August 19, 2022

PAPERS

A volte la vita ti colpirà alla testa con un mattone

Pegasus mobile RAT abusato per monitorare giornalisti e attivisti

Vengono poste domande sul lavoro del gruppo NSO, specialista in sorveglianza informatica con sede in Israele, dopo l’esposizione di oltre 50.000 numeri di telefono appartenenti ad attivisti, giornalisti e altre persone ritenute “di interesse” per alcuni dei regimi più repressivi del mondo che avevano utilizzato il suo Pegaso trojan di accesso remoto (RATTO).

I dettagli dell’abuso dello spyware Pegasus – che è legittimamente utilizzato dai clienti delle forze dell’ordine e dalle agenzie antiterrorismo, tra gli altri – sono stati rivelati nel fine settimana del 17 e 18 luglio in un comunicato coordinato da più media, includendo il Custode nel Regno Unito. I giornali hanno ottenuto l’elenco dei numeri da un’organizzazione mediatica no-profit francese Storie proibite e beneficenza Amnesty International.

Si dice che il dump dei dati includa dettagli di giornalisti di importanti organizzazioni dei media tra cui Al Jazeera, Bloomberg, CNN, Economista, il New York Times e il giornale di Wall Street, tra gli altri.

I governi che si presume abbiano preso di mira i loro critici usando Pegasus includono Azerbaigian, Bahrain, Emirati Arabi Uniti, Ungheria, Kazakistan, India, Messico, Marocco, Ruanda e Arabia Saudita.

In una lunga dichiarazione (modificata per chiarezza) condiviso con le organizzazioni di segnalazione iniziale, NSO ha negato strenuamente le accuse contenute nelle storie. Ha detto che ha controllato tutti i suoi clienti governativi e non ha gestito i sistemi venduti loro, né ha avuto accesso ai dati che potrebbero raccogliere.

Ha negato “false affermazioni” e “teorie non corroborate” e ha cercato di mettere in dubbio i motivi di Forbidden Stories per indagare su di esso.

Questa non è, tuttavia, la prima volta che sono state sollevate domande sul software Pegasus. Nel 2019, WhatsApp ha scoperto che Pegasus era stato utilizzato per infettare più di 1.000 dispositivi con malware attraverso una vulnerabilità zero-day. NSO è stata anche accusata di sfruttare le vulnerabilità del software Apple per colpire i dispositivi iOS. Analisi del Security Lab di Amnesty International suggerisce che NSO è costantemente alla ricerca di nuovi zero-day nelle applicazioni mobili consolidate.

Oltre a sfruttare le vulnerabilità o tramite attacchi di spear-phishing sugli obiettivi, Pegasus può anche essere installato tramite wireless se il telefono di destinazione si trova nel raggio di un ricetrasmettitore specifico, ha affermato Amnesty. Una volta presente, può estrarre l’intero contenuto di un dispositivo, nonché prendere il controllo del microfono e della fotocamera del telefono e registrare le chiamate.

Jakub Vavra, analista di minacce mobili presso l’azienda di sicurezza ceca Avast, ha affermato di aver monitorato e bloccato i tentativi di Pegasus di violare i dispositivi Android dal 2016, con un picco di attività nel 2019. Tuttavia, non è comunemente visto in natura, quindi il rischio per la persona media è probabilmente inferiore.

“Pegasus ha poca prevalenza rispetto ad altri spyware Android. Evidentemente viene utilizzato come strumento altamente mirato, poiché a differenza dello spyware che spesso viene diffuso ampiamente per raccogliere masse di dati degli utenti, Pegasus viene utilizzato solo su pochi individui, a quanto pare, per scopi di sorveglianza”, ha affermato Vavra.

“La minima diffusione dello spyware non lo rende meno pericoloso, per ogni individuo sotto sorveglianza la portata del danno alla privacy è sicuramente molto alta”.

ProPrivacy’s Atila Tomaschek ha affermato che anche se il gruppo NSO afferma di esaminare a fondo i propri clienti prima di vendere loro Pegasus, quando i clienti dell’azienda includono governi autoritari con scarsi dati sui diritti umani, è chiaro che l’affermazione sarebbe inevitabilmente messa in discussione.

“Le rivelazioni dello spyware Pegasus servono a mostrare come i governi autoritari di tutto il mondo non abbiano alcuna riserva nel condurre operazioni di sorveglianza sui propri cittadini e nel mettere a tacere le voci di dissenso”, ha affermato Tomaschek.

“È difficile credere che il gruppo NSO sia stato completamente ingenuo su come i suoi clienti avrebbero probabilmente utilizzato la sua soluzione spyware Pegasus, o che stesse alimentando un’offensiva così massiccia sui diritti umani e le libertà civili in tutto il mondo”.

Tomaschek ha esortato i governi a ritenere gli sviluppatori di applicazioni di monitoraggio legittime più responsabili per il modo in cui vengono utilizzati i loro prodotti: “L’industria dello spyware privato continuerà a crescere e la sua influenza si intensificherà se questo spazio rimarrà così allarmantemente non regolamentato come lo è oggi. Le aziende tecnologiche devono garantire che i loro prodotti siano sicuri da usare di fronte a spyware sempre più sofisticati che hanno il potenziale per essere abusati in modo così diffuso e spaventoso”.

Comparitech Brian Higgins ha aggiunto: “Mentre il software proprietario Pegasus appartiene a NSO Group e fa del suo meglio per controllarne l’implementazione contrattualmente, ci saranno sempre consumatori che cercheranno di riutilizzare le sue funzionalità per i propri fini.

“Questa storia è ancora in fase di sviluppo, ma è già evidente che il numero di potenziali vittime citato non riflette accuratamente la quantità di attività dannose attualmente facilitate da questo software. È una sfortunata realtà che gli sviluppatori di talento non riescano mai a comprendere completamente l’intero spettro di usi che le loro idee potrebbero soddisfare in futuro”.