Lo spyware, per agire, prende il controllo delle principali periferiche del dispositivo (fotocamera, microfoni) ma anche della logica applicativa garantendosi accesso ai file e permettendo all’attaccante di inviare comandi da remoto …
Periodicamente si torna a parlare di attività di spionaggio, in ambito politico e industriale, anzi, di cyberspionaggio, visto che ormai gran parte delle informazioni più sensibili sono custodite e purtroppo mal protette nei nostri dispositivi personali.
In questi giorni, in particolare, si fa un gran parlare – a ragione – del grande attacco informatico portato a politici, giornalisti, professionisti e attivisti per i dritti umani in più Paesi nel mondo, attraverso lo spyware “Pegasus”, realizzato qualche anno fa in Israele, dalla società NSO.
Originariamente pensato, sviluppato e venduto a Forze dell’Ordine e agenzie di intelligence per combattere il terrorismo internazionale, oggi questo malware molto sofisticato e soprattutto estremamente efficace è finito al centro di accuse incrociate a livello internazionale proprio per un utilizzo “improprio” rispetto agli obiettivi ufficiali.
Abbiamo chiesto ad Edoardo Limone, Specialista ICT e Cyber Security Expert, di spiegarci nel dettaglio in cosa consiste questa nuova arma in mano ai cyber criminali, in che modo opera, come prende possesso del nostro dispositivo elettronico, principalmente smartphone, e in che modo è possibile tutelare la nostra privacy e la nostra sicurezza.
Cybersecurity Italia. Ci può spiegare che cos’è uno spyware e come funziona “Pegasus”?
Edoardo Limone. Pegasus è uno spyware, ossia un software appositamente concepito per infiltrarsi all’interno di un dispositivo (uno smartphone ad esempio) e catturarne i dati all’insaputa del proprietario. L’attività di sorveglianza compiuta da questo genere di software è particolarmente insidiosa considerando che tra i dati esportati rientrano non solo la copia dei messaggi, i file multimediali del proprietario del dispositivo ma anche, in taluni casi, la registrazione delle telefonate. Lo spyware, per agire, prende il controllo delle principali periferiche del dispositivo (fotocamera, microfoni) ma anche della logica applicativa garantendosi accesso ai file e permettendo all’attaccante di inviare comandi da remoto.
Nello specifico il Pegasus è uno spyware sviluppato da un’azienda israeliana: la NSO Group ed è in grado di attaccare ed infettare sia dispositivi basati su sistema operativo Google Android che Apple iOS (nelle versioni 14.6 o superiori). Il fatto che l’azienda sviluppatrice sia di nazionalità israeliana apre molte preoccupazioni sul tema della sicurezza informatica, essendo Israele particolarmente attiva sul fronte della guerra cibernetica. L’azienda, chiaramente, sta rispondendo alle accuse e ai sospetti spiegando che lo spyware non ha alcun tipo di finalità offensiva ma la storia è complessa e non depone a favore della NSO Group.
Cybersecurity Italia. Quali Paesi sono rimasti maggiormente coinvolti dall’attacco?
Edoardo Limone. La scoperta di Pegasus, infatti, è nota dal 2016 ma la notizia recente è che lo spyware sarebbe stato usato in una massiccia e silente operazione di spionaggio ai danni di giornalisti, attivisti per i diritti umani e politici. Il virus nel corso degli anni è ciclicamente tornato alla ribalta: nel 2018 Omar Abdulaziz, dissidente saudita, ha accusato la NSO di aver usato il Pegasus per spiare alcuni soggetti tra cui lui e Jamal Khashoggi, il giornalista del Washington Post ucciso e smembrato ad Istanbul il 2 ottobre dello stesso anno. Nel 2019 fu proprio Facebook ad avviare un’azione legale contro la NSO sostenendo che il Pegasus fosse stato usato per intercettare le comunicazioni su dispositivi sui quali era installato Whatsapp. Si trattò di uno scandalo che colpì molti personaggi influenti dell’India e che gettò sospetti addirittura su una complicità del governo indiano. Dal 2016 il codice applicativo dello spyware si è evoluto, tanto da sfruttare una falla presente dentro l’applicazione di messaggistica iMessage dei sistemi iOS. Il virus si installa all’interno del dispositivo mediante link: cliccando su di esso si avvia una complessa procedura di installazione che innesta il virus all’interno del sistema operativo del dispositivo mobile. Nel 2016 l’attivista difensore dei diritti umani Ahmed Mansoor, ricevette un messaggio che faceva riferimento a sedicenti torture avvenute all’interno delle prigioni degli Emirati Arabi; all’interno del messaggio era presente un link che Mansoor attivò provocando l’infezione. Il caso, nel 2021, è riemerso dopo che sono affiorati altri soggetti spiati nel mondo: in Messico risulterebbe spiato il presidente Obrador, in Francia numerosi giornalisti, in Ungheria oltre 300 persone tra giornalisti investigativi, burocrati, politici, avvocati, editori, etc… Si tratta quindi di un’inchiesta globale che riguarda non solo gli Stati Uniti ed il Medio Oriente ma anche i paesi più orientali come l’India e l’Europa. Per questo motivo è stato considerato l’attacco globale più esteso e complesso mai registrato, di cui tra l’altro continuano ad affiorare casi d’infezione. Le finalità d’uso delle informazioni ottenute mediante il Pegasus sono vaste e spaziano dallo spionaggio industriale a quello politico: soprattutto quando i riflettori si posizionano su soggetti influenti in paesi in cui i diritti umani sono quotidianamente messi a rischio.
Cybersecurity Italia. Perché questo spyware spaventa così tanto?
Edoardo Limone. La capacità di Pegasus è anche quella di carpire informazioni da applicazioni di terze parti quali, ad esempio, Viber, Facebook, WhatsApp, Telegram, etc… È opportuno chiarire che se le comunicazioni tra un mittente ed un destinatario sono cifrate con la cifratura end-to-end, è altrettanto vero che lo spyware può leggere i messaggi nel dispositivo senza alcun problema. La complessità di Pegasus è data anche dal fatto che le comunicazioni tra lo spyware e l’attaccante sono garantite da processi finalizzati a confondere il traffico dati facendo rimbalzare i comandi per oltre cinquecento server nel mondo: si tratta quindi di una particolare e complessa architettura che sfrutta molteplici livelli di protezione ma anche condizioni di attacco particolarmente potenti. In un’inchiesta del 2019 il Financials Times spiegava che in molte situazioni le chiamate compiute dai soggetti attaccati sparivano dal registro chiamate e che i telefoni sarebbero stati infettati sfruttando la funzione di chiamata dei dispositivi Apple; bastava quindi rispondere ad una finta chiamata per avviare il processo di installazione del Pegasus. Lo spyware si comporta diversamente a seconda dei privilegi di accesso del dispositivo mobile: se il dispositivo è in possesso di privilegi di root, che consentono l’accesso a tutte le funzioni del sistema, anche a quelle normalmente limitate, il virus agisce operando una sorveglianza continua e un’esfiltrazione dei dati. Se sul dispositivo non ci sono privilegi elevati, il virus opera “solamente” l’esfiltrazione dei dati.
Cybersecurity Italia. Che tipo di informazioni sono sottratte dei nostri smartphone e in che modo è possibile difendersi?
Edorardo Limone. Nel 2017 l’azienda Lookout ha pubblicato un report molto esaustivo dedicato alla piattaforma Android denominato “Pegasus for Android: Technical Analysis and Findings of Chrysaor”. Chrysaor è il soprannome della versione Android del Pegasus e dalle evidenze recuperate dalla collaborazione tra Google e Lookout si è scoperto che non solo lo spyware è in grado di operare una sorveglianza molto efficace all’interno dei dispositivi mobili, ma è in grado di resistere anche al reset di fabbrica andando ad installarsi nella partizione “/system”. Vi sono poi altre caratteristiche interessanti, tra cui l’auto-cancellazione dal dispositivo in caso lo spyware riceva il comando remoto, o se dovesse perdere il contatto con uno dei server di riferimento per 60 giorni. La differenza fisiologica tra sistemi Google Android e sistemi Apple iOS si manifesterebbe, secondo la Lookout, anche nella modalità di contagio. I sistemi Apple acquisirebbero il virus mediante phishing (ad esempio cliccando su link di messaggi poco sicuri), per i sistemi Android si sospetta il medesimo meccanismo ma non si ha la certezza di questo, tanto è vero che sul report Lookout alla voce “Method of Infection” per Android è scritto “Uknown” (sconosciuto). Ci sono altre importanti caratteristiche di differenza nel comportamento tra i due ambienti operativi che sono reperibili nel report a pagina 6. I dati esfiltrati, opportunamente cifrati dallo spyware, sono in formato XML e contengono informazioni di varia natura tra cui, testo ricavato dagli SMS, eventi calendario, tasti premuti sul cellulare, nonché le informazioni di base sul telefono infettato. In particolare l’accesso ai tasti premuti è stato strutturato in un processo che temporaneamente salva i risultati all’interno del percorso “/data/local/tmp/ktmu/ulmndd.tmp” e successivamente al file viene aggiunto un marcatore temporale diventando “/data/local/tmp/ktmu/finidk.<marcatemporale>”. Tramite la funzionalità di keylogging è possibile capire cosa ha digitato l’utente e risalire quindi ad ulteriori messaggi, password e contenuti riservati anche quando lo spyware non riesce direttamente ad esfiltrare i dati dall’applicazione. Tutelarsi da spyware come il Pegasus è difficile per la complessità degli attacchi è elevata, di certo è opportuno adottare cautela nella consultazione di link così come è opportuno disporre di dispositivi con privilegi elevati disattivati. Infine l’aggiornamento costante dei sistemi operativi può aiutare a mitigare i fenomeni di contagio.