Un impiegato del controverso fornitore di strumenti di sorveglianza NSO Group ha usato impropriamente le tecnologie di hacking dell’azienda per spiare una donna per cui aveva un interesse romantico, ha scoperto Motherboard.
La notizia esclusiva riguarda un abuso importante dei prodotti di NSO, che sono tipicamente usati dalle forze dell’ordine e dalle agenzie di intelligence. L’episodio mette anche in luce come chi ha accesso a tecnologie di sorveglianza invasive possa usarle in modo improprio.
Videos by VICE
“Non esiste davvero [un] modo per proteggersi da una cosa del genere. Il personale tecnico avrà sempre accesso,” ha detto a Motherboard un ex impiegato di NSO a conoscenza dell’incidente. Un altro ex dipendente ha confermato la versione della prima fonte, una terza fonte ne ha confermati alcuni aspetti e una quarta fonte vicina all’azienda ha detto che un impiegato ha abusato del sistema dell’azienda. Motherboard ha assicurato l’anonimato a più fonti disposte a parlare delle delibere di NSO, per tutelarle da una ritorsione da parte dell’azienda.
NSO vende un prodotto di hacking chiamato Pegasus a clienti governativi. Con Pegasus, gli utenti possono entrare da remoto dentro iPhone e dispositivi Android aggiornati, tramite un attacco che si aziona quando l’obiettivo clicca su un link maligno, benché talvolta non sia neanche necessario. Pegasus sfrutta diverse vulnerabilità zero-day, basate su bug di cui i produttori come Apple non sono a conoscenza.
Dopo aver infettato un dispositivo, Pegasus può tracciare la posizione dell’obiettivo, leggere i suoi messaggi, le sue email, i messaggi dentro ai social media, prelevare le foto e i video, e accendere la videocamera e il microfono del dispositivo. In passato, alcuni ricercatori sono risaliti all’uso di Pegasus da parte di Arabia Saudita, Emirati Arabi, Messico e decine di altri paesi. NSO dice che il suo tool dovrebbe essere usato esclusivamente per combattere il terrorismo o crimini seri, ma ricercatori, giornalisti e aziende tech hanno riscontrato più casi in cui clienti di NSO usavano il tool per spiare dissidenti e opponenti politici. David Kaye, relatore speciale delle Nazioni Unite per la promozione e la protezione del diritto alla libertà di opinione ed espressione ha detto che esiste una “scia di danni” causati da Pegasus.
Quest’ultimo episodio è diverso, però. Non è stato infatti un corpo di polizia, un’agenzia di intelligence o un governo ad abusare del tool, ma un impiegato di NSO, per scopi personali.
Diversi anni fa, una persona che al tempo lavorava per NSO si era recata negli Emirati Arabi Uniti, ha spiegato un ex impiegato a Motherboard. NSO aveva inviato quella persona a “fare assistenza in loco,” ha detto un secondo ex impiegato. Mentre si trovava là, la persona si è introdotta nell’ufficio del cliente; quest’ultimo ha ricevuto una notifica che qualcuno si era loggato nel sistema Pegasus fuori dall’orario lavorativo, e ha indagato sull’accaduto, ha aggiunto una delle fonti a conoscenza dell’incidente. Le autorità hanno poi fermato e detenuto l’impiegato di NSO, hanno detto due fonti.
“Il cliente era incazzato,” ha detto il primo ex impiegato.
“Ha usato il sistema mentre nessuno guardava,” ha aggiunto il secondo ex impiegato. La parte del sistema Pegasus per i clienti è molto facile da usare; in alcuni casi, un utente deve semplicemente inserire il numero di telefono del suo obiettivo e ha inizio il processo.
L’obiettivo in questione era una donna che l’impiegato conosceva personalmente, hanno detto le fonti.
NSO ha poi licenziato l’impiegato, hanno aggiunto due fonti. I capi dell’azienda hanno tenuto un incontro per dire agli impiegati dell’incidente e assicurarsi che non si ripetesse, hanno detto.
“Trattano severamente gli abusi del sistema,” ha detto a Motherboard uno degli ex impiegati di NSO.
Due fonti hanno detto che il caso in questione risale al 2016, quando ad avere la partecipazione maggioritaria di NSO era la società di investimenti americana Francisco Partners. A febbraio 2019 i fondatori di NSO hanno ricomprato le quote dalla società.
Le fonti non hanno specificato quale agenzia degli Emirati Arabi Uniti abbia subito il sopruso da parte dell’impiegato. Gli Emirati Arabi Uniti hanno tre agenzie di intelligence: UAE State Security, la Signals Intelligence Agency (SIA), e i Military Intelligence Security Services (MISS).
L’ambasciata degli Emirati Arabi Uniti a Washington non ha risposto alla richiesta di commento. NSO non ha voluto rilasciare dichiarazioni ufficiali sull’incidente.
Per quanto ben noto nel mondo della sicurezza da anni, NSO è entrato nella coscienza pubblica dopo aver venduto le sue tecnologie di hacking all’Arabia Saudita, che ha poi usato il tool per violare i telefoni di alcuni dissidenti politici, comprese persone in contatto con il giornalista del Washington Post Jamal Khashoggi. La CIA ritiene che agenti sauditi abbiano ucciso Khashoggi a Istanbul, in Turchia, nel 2018, su mandato del principe ereditario saudita.
Eva Galperin, direttrice della Cybersecurity all’EFF (Electronic Frontier Foundation) che studia da tempo non solo le campagne di hacking governativo, ma anche chi usa malware per spiare i propri partner, ha detto a Motherboard che “è bello avere le prove che NSO Group è determinata a prevenire l’uso non autorizzato dei suoi prodotti di sorveglianza, dove ‘non autorizzato’ significa ‘che non è stato pagato.’ Vorrei che ci fossero prove che gli importa altrettanto quando i loro prodotti sono usati per violare diritti umani.”
“Devi chiederti, chi altro potrebbe essere stato preso di mira da NSO con strumenti fatti per i clienti?” ha detto a Motherboard John Scott Railton, ricercatore del Citizen Lab dell’Università di Toronto, che studia da tempo il proliferare di NSO. Il caso mette in luce anche come NSO, come qualsiasi altra organizzazione, ha un problema di impiegati non professionali. È terrificante che persone del genere possano sfruttare strumenti di hacking comparabili a quelli dell’NSA,” ha detto.
NSO si è ripetutamente lavato le mani rispetto all’hack effettivo di telefoni, dicendo che il suo lavoro è sviluppare una capacità che sta poi ai clienti usare. Questo episodio, però, “invalida la posizione di NSO per cui l’azienda stessa non può condurre operazioni di hacking. Prova che i suoi impiegati hanno compiuto operazioni di hacking illegali, senza supervisione,” ha aggiunto Railton. Motherboard ha scritto in precedenza di come NSO aiuti i suoi clienti a costruire messaggi di phishing fatti su misura per i loro obiettivi per aumentare le probabilità di infettarli con successo.
Kaye, relatore speciale dell’ONU e promotore di una pausa mondiale dell’export di tecnologia di hacking prima che possano essere adottati regolamenti più consistenti, ha detto a Motherboard che l’incidente solleva non poche domande su NSO.
“Come fa effettivamente un impiegato a fare una cosa del genere, tanto per cominciare?” ha detto, chiedendosi anche se esistano altri incidenti di uso illecito della piattaforma.
Dopo questo episodio, NSO ha introdotto “controlli più rigorosi delle persone che si relazionano con i clienti,” ha detto uno degli ex impiegati a Motherboard. Questo include controlli biometrici per assicurarsi che solo le persone autorizzate possano usare il sistema, ha detto una delle fonti vicine all’incidente.
Nonostante in questo caso l’impiegato sia stato colto sul fatto, da un punto di vista più tecnico, “non c’era niente che mi impedisse […] di usare il sistema contro chiunque avessi voluto,” ha detto a Motherboard uno degli ex dipendenti.
NSO è al momento impelagata in una causa legale con Facebook, che ha denunciato NSO per aver sfruttato una vulnerabilità su WhatsApp per permettere ai propri clienti di hackerare da remoto i telefoni dei propri obiettivi semplicemente componendo il numero. L’azienda ha anche sviluppato una tecnologia progettata per tracciare la diffusione del COVID-19 ma diversi esperti di privacy sono preoccupati dal design di questo sistema.
Gli impiegati di diverse agenzie governative che hanno accesso a strumenti di sorveglianza hanno a loro volta approfittato della propria posizione. Nel 2013, il Wall Street Journal ha riportato la notizia di alcuni agenti dell’NSA che hanno sfruttato in diverse occasioni le capacità di spionaggio dell’agenzia per monitorare i loro interessi amorosi.
Gli Emirati Arabi Uniti hanno affrontato diverse controversie sull’uso che fanno di potenti tecnologie di hacking. Reuters ha pubblicato più indagini su Project Raven, un’operazione in cui ex hacker dell’NSA americana sono immigrati negli Emirati e hanno formato un gruppo di hacker d’elite per il paese. Alcuni membri di Raven hanno finito per prendere di mira cittadini americani con i loro strumenti, hanno concluso i report. Reuters ha anche riferito che l’FBI proibisce l’uso di malware di NSO ai danni di residenti e aziende americani almeno dal 2017.
Qualsiasi azienda tech si confronta con impiegati che sfruttato illecitamente dell’accesso a dati o tool interni. Motherboard ha rivelato in passato come Facebook avesse licenziato alcuni dipendenti per aver perseguitato altre persone grazie all’accesso privilegiato ai dati utente; come gli impiegati di MySpace abbiano sfruttato un tool chiamato Overlord per i propri interessi; e come Snapchat abbia avuto problemi di abusi simili a sua volta.