Il nuovo spy tool usato dai governi per hackerarti l'iPhone
Immagine: Paul Hudson/Flickr

FYI.

This story is over 5 years old.

Tecnologia

Il nuovo spy tool usato dai governi per hackerarti l'iPhone

Il malware è stato utilizzato per colpire un dissidente politico negli Emirati Arabi Uniti.

Il mattino del 10 agosto, Ahmed Mansoor, un attivista per i diritti umani 46enne proveniente dagli Emirati Arabi Uniti, ha ricevuto sul suo iPhone uno strano SMS da un numero che non conosceva.

"Nuovi segreti sulla tortura degli Emirati nelle prigioni statali," leggeva il messaggio, accompagnato da un link.

Mansoor, che era già stato vittima di hacker governativi che sfruttavano spyware commerciali di aziende come FinFisher e Hacking Team, si è insospettito e non ha cliccato sul link. Invece, ha inviato un mesaggio a Bill Marczak, un ricercatore di Citizen Lab, una "torre di controllo" sui diritti digitali della Munk School of Global Affairs dell'Università di Toronto.

Pubblicità

Come prevedibile, il messaggio non era ciò che millantava di essere. Il link non portava ad alcun segreto, ma ad un sofisticato malware che sfruttava tre diversi e fino ad oggi sconosciuto exploit del sistema operativo iOs di Apple, che avrebbero permesso all'aggressore di ottenere completo controllo sull'iPhone di Mansoor, secondo dei joint report pubblicati giovedì da Citizen Lab e dall'azienda di mobile security Lookout.

"Si tratta di uno dei software per il cyberspionaggio più sofisticati che io abbia mai visto."

Questa è la prima volta che qualcuno scopre dal nulla un attacco del genere. Fino a questo mese, nessuno aveva mai visto un tentato attacco spyware che sfruttava tre bug sconosciuti, detti anche zero-days, dell'iPhone. Gli strumenti e la tecnologia necessari per un attacco del genere,, cioè praticamente un jailbreak dell'iPhone da remoto, possono valere fino a un milione di dollari. Dopo che i ricercatori hanno avvertito Apple, l'azienda ha lavorato velocemente per pubblicare un fix che sistemasse i bug. La patch è stata diffusa giovedì.

La domanda è, chi c'è dietro all'attacco e cosa hanno usato per portarlo a termine? Sembra che l'azienda che ha fornito lo spyware e gli exploit zero-days agli hacker che stavano prendendo di mira Mansoor, sia un piccolo commerciante israeliano di prodotti di sorveglianza chiamato NSO Group, che il vice presente della ricerca di Lookout Mike Murray ha etichettato come "fondamentalmente un venditore di cyber-armi."

Pubblicità

I ricercatori del Citizen Lab e di Lookout sono rimasti piuttosto stupiti da questo nuovo tipo di malware.

"Abbiamo capito che stavamo analizzando qualcosa che nessun altro prima aveva mai visto. Si trattava, letteralmente, di cliccare su un link per ottenere un jailbreak di un iPhone in un solo passo," ha spiegato a Motherboard Murray. "Si tratta di uno dei software per cyberspionaggio più sofisticati che io abbia mai visto."

A partire dalla sua fondazione nel 2010, NSO è diventata nota per fornire sofisticati malware a governi che hanno bisogno di attaccare dei cellulari durante le loro indagini, anche se l'utilizzo dei suoi strumenti non è mai stata documentata prima. L'azienda afferma che i suoi prodotti sono completamente silenziosi, come dei "fantasmi." L'azienda è così attenta ai rischi che corre da non aver mai avuto un sito internet, e raramente ha rilasciato interviste o commenti alla stampa. Ma alcune informazioni sono fuoriuscite, incluso un investimento da 120 milioni di dollari effettuato da una venture capital americana nel 2014, e una successiva valutazione da circa 1 miliardo di dollari.

Il malware di NSO, che l'azienda ha soprannominato Pegasus, è progettato per infettare silenziosamente un iPhone e rendere l'attaccante capace di rubare e intercettare tutti i dati dentro di esso, oltre che ogni comunicazione che vi passa attraverso.

"In pratica ruba tutte le informazioni presenti sul tuo telefono, intercetta ogni chiamata, intercetta ogni messaggio, i contatti, le chiamate FaceTime, crea una backdoor su qualunque sistema di comunicazione che hai sul telefono," spiega Murray. "Ruba tutte le informazioni nella app Gmail, tutti i messaggi Facebook, tutte le informazioni Facebook: Skype, WhatsApp, Viber, WeChat, Telegram—Tutto quello che vuoi."

Pubblicità

I tipi di dati che Pegasus è capace di intercettare, secondo la documentazione marketing di NSO leakata.

Marczak e John Scott-Railton, di Citizen Lab, che hanno analizzato per primi il malware, lo hanno dissezionato con l'aiuto di Murray e dei suoi colleghi di Lookout. I ricercatori hanno clicatto sul link inviato a Mansoor attraverso un loro iPhone-cavia, e lo hanno infettato con Pegasus, e ciò ha permesso loro di comprendere cosa esattamente stesse facendo quel malware.

Questo attacco su Mansoor, oltre che un altro che Citizen Lab è riuscito a tracciare fino a un giornalista in Messico, mostra come i noti Hacking Team e FinFisher non siano gli unici personaggi presenti nel crescente business delle aziende private che forniscono strumenti di hacking per i governi. Mostra anche come i clienti di queste aziende, che spesso sono governi autoritari con uno storico verificato di abusi dei diritti umani e di attacchi nei confronti di attivisti e dissidenti, non abbiano paura di usare questi strumenti, a prescindere dal costo. "Questi episodi dimostrano l'incredibile potere di giornalisti e attivisti, se riescono a giustificare una spesa del genere per uno spyware," spiega Railton.

Infine, questo episodio potrebbe essere un anticipazione di ciò che presto diverrà la normalità.

"Le persone prese di mira da questi messaggi, oggi—dissidenti e attivisti—, si tratta delle persone che sono in prima linea nelle battaglia che ci coinvolgeranno tutti, domani. Sono come i canarini nelle miniere di carbone," ha spiegato Marczak. "Le minacce che stanno subendo oggi diventeranno normali per tutti domani."

Pubblicità

Un portavoce di NSO ha rifiutato di rispondere a domande specifiche riguardo il report, affermando con una dichiarazione pre-compilata che "l'azienda non è a conoscenza di e non può confermare i casi specifici menzionati nella vostra richiesta."

COME L'NSO È STATA BECCATA

All'inizio di quest'anno, a maggio, Citizen Lab ha rivelato un nuovo, sofisticato gruppo di hacker chiamato Stealth Falcon. I ricercatori non potevano confermarlo, ma sospettavano che Stealth Falcon avesse un collegamento con il governo degli Emirati Arabi Uniti, e prendesse di mira i dissidenti dentro e fuori il paese.

Come parte della ricerca su Stealth Falcon, Citizen Lab è stata capace di mappare gran parte delle infrastrutture del gruppo, inclusi i server e i domini che Stealth usava per rubare i dati e risucchiarli dalle vittime nelle sue campagne di hacking. Ma i ricercatori non sono riusciti a trovare alcun esempio concreto dei malware usati dagli hacker. Tutto è cambiato il 10 agosto, quando Mansoor ha inviato a Marczak il messaggio SMS sospetto.

I due messaggi sospetti ricevuti da Mansoor, che contenevano i link allo spyware dell'NSO Group. (Immagine: Ahmed Mansoor)

Quando Marczack e Scott Railton hanno cominciato ad analizzarlo, hanno seguito delle tracce online confuse e hanno capito che lo spyware stava comunicando con un server, e con un indirizzo IP che in passatao avevano inquadrato come parte dell'infrastruttura di Stealth Falcon.

Pubblicità

Inoltre, all'interno del malware vero e proprio, gli sviluppatori avevano lasciato una stringa di codice: "PegasusControl," apparentemente un riferimento al nome in codice dello spyware di NSO, Pegasus. I ricercatori sono riusciti a trovare altri domini associati a NSO o all'infrastruttura dei suoi clienti, notando in maniera "allarmante" come alcune di questi tentassero di impersonare organizzazioni umanitarie come la Croce Rossa e testate online.

Per la prima volta, i ricercatori hanno potuto dare un'occhiata da vicino alle caratteristiche del malware dell'azienda. Dalla sua fondazione nel 2010, l'NSO ha guadagnato un'aura quasi leggendaria, con molti rumor non confermati riguardo i suoi poteri—Nel frattempo, l'NSO è riuscita a rimanere costantemente sotto la superficie, facendo trapelare pochissimi dettagli su di sé al pubblico. L'esecutivo dell'azienda si è raramente concesso ai media, e i pochi articoli sull'NSO sono estremamente vaghi e pieni di rumor non confermati.

"Siamo dei fantasmi," ha spiegato il co-founder di NSO Omri Lavie a Defense News, una pubblicazione sul commercio militare, nel 2013.

"Siamo dei fantasmi."

Un breve profilo datato 2014, pubblicato sul The Wall Street Journal, spiega che l'NSO ha smerciato i suoi prodotti al governo messicano, e ha anche ottenuto le attenzioni della CIA. Secondo l'articolo, lo spyware di NSO era venduto in tutto il mondo.

Ora che il suo prodotto è stato esposto e gli exploit zero-days bruciati, l'NSO forse non può più dire di essere davvero un fantasma, anche se molto facilmente l'azienda avrà altri strumenti e zero-days da tirare fuori dalla manica. È per questo che i ricercatori non credono che i loro report, e le patch di Apple, fermeranno a lungo le attività dell'azienda.

Pubblicità

"Non manderemo in pensione l'NSO risolvendo queste vulnerabilità," spiega Murray.

Inoltre, il malware è programmato con delle impostazioni compatibili con iOs 7, e ciò significa che l'NSO probabilmente infetta smartphone sin dall'iPhone 5.

Il portavoce dell'NSO Zamir Dahbash ha affermato in una dichiarazione che la "missione dell'azienda è di aiutare il mondo a essere più sicuro fornendo ai governi legittimi tecnologie che possano aiutarli a combattere terrore e crimine."

"L'azienda vende solamente ad agenzie governative autorizzate, e riconosce per intero le rigide regole per l'esportazione. Inoltre, l'azienda NON gestisce nessuno di questi sistemi; vendiamo la tecnologia e basta," si legge nella dichiarazione.

"L'accordo firmato con il cliente dell'azienda richiede che il prodotto venga utilizzato solamente per scopi legali. In particolare, il prodotto può essere utilizzato solamente per le indagini e la prevenzione dei crimini."

APPLE RISPONDE

I ricercatori del Citizen Lab e di Lookout hanno contattato Apple non appena hanno saputo dei bug, che hanno battezzato Trident. Ci sono voluti circa dieci giorni prima che Apple sviluppasse un patch. Il patch è ora parte integrante dell'update del sistema iOS 9.3.5, che ogni utente iPhone dovrebbe scaricare e installare prima possibile. "Non appena abbiamo saputo della falla l'abbiamo riparata con iOS 9.3.5," ha dichiarato un portavoce di Apple, senza aggiungere commenti.

Pubblicità

Dan Guido, il CEO dell'azienda di cybersecurity Trail Of Bits, che lavora molto con i sistemi Apple, ha dichiarato che questi attacchi sono del tutto normali. In definitiva, nonostante i tre bug, Guido è ancora convinto che, a livello di sicurezza, un iPhone sia una scelta più sensata rispetto a un dispositivo Android. "Apple paga il prezzo di produrre dei device a elevata prestazione," ha dichiarato Guido, aggiungendo che ad ogni modo "iOS è ancora il device più sicuro sul mercato."

"Il problema è che ci vuole una mentalità davvero paranoica, oltre che qualche amico al Citizen Lab per capire se hai un malware," ha aggiunto.

OTHER VICTIMS

I ricercatori non sono ancora riusciti a cercare altre tracce di Pegasus. Ma cercando link simili e domini associati all'attacco su Mansoor e altre infrastrutture del gruppo di hacker che hanno chiamato Stealth Falcon, sono riusciti a trovare un tweet che ha come bersaglio vittime sconosciute in Kenya e un attacco al giornalista investigativo messicano Rafael Cabrera.

Me han llegado estos dos supuestos mensajes de UnoTV desde este número: (55) 6106 7277. No es gracioso Rafael CabreraAugust 30, 2015

Cabrera è stato colpito dal malware NSO per la prima volta l'anno scorso, e poi intorno al maggio di quest'anno. Nell'ultimo round dell'attacco, gli hacker hanno tentato di costringerlo a cliccare su tutta una serie di messaggi che offrono rivelazioni sulla corruzione del governo, lo avvertono di un addebito di 500 dollari sul suo conto telefonico, e gli promettono persino video porno che proverebbero il tradimento di sua moglie. Lui dice di non aver mai cliccato su nessuno dei link.

"Chiaramente vogliono che io clicchi," ha detto Cabrera a Motherboard. "Anzi sembrano proprio disperati."

Cabrera non ha voluto indagare sui responsabili, dicendo che avrebbe potuto essere il Governo come chiunque altro. Il Messico è tra i sospetti clienti di NSO, ma non è chiaro se la polizia o le agenzie di intelligence stiano effettivamente usando il malware della compagnia. Il Messico era anche il miglior cliente di Hacking Team, e alcune delle sue agenzie usavano frequentemente lo spyware contro giornalisti e dissidenti, piuttosto che contro i criminali.

Alla fine, Cabrera e Mansoor non sono stati hackerati, perché sono stati abbastanza furbi da non cadere nei tranelli degli hacker. In un certo senso, hanno avuto fortuna. Essendo stati tdi tentativi di hacking già in passato, sono stati più vigili del solito.

Ma le loro storie, come ha detto Marczak, potrebbero insegnarci qualcosa. Se i governi vogliono hackerare, compagnie come Hacking Team e NSO continueranno a fornire spy tool. In passato, Citizen Lab ha documentato diversi attacchi spyware contro dissidenti, giornalisti e attivisti per i diritti umani da parte dei governi. Ma nonostante la campagna contro questi attacchi, Citizen Lab continua a trovarne di nuovi, spesso operati dagli stessi governi contro gli stessi obiettivi.

"Queste compagnie non sono certo incentivate a tenere per sé i loro tool," ha detto Marczak. Questo è il primo segno della crescita di un nuovo superpotere nell'industria degli spyware. NSO ha il potenziale per crescere dopo l'attacco—non ancora mortale—a FinFisher e Hacking Team, che al momento sono ancora i più famosi venditori di spy tech.

E tutte queste rivelazioni non sarebbero mai state svelate se Mansoor non avesse cliccato su quel link, il 10 agosto.