivi c’è la copia della nostra vita. Chi prende il controllo del nostro telefono può fare tutto senza essere notato, anche metterci dentro immagini pedopornografiche e poi denunciarci. E se il bersaglio fosse un sindaco o un ministro? È urgente affrontare il tema riprendendo la proposta che feci da deputato nella scorsa legislatura. Non si può pensare sempre e solo alle registrazioni telefoniche o ambientali”, queste le parole di Stefano Quintarelli, presidente dell’Advisory Group on Advanced technologies delle Nazioni Unite.

 

Le vulnerabilità sfruttate da Pegasus

Nel caso specifico di Pegasus, sono state sfruttate le vulnerabilità dei software con cui interagisce dai suoi stessi programmatori e di solito si tratta della vulnerabilità definite zero-day, ossia sconosciute al mondo, che vengono vendute e comprate in circuiti criminali e attraverso agenzie di brockeraggio legali per consentire l’accesso ai software spia.

Inoltre, ancora più inquietante è la possibilità di entrare nei dispositivi a zero-click, senza che la vittima debba cliccare su un link malevolo, come dichiarato da Claudio Guarnieri del Citizen Lab dell’università di Toronto. Un esempio viene da iMessage, installato abitualmente sull’iPhone.

Ricordiamo che già nel 2016 Pegasus era stato trovato negli iPhone in vulnerabilità che si attivavano cliccando su una videochiamata WhatsApp persa da un numero con prefisso svedese. In quel modo venivano controllati il microfono e la fotocamera del telefono, venivano raccolte le password e si aveva accesso a foto e messaggi di posta elettronica. Apple ha poi rilasciato un aggiornamento nell’agosto 2016 per chiudere queste vulnerabilità.

 

 

Fonte: Cybersecurity360