• Stefani Reynolds / Getty Images

Un’azienda statunitense dietro il commercio degli exploit

Nel 2016, sono stati venduti illegalmente strumenti per l’hacking dell’iPhone a un gruppo di mercenari che li hanno girati agli Emirati Arabi Uniti.

Quando gli Emirati Arabi Uniti hanno pagato oltre 1,3 milioni di dollari per un potente e furtivo strumento di hacking per iPhone nel 2016, i servizi segreti della monarchia e gli hacker mercenari americani che hanno ingaggiato, lo hanno utilizzato immediatamente. Lo strumento ha sfruttato un difetto nell'app iMessage di Apple per consentire agli hacker di assumere completamente il controllo dell'iPhone di una vittima. È stato inoltre utilizzato contro centinaia di obiettivi in una vasta campagna di sorveglianza e spionaggio le cui vittime includevano rivali geopolitici, dissidenti e attivisti per i diritti umani. 

I documenti depositati dal Dipartimento di Giustizia degli Stati Uniti descrivono in dettaglio come la vendita sia stata facilitata da un gruppo di mercenari americani che lavorano per Abu Dhabi, senza il permesso legale di Washington per farlo, ma non rivelano chi ha venduto il potente exploit dell'iPhone agli Emirati.

Due fonti a conoscenza della questione hanno confermato a “MIT Technology Review” che l'exploit è stato sviluppato e venduto da un’azienda americana di nome Accuvant, che ora fa parte di un’azienda più grande chiamata Optiv. La notizia della vendita getta nuova luce sull'industria degli exploit e sul ruolo svolto dalle aziende e dai mercenari americani nella proliferazione di potenti capacità di hacking in tutto il mondo.

Il portavoce di Optiv Jeremy Jones ha scritto in una e-mail che la sua azienda ha "collaborato pienamente con il Dipartimento di Giustizia e che non è oggetto di questa indagine". È vero: i soggetti delle indagini sono i tre ex membri dell'intelligence e del personale militare statunitensi che hanno collaborato illegalmente con gli Emirati Arabi Uniti. Tuttavia, il ruolo di Accuvant come sviluppatore e venditore di exploit era abbastanza importante da essere ampiamente dettagliato negli atti del tribunale del Dipartimento di Giustizia.

L'exploit di iMessage è stata l'arma principale in un programma degli Emirati chiamato Karma, gestito da DarkMatter, un'organizzazione che si spacciava per un’azienda privata, ma che in realtà agiva da agenzia di spionaggio per gli Emirati Arabi Uniti. Reuters ha riferito dell'esistenza di Karma e dell'exploit di iMessage nel 2019.

Ma martedì gli Stati Uniti hanno multato tre ex membri dell'intelligence e del personale militare statunitensi per 1,68 milioni di dollari per il loro lavoro senza licenza come hacker mercenari negli Emirati Arabi Uniti. Tale attività includeva l'acquisto dello strumento di Accuvant e la direzione di campagne di hacking finanziate dagli Emirati Arabi Uniti.

I documenti del tribunale degli Stati Uniti hanno rilevato che gli exploit sono stati sviluppati e venduti da aziende americane, ma non è stato precisato il loro nome. Il ruolo di Accuvant non è stato segnalato fino ad ora.

"L'FBI indagherà a fondo su individui e aziende che traggono profitto da attività criminali informatica illegali", ha dichiarato Bryan Vorndran, vicedirettore della Cyber Division dell'FBI. "Questo è un messaggio chiaro per chiunque, compresi gli ex dipendenti del governo degli Stati Uniti, che avesse preso in considerazione l'utilizzo del cyberspazio per sfruttare le informazioni controllate dall'esportazione a beneficio di un governo straniero o di una società commerciale straniera: ci saranno conseguenze".

Sviluppatore prolifico di exploit

Nonostante il fatto che gli Emirati Arabi Uniti siano considerati uno stretto alleato degli Stati Uniti, DarkMatter è stato collegato ad attacchi informatici contro una serie di obiettivi americani, secondo documenti del tribunale e informatori. Aiutato dalla partnership, dall’esperienza e dal denaro americani, DarkMatter ha sviluppato le capacità di hacking offensivo degli Emirati Arabi Uniti per diversi anni. Il gruppo ha speso molto per assumere hacker americani e occidentali per sviluppare e talvolta dirigere le operazioni informatiche del paese.

Al momento della vendita, Accuvant era un laboratorio di ricerca e sviluppo con sede a Denver, in Colorado, specializzato nella vendita di exploit iOS. Dieci anni fa, Accuvant si è guadagnata la reputazione di prolifico sviluppatore di exploit lavorando con i più grandi appaltatori militari americani e vendendo bug ai clienti del governo. In un settore che in genere apprezza un codice del silenzio, l'azienda ha occasionalmente ottenuto l'attenzione del pubblico. 

"Accuvant offre servizi di alto livello per la guerra cibernetica: un mercato in forte espansione", ha scritto il giornalista David Kushner in un profilo dell’azienda del 2013 su “Rolling Stone”. Era il tipo di azienda, ha detto, "in grado di creare software personalizzato per entrare in sistemi esterni e raccogliere informazioni o persino chiudere un server, un tipo di operazione per cui si può arrivare a pagare fino a 1 milione di dollari".

Optiv è in gran parte uscita dal settore dell'hacking in seguito alla serie di fusioni e acquisizioni, ma la rete di ex studenti di Accuvant è attiva sul versante degli exploit. Due dipendenti di alto profilo hanno co-fondato Grayshift, un’azienda di hacking di iPhone nota per le sue abilità nello sblocco dei dispositivi. Accuvant ha venduto exploit di hacking a diversi clienti governativi e privati, inclusi gli Stati Uniti e i suoi alleati, e l’exploit di iMessage in questione è finito nelle mani di altri clienti, come ha avuto modo di sapere “MIT Technology Review”.

I difetti di iMessage

L'exploit di iMessage sfrutta uno dei numerosi difetti critici nell'app di messaggistica che sono stati scoperti negli ultimi anni. Un aggiornamento del 2020 al sistema operativo dell'iPhone è stato fornito con una ricostruzione completa della sicurezza di iMessage nel tentativo di proteggere l'obiettivo.

La nuova funzionalità di sicurezza, chiamata BlastDoor, isola l'app dal resto dell'iPhone e rende più difficile l'accesso alla memoria di iMessage, il modo principale in cui gli aggressori sono riusciti a impossessarsi del telefono preso di mira. iMessage è uno dei principali obiettivi degli hacker, per una buona ragione. L'app è inclusa per impostazione predefinita su tutti i dispositivi Apple. Accetta messaggi in arrivo da chiunque conosca il numero. Non c'è modo di disinstallarla, nessun modo di ispezionarla, niente che un utente possa fare per difendersi da questo tipo di minaccia oltre a scaricare ogni aggiornamento di sicurezza Apple il prima possibile.

BlastDoor ha reso più difficile lo sfruttamento di iMessage, ma l'app è ancora il bersaglio preferito degli hacker. Pochi giorni fa, Apple ha rivelato un exploit che l’azienda di spyware israeliana NSO Group avrebbe usato per aggirare le protezioni BlastDoor e prendere il controllo dell'iPhone attraverso un nuovo difetto di iMessage. Apple ha rifiutato di commentare.

(rp)