• Ms Tech / AP /Daniella Cheslow

Il mondo dello spyware esce dall’ombra

Shalev Hulio, co-fondatore e CEO di NSO, afferma che il suo settore è pieno di aziende che non sono interessate al rispetto della legge.

Normalmente, il silenzio e la segretezza sono connaturate all'attività di spionaggio. Per nove anni interi, Hulio non ha mai parlato pubblicamente della sua azienda di hacking dal valore di miliardi di dollari, anche quando è risultata collegata a scandali o è stata accusata di violazioni dei diritti umani in tutto il mondo. Ultimamente, però, ha deciso di farlo. "Le persone non capiscono come funziona l'intelligence", mi dice Hulio durante una videochiamata da Tel Aviv. 

L'azienda che dirige, la NSO Group, è la più famosa al mondo nel campo dello spyware. È al centro di un settore internazionale in forte espansione in cui le aziende high-tech vanno alla ricerca di vulnerabilità del software, sviluppano exploit e vendono malware ai governi. L’azienda israeliana è stata collegata a incidenti di alto profilo tra cui l'omicidio di Jamal Khashoggi e lo spionaggio contro i politici catalani in Spagna.

Dieci anni dopo aver fondato l'azienda, ha preso la decisione insolita di parlare della NSO Group, del settore dell'intelligence e di cosa significa la trasparenza per le aziende di spyware. “Questa”, egli dice, “è la cosa più importante che l'industria possa fare ora: ‘Siamo stati accusati, a ragione, di non essere abbastanza trasparenti’".

La cultura del silenzio

Ex membro dell’Unità 8200, il reparto informatico delle forze armate israeliane incaricato di sorvegliare elettronicamente ogni aspetto della vita sociale palestinese, Hulio sostiene di aver fondato NSO Group nel 2010 su sollecitazione delle agenzie di intelligence europee. A quel tempo, NSO si proponeva come un’azienda di guerra cibernetica all'avanguardia.

È entrato sotto i riflettori globali nel 2016 quando Ahmed Mansoor, un attivista per i diritti umani negli Emirati Arabi Uniti, ha ricevuto quello che è stato definito il messaggio di testo più famoso di tutti i tempi. I ricercatori affermano che si trattava di una sofisticata esca di phishing inviata da un governo, contenente un collegamento che, se cliccato, avrebbe preso il controllo del telefono di Mansoor con uno spyware. 

Gli esperti del Citizen Lab, un gruppo di ricerca dell'Università di Toronto, hanno analizzato il collegamento e hanno indicato come responsabile Pegasus, il prodotto di punta di NSO. La rivelazione ha portato a un pressing sull'azienda, che però ha continuato a rimanere in silenzio. (Mansoor sta attualmente scontando una pena detentiva di dieci anni per il reato di “offesa allo status e al prestigio degli Emirati Arabi Uniti e dei suoi simboli, compresi i suoi leader“, unicamente a causa del suo attivismo per i diritti umani anche sui social media).

Quella mancata risposta era in parte legata alla proprietà dell'azienda all'epoca. Nel 2014, NSO era stata acquistata per circa 100 milioni di dollari dalla azienda americana di private equity Francisco Partners, che aveva una rigorosa politica di silenzio stampa che, secondo Hulio, ha danneggiato l’immagine della NSO. "Niente interviste - non potevamo parlare con i giornalisti se non per dire no comment, no comment, no comment", egli ricorda. 

L'anno scorso l’azienda è stata venduta per 1 miliardo di dollari alla società europea di private equity Novalpina e ai fondatori originali, compreso lo stesso Hulio che rivendica la necessità di operare con maggiore trasparenza.

In realtà, il testo inviato a Mansoor si è rivelato una benedizione sotto mentite spoglie per gli investigatori. L’attivista per i diritti civili, che era già stato preso di mira dagli apparati di sorveglianza da molti anni, ha sospettato che il collegamento fosse una trappola e l'ha condiviso con alcuni esperti.

Ma oggigiorno l'industria dell'hacking sta utilizzando sistemi sempre più avanzati che mantengono le loro attività il più discrete possibile, comprese le cosiddette tecniche a "zero-click" che infettano i bersagli senza che questi ultimi intraprendano alcuna azione. WhatsApp sta facendo causa a NSO Group per aver hackerato l'app allo scopo di infettare silenziosamente i telefoni. 

Secondo quanto riferito, alcuni “obiettivi” in Marocco hanno subito attacchi con il sistema di  iniezione di pacchetti arbitrari in una rete di computer che non solleva allarmi, non richiede la collaborazione della vittima e lascia poche tracce.

"Le aziende di hacking dicono che criminali e terroristi stanno lavorando in modo sotterraneo a causa della crittografia e gli stati devono andare a stanarli nel loro buco nero", afferma John Scott-Railton, ricercatore senior presso Citizen Lab. “Sempre più spesso, nella fascia alta, le aziende che vendono queste tecniche sono quelle che vanno male. Non si tratta solo del caso di WhatsApp. Abbiamo visto vendite di vulnerabilità per iMessage, per il protocollo di telecomunicazioni  SS7 a zero click e molte iniezioni di pacchetti in rete. Per questo motivo, è quasi impossibile per noi avere visibilità della portata del problema. Possiamo solo fare ipotesi su larga scala. Conosciamo solo alcuni giocatori. Il mercato sta crescendo, ma ci mancano molte formazioni sul tipo di abusi".

Non è mai stato un lavoro facile comprendere l'intero ambito del settore degli hacker su commissione. Ora le tecniche e gli indicatori su cui i ricercatori hanno fatto affidamento a lungo stanno venendo meno poiché gli indizi delle attività stanno diventando più rari e più difficili da individuare. Il nuovo arsenale nascosto rende estremamente difficile ritenere le aziende di hacking e le agenzie di intelligence responsabili quando si verificano violazioni dei diritti umani.

Forse sorprendentemente, Hulio concorda con enfasi sul fatto che l'industria dell'hacking sta diventando “oscura”. Quando gli chiedo, infatti, se l'industria stia compiendo passi sufficienti verso la trasparenza e la responsabilità, scuote la testa e punta il dito contro i suoi concorrenti: “Credo che sia il contrario. Le aziende non rispettano le norme e nascondono quanto fanno, danneggiando l’intero settore", egli afferma.

Schivare la trasparenza

Al contrario, afferma Hulio, NSO sta cercando di invertire la rotta sotto la guida della sua nuova proprietà. Sebbene stia affrontando decine di cause di abuso per il software spia Pegasus, tra cui quella con WhatsApp, Hulio insiste nel dire che l’azienda si sta evolvendo. Il fatto che stia parlando con i giornalisti è un cambiamento ovvio, egli continua, così come le nuove politiche di autogoverno e un impegno pubblico ad aderire alle Linee guida delle Nazioni Unite sui diritti umani. 

Quanto il discorso si traduca in realtà è ancora una questione aperta: tre giorni dopo che l’azienda ha annunciato una nuova politica sui diritti umani nel 2019, i ricercatori di Amnesty International affermano che Pegasus è stato utilizzato per hackerare il giornalista marocchino Omar Radi. Ma Hulio suggerisce che i suoi rivali stiano eludendo la trasparenza e la responsabilità spostando le loro attività o trovando “paradisi” da cui operare.

"Stanno aprendo aziende in America Latina, Europa, la regione Asia-Pacifico, dove la regolamentazione è molto debole e si può quindi esportare in paesi in cui è impossibile farlo da Israele o da altre zone dell’Europa", spiega Hulio. “Vedo aziende che cercano di nascondere l'attività cambiando il loro nome più e più volte. O attraverso meccanismi come la creazione di ricerca e sviluppo in un sito, il ciclo di vendita a una seconda azienda, l'implementazione a una terza, in modo da impedire il tracciamento di quanto si sta facendo".

Potrebbe essere vero, ma la stessa NSO Group ha una serie di altri nomi, tra cui Q Cyber Technologies in Israele e OSY Technologies in Lussemburgo. Ha un braccio nordamericano chiamato Westbridge. I suoi dipendenti sono distribuiti a livello internazionale. I media israeliani hanno riferito sui collegamenti dell’azienda a società di comodo e ad accordi in stile bizantino.

Nel corso degli anni, ha gestito una rete confusa di altre società in tutto il mondo e questo labirinto aziendale ha reso quasi impossibile comprenderne i rapporti reciproci e il tipo di attività, un compito cruciale quando gli strumenti di hacking possono essere utilizzati da governi autoritari con conseguenze devastanti.

Quindi come si stabilisce la responsabilità? Quando è apparso per la prima volta il gruppo NSO, l'accordo di Wassenaar, un patto cruciale sul controllo delle esportazioni di armi tra 42 paesi, non prendeva in considerazione la componente cibernetica. Israele non aveva una legge sull'esportazione informatica. Ora il ministero della Difesa israeliano è regolamentato dalla Defense Export Control Law - secondo quanto riportato dal “New York Times", al gruppo NSO non è mai stata negata una licenza di esportazione – ma, su scala globale, l'industria dell'hacking rimane in gran parte oscura e irresponsabile nonostante il suo crescente potere e le sue capacità.

"Ci sono scappatoie", dice Hulio. “Non tutti i paesi fanno parte dell'accordo di Wassenaar. Penso davvero che sia molto difficile fare qualcosa a livello globale. Ovviamente l’idea di internazionalità è importante, ma proprio come ci sono paesi che fungono da rifugi fiscali, ce ne sono altri che rappresentano dei rifugi per la regolamentazione delle esportazioni. In questi casi si impongono meccanismi globali di regolamentazione".

Chi è nel mirino?

Dozzine di abusi da parte degli utenti della tecnologia di NSO sono stati denunciati da quando l'incidente di Mansoor ha puntato i riflettori sull'azienda. Quando vengono fatte tali accuse, NSO avvia un'indagine. Se gli account sono in conflitto, NSO può richiedere registri che rivelino gli “obiettivi”. Il più delle volte, dice Hulio, il cliente dirà che le accuse contro di lui sono vere, il targeting è reale, ma che le loro azioni erano legali ai sensi della legge locale e del contratto che hanno firmato. Ciò lascia a NSO e al cliente il compito di verificare se il targeting è effettivamente legittimo.

Gran parte delle critiche rivolte a NSO Group sono relative al fatto che Pegasus è usato contro avvocati, attivisti per i diritti umani, giornalisti e politici. Ma Hulio dice che il contesto può giustificare tali azioni, che queste persone possono essere obiettivi di sorveglianza legittimi fintanto che viene seguita la legge. Indica gli eventi legati alla cattura nel 2014 del signore della droga messicano Joaquín “El Chapo” Guzmán. Sebbene non lo abbia mai confermato pubblicamente, NSO Group ha rivendicato privatamente il suo ruolo nell’operazione per anni.

"Chapo è scappato di prigione", dice Hulio. “Persone come Chapo o [il leader dell'ISIS Omar Bakr] al-Baghdadi non portano smartphone. Quando Chapo è fuggito, hanno pensato che probabilmente alla fine avrebbe chiamato il suo avvocato, quindi hanno intercettato l'avvocato. 

Un pluriomicida signore della droga, una spettacolare azione di polizia, foto segnaletiche in prima pagina. Il caso appare eclatante. Ma la maggior parte delle denunce di abuso non assomigliano a questa. Le nazioni del Golfo sono state ripetutamente accusate di usare Pegasus per prendere di mira l'opposizione politica, per poi, come nel caso di Mansoor, inventare accuse per aver offeso le famiglie reali o simili.

Hulio afferma che spesso NSO è accusato di qualcosa di cui sono responsabili altre aziende di spyware. "Facciamo domande molto difficili quando vendiamo un sistema, ma non sono sicuro che lo facciano tutti", egli dice. “Non ho problemi a sedermi davanti al ministro della Difesa di un Paese, o al capo della polizia, o dei servizi segreti, e chiedergli: a che serve? Qual è l'obiettivo? Che tipo di indagini verranno fatte?  Come saranno analizzati i dati? Chi deve approvare i target? Cosa dice la legge? Domande di cui molte aziende non si preoccupano davvero. Le altre vogliono vendere e a loro interessa solo il prezzo", conclude Hulio.

(rp)