20 luglio 2021 15:27

L’elenco è impressionante: troviamo un capo di stato e due capi di governo europei, uomini e donne che lavorano ai vertici del potere di un’ex repubblica sovietica, decine di deputati dell’opposizione di un paese africano, principi e principesse, amministratori delegati, qualche miliardario, ambasciatori e generali, ma soprattutto centinaia di giornalisti, avvocati e difensori dei diritti umani.

Le Monde, all’interno di un consorzio composto da altre sedici redazioni, ha avuto accesso a circa 50mila numeri di telefono – condivisi dall’organizzazione Forbidden Stories e da Amnesty International – potenzialmente colpiti dal software-spia Pegasus, prodotto dall’azienda israeliana Nso Group per conto di una decina di governi.

Diversi obiettivi all’interno della società civile sono stati effettivamente colpiti da Pegasus. Le Monde e il consorzio coordinato da Forbidden Stories hanno potuto confermare l’autenticità dei dati, incrociandoli con altre fonti e identificando decine di nuove vittime del software attraverso analisi tecniche approfondite sui loro telefoni condotte dagli esperti del Security Lab di Amnesty International.

Le liste di “obiettivi” sono di eccezionale interesse: l’uso di Pegasus da parte degli stati clienti dell’Nso, al di fuori di qualsiasi quadro legale, era un segreto custodito gelosamente.

Una parte consistente dei clienti dell’Nso acquista Pegasus per sorvegliare i propri oppositori politici e la propria popolazione

Dalla sua creazione, nel 2011, l’azienda israeliana vende il suo software presentandolo come uno strumento decisivo destinato unicamente alla lotta contro il terrorismo e il crimine organizzato, e assicura di prendere ogni precauzione per garantire un uso “legittimo” del suo programma.

Tuttavia l’analisi dei dati consultati da Le Monde e dalle altre redazioni dimostra che per gran parte dei clienti dell’Nso la lotta contro il terrorismo e la criminalità costituisce una minima parte dell’utilizzo di Pegasus.

In Azerbaigian, in Marocco e in Ruanda gli obiettivi del software sono soprattutto giornalisti, oppositori, avvocati, difensori dei diritti umani. L’Nso ripete da anni che i casi di sorveglianza politica sono incidenti isolati, ma le informazioni che Le Monde e i partner hanno pubblicato a partire dal 18 luglio, in una serie di rivelazioni che usciranno nel corso della settimana, dimostrano in maniera incontestabile che gli abusi sono la norma, non l’eccezione.

Una parte consistente dei clienti dell’Nso acquista Pegasus per sorvegliare i propri oppositori politici e la propria popolazione.

Queste violazioni ripetute dei diritti umani sono commesse da paesi il cui acquisto di Pegasus è stato sistematicamente approvato dal ministero della difesa israeliano. Israele protegge e coccola l’Nso, uno strumento importante del suo soft power. La fornitura ad alcuni governi ha contribuito a ristabilire le relazioni diplomatiche, e in questo senso le attività dell’Nso possono parzialmente spiegare il recente riavvicinamento operato dallo stato ebraico con Arabia Saudita, Ungheria o Marocco.

La difesa dell’Nso Group
Nè l’Nso né il governo israeliano possono ignorare il fatto che una buona parte dei clienti dell’azienda acquista Pegasus specificamente per sorvegliare gli oppositori politici e la popolazione, senza dimenticare lo spionaggio industriale nei confronti dei partner commerciali e le indagini sui governi dei paesi vicini.

Il diritto internazionale inquadra soltanto marginalmente la vendita di queste armi informatiche, che gli acquirenti utilizzano quotidianamente contro i civili e contro categorie protette dalla convenzione di Ginevra, come i medici.

“L’Nso Group nega con decisione le false accuse portate dalla vostra inchiesta. Queste accuse sono in buona parte teorie non corroborate, che sollevano seri dubbi sulla credibilità delle vostre fonti e sul centro della vostra inchiesta”, ha risposto l’azienda israeliana contattata dal Progetto Pegasus. “Le vostre fonti vi hanno fornito informazioni che non poggiano su alcuna base fattuale”, ha aggiunto l’azienda, che afferma di non conoscere né di controllare in tempo reale l’utilizzo di Pegasus da parte dei clienti. “L’Nso Group continuerà a indagare sulle accuse credibili in merito a un uso scorretto del suo software e agirà in funzione dei risultati. Questo potrebbe consistere nell’interruzione dell’accesso al sistema per alcuni clienti in caso di abusi confermati. L’Nso Group lo ha fatto in passato e non esiterà a farlo in futuro”, ha precisato l’azienda.

La portata della gravità delle violazioni dei diritti umani è legata anche alla natura di Pegasus, che non è un semplice strumento di “ascolto telefonico”. Ritenuto particolarmente efficace e potente, il software-spia può prelevare tutti i dati contenuti in un dispositivo, dalle fotografie alla rubrica fino ai messaggi scambiati su applicazioni teoricamente sicure come Signal o WhatsApp.

Invisibile agli occhi dell’utente del telefono, il software può essere installato a distanza (senza che il “bersaglio” abbia bisogno di aprire un link) e nella completa discrezione, sfruttando faglie nella sicurezza dei software Apple e Google, che i due giganti delle tecnologia non riescono a correggere abbastanza rapidamente. In questo modo il software dell’Nso alimenta il mercato lucrativo e oscuro delle faglie di sicurezza, spingendo centinaia di hacker a cercare costantemente nuove vulnerabilità per poi vendere le loro scoperte all’Nso e a una manciata di altre società, a prezzi esorbitanti.

Questa discrezione e questa facilità d’uso hanno trasformato Pegasus nello strumento di spionaggio preferito dagli stati. La Francia ne ha fatto le spese più di altri paesi: migliaia di numeri telefonici con prefisso +33 sono stati presi di mira da Pegasus, soprattutto per mano di un paese “alleato” della Francia, il Marocco. Interpellato, il governo di Rabat ha smentito “categoricamente che le accuse” dimostrino “un qualsiasi rapporto tra il Marocco e l’azienda israeliana Nso”.

Diplomatici, alti funzionari, politici: Pegasus ha permesso al Marocco, per un prezzo modico, di colpire con pochi click interi settori dell’apparato statale francese. I più cinici penseranno che si tratti di una pratica comune nei rapporti tra gli stati. Tuttavia le inchieste di Le Monde e dei partner dimostrano che questo vasto sistema di sorveglianza digitale va ben oltre il quadro del “normale” gioco di spionaggio.

pubblicità

In Francia e nei paesi che hanno acquistato l’accesso al software-spia è soprattutto la società civile a essere colpita: atleti, sacerdoti, imam, giornalisti, youtuber, avvocati, ma anche uomini e donne il cui unico torto è quello di essere vicini, attraverso legami di amicizia o familiari, agli oppositori del governo. Le testimonianze raccolte dai giornalisti che hanno lavorato al Progetto Pegasus evidenziano le conseguenze drammatiche di questa sorveglianza sulla vita delle persone colpite e il modo in cui viene imposta l’autocensura delle voci dissidenti, anche le più modeste.

Il Progetto Pegasus non è la storia di uno scandalo di sorveglianza di massa, come lo erano state le rivelazioni di Edward Snowden del 2013 sulle operazioni condotte dall’Nsa negli Stati Uniti. Le vittime di Pegasus sono state prese di mira individualmente da governi e servizi segreti. I due scandali hanno però un elemento in comune: a quanto pare le persone che spiano nei minimi dettagli la vita dei cittadini non devono mai rendere conto a nessuno.

(Traduzione di Andrea Sparacino)

Questo articolo è stato pubblicato da Le Monde.

Da sapere
Cos’è Pegasus e alcuni dei suoi obiettivi

Pegasus è probabilmente lo spyware più potente che sia mai stato sviluppato – quantomeno da un’azienda privata. Una volta annidato nello smartphone, si trasforma in un dispositivo di sorveglianza senza destare alcun sospetto. Può copiare messaggi inviati o ricevuti, raccogliere foto e registrare chiamate. Non solo: è anche in grado di attivare la telecamera e il microfono dello smartphone a insaputa del proprietario per registrare conversazioni, tracciare gli spostamenti o identificare chi hai incontrato.

Pegasus è un dispositivo di hackeraggio, o spyware, sviluppato, commercializzato e concesso in licenza a governi di tutto il mondo dall’azienda israeliana Nso Group, in grado di infettare miliardi di smartphone con sistema operativo iOS o Android.

La prima versione di Pegasus, individuata dai ricercatori nel 2016, si serviva del cosiddetto “spear-phishing”, un tipo di phishing mirato che, tramite messaggi o email, inganna il destinatario con dei link dannosi.

Nel tempo però la Nso ha sviluppato strategie di aggressione più avanzate. L’attacco di Pegasus può avvenire tramite le operazioni “zero-click”, che per infiltrarsi non richiedono alcun tipo di interazione con il proprietario dello smartphone. Queste operazioni spesso approfittano delle vulnerabilità “zero-day”, falle o bug non ancora scoperti dai sistemi operativi.

Nel 2019 Whatsapp ha rivelato che un software prodotto dalla Nso era stato usato su più di 1.400 telefoni, sfruttando le vulnerabilità zero-day. Avveniva tramite una normale chiamata WhatsApp: Pegasus veniva installato sul dispositivo del destinatario, anche in caso di chiamata rifiutata. Più recentemente, l’Nso ha cominciato a sfruttare alcuni difetti nel sistema di messaggistica iMessage sviluppato da Apple, che hanno garantito l’accesso a milioni di iPhone. Apple ha dichiarato che i frequenti aggiornamenti ai sistemi operativi sono mirati a prevenire questo tipo di attacchi. Eppure, nel luglio del 2021, sono state rinvenute tracce di attacchi portati a termine con successo da Pegasus su iPhone aggiornati all’ultima versione di iOS.

Per aziende come l’Nso, l’utilizzo di software installati di default sui dispositivi, come iMessage, o con un ampio bacino d’utenza, come WhatsApp, sono particolarmente attraenti, perché il numero delle potenziali vittime aumenta drasticamente.

Le analisi forensi condotte sugli smartphone delle vittime hanno dimostrato che l’Nso ha cominciato a estendere le sue strategie ad altre vulnerabilità, per esempio nelle applicazioni Foto e Musica di Apple.

Pegasus non demorde: nel caso in cui né lo spear-phishing né gli attacchi zero-click dovessero avere successo, può essere installato sia tramite un ricetrasmettitore wireless posizionato in prossimità dell’obiettivo, sia manualmente, come specificato nella brochure di Nso, nel caso lo smartphone finisca nelle mani sbagliate.

Una volta installato, Pegasus è in grado di raccogliere più o meno tutte le informazioni contenute sul dispositivo ed estrarre qualsiasi file. Sms, messaggi, agenda, storico delle chiamate, calendario, email e cronologie web possono essere spiati.

Il ricercatore Claudio Guarnieri, a capo dell’Amnesty International Security lab spiega che quando un iPhone viene compromesso, Pegasus ottiene i cosiddetti permessi di root o di amministrazione: a quel punto lo spyware ha più potere del proprietario sul dispositivo.

L’Nso si è impegnata a rendere il software e ogni sua traccia impossibili da rilevare. I ricercatori di sicurezza informatica sospettano anche che, in una versione più recente, Pegasus si annidi nella memoria temporanea del telefono piuttosto che nell’hard drive. In questo modo, una volta spento lo smartphone, qualsiasi traccia del software potrebbe scomparire.

Ciò che più preoccupa giornalisti e difensori dei diritti umani è il fatto che il software sfrutti vulnerabilità non ancora scoperte: nessun utente, seppur attento alla sua sicurezza, può prevenire un attacco di Pegasus. Infatti afferma Guarnieri: “La domanda che più di frequente mi viene posta quando conduco un’analisi forense è: cosa posso fare per impedire che accada di nuovo? L’unica risposta onesta è: niente”.–The Guardian

Obiettivi

Arabia Saudita
Un amico del giornalista saudita Jamal Khashoggi, Omar Abdulaziz, è stato messo sotto sorveglianza tre mesi prima dell’omicidio di Khashoggi. Pegasus è stato anche installato nel telefono della fidanzata del giornalista ucciso, Hatice Cengiz, quattro giorni dopo l’omicidio. Anche il figlio di Khashoggi, Abdullah, era stato messo sotto sorveglianza su richiesta di un cliente dell’Nso.
Azerbaigian
La giornalista investigativa Khadija Ismayilova, che indagava sulla famiglia del capo dello stato, ha avuto il telefono sotto controllo per tre anni. Lo stesso il reporter Sevinc Vaqifqizi.
Francia
Edwy Plenel, direttore di Mediapart, è stato messo sotto sorveglianza nell’estate del 2019.
India e Pakistan
Più di duemila giornalisti indiani (di The Hindu, Hindustan Times, Indian Express, India Today, Tribune The Pioneer, The Wire) e pachistani sono stati sorvegliati tra il 2017 e il 2019.
Marocco
I giornalisti Hicham Mansouri, Omar Radi, Taoufik Bouachrine e Soulaimane Raissouni, tutti arrestati tra il 2018 e il 2020.
Messico
Tra le 15mila mila persone sotto sorveglianza anche il giornalista d’inchiesta Cecilio Pineda Birto, ucciso nel 2017.
Ungheria
Szabolcs Panyi è stato messo sotto controllo per le sue inchieste su difesa, affari internazionali e sul gruppo bancario russo International Investment Bank.–Haaretz