Lo spyware Pegasus ha fatto la sua comparsa sulle pagine della cronaca la prima volta nel 2016 e, malgrado siano trascorsi diversi anni, continua a far parlare di sé ancora oggi. Secondo le ultime pubblicazioni, gli ex direttori generali dei Ministeri della Giustizia, delle Finanze e dei Trasporti israeliani, dopo aver scoperto che erano state sottratte delle informazioni dai loro smartphone, hanno richiesto l’istituzione di una commissione d’inchiesta e la distruzione di tutto il materiale acquisito.
Le informazioni sono state acquisite tramite, appunto, l’utilizzo del famigerato spyware sviluppato da NSO Group che sarebbe stato istallato sui dispositivi degli ex direttori generali dalla polizia nell’ambito delle indagini relative all’inchiesta per corruzione che vede coinvolto l’ex Premier Netanyahu.
Lo spyware, a quanto sembra, sarebbe stato installato sui dispositivi di politici, funzionari, sindaci e leader di movimenti ebraici di protesta senza l’esplicito consenso di un magistrato e in assenza di indagini ufficiali in corso.
Gli ex dirigenti sostengono che la polizia israeliana, utilizzando Pegasus per l’acquisizione di informazioni senza una specifica autorizzazione, avrebbero acquisito dati in modo illecito. Gli ex dirigenti hanno anche sottolineato che, se fosse stato usato effettivamente Pegasus, i fatti metterebbero in discussione quanto affermato dalla società israeliana di cyber-armi NSO Group che a suo tempo aveva dichiarato che Pegasus non sarebbe stato istallato su nessun dispositivo senza un “valido motivo”.
Pegasus è massacro dei diritti: ecco perché è urgente regolare i software spia
Indice degli argomenti
Cos’è e come funziona Pegasus
Cerchiamo ora di capire cos’è Pegasus e perché, malgrado la sua prima apparizione risalga al 2016, è ancora uno strumento così efficace.
Pegasus è, appunto, uno spyware sviluppato in Israele dalla società di cyber-armi NSO Group. Ciò che rende Pegasus così efficiente è che può essere installato segretamente su qualunque smartphone (tanto quelli che utilizzano i sistemi iOS quanto quelli Android) ed è in grado di sfruttare un exploit “zero-click”.
Sostanzialmente, Pegasus è in grado di leggere i messaggi di testo, tracciare le chiamate, raccogliere le password, accedere alla cronologia web, accedere al microfono e alla fotocamera del dispositivo, modificare le impostazioni e raccogliere dati e informazioni dalle app istallate (tra cui iMessage, Gmail, Facebook, WhatsApp, Telegram e Skype) oltre che accedere a tutte le comunicazioni effettuate, visualizzare le posizioni di tutti i dispositivi infettati e può anche raccogliere le password delle reti Wi-Fi a cui il dispositivo è/era connesso.
Tutta la storia dello spyware Pegasus
Cronologicamente, il primo attacco effettuato tramite Pegasus fu riscontrato nell’agosto 2016 dopo un tentativo di installazione (non riuscito) sull’iPhone di un attivista per i diritti umani.
La scoperta ha dato l’inizio ad un’indagine che ha permesso di ottenere importanti informazioni sullo spyware, in particolare sulle sue capacità e quali sono le vulnerabilità che è in grado di sfruttare.
La notizia suscitò scalpore ed ebbe una grande copertura mediatica. I media lo descrissero come l’attacco “più sofisticato” di sempre e per la prima volta un exploit maligno utilizzava la procedura del jailbreak per ottenere l’accesso illimitato alle informazioni archiviate su un iPhone.
Pegasus è una “suite di exploit” che è in grado di sfruttare molteplici vulnerabilità dei sistemi operativi e può essere istallato in modi differenti, ad esempio cliccando su un link, o tramite l’utilizzo delle app Foto, Apple Music e iMessage e alcuni degli exploit utilizzati sono addirittura “zero-click”, cioè possono essere eseguiti senza alcuna interazione da parte dell’utente.
Chrysaor, il fratellastro di Pegasus
Nell’aprile 2017, Developer Android pubblicò un articolo dove veniva riportato che alcuni ricercatori di Google avevano scoperto un malware sviluppato per i sistemi Android “che si ritiene sia stato creato da NSO Group Technologies” e per sottolineare le similitudini con Pegasus decisero di chiamarlo Chrysaor (fratello di Pegasus nella mitologia greca). Secondo i ricercatori Google, “Chrysaor è ritenuto essere correlato allo spyware Pegasus”.
Al Summit degli analisti di sicurezza del 2017 tenuto da Kaspersky Lab, i ricercatori rilevarono che Pegasus era disponibile anche per Android, oltre che per iOS, e che le sue funzionalità erano simili alla versione per iOS, ma la modalità di attacco era differente. La versione per Android era stata sviluppata per cercare di ottenere l’accesso come root (simile al jailbreak in iOS) ma, se non dovesse riuscire nel suo intento, lo spyware è programmato per chiedere direttamente all’utente le autorizzazioni necessarie che gli consentirebbero di raccogliere comunque una certa quantità di dati.
Le capacità di nascondersi ai sistemi di rilevamento
Ulteriore elemento che rende Pegasus uno strumento “chirurgico” per condurre attacchi cyber è la sua capacità di “nascondersi” nel sistema infettato e addirittura, se non è in grado di comunicare con il suo server di comando e controllo per più di 60 giorni, di “autodistruggersi” per eliminare ogni traccia della sua presenza e può essere cancellato anche da remoto.
Nell’agosto del 2020 Haaretz pubblicò la notizia che la società NSO Group vendette lo spyware Pegasus agli Emirati Arabi Uniti e agli altri Stati del Golfo perché venisse utilizzato per la sorveglianza di attivisti anti-regime, giornalisti e leader politici di nazioni rivali.
Dal luglio del 2021, un’indagine internazionale nota come “Progetto Pegasus” e condotta da un team di ricercatori, giornalisti e programmatori insieme al gruppo per i diritti umani Amnesty International, ha riscontrato e reso noto che Pegasus era ancora ampiamente utilizzato contro obiettivi di alto profilo.
La società NSO Group si è difesa sostenendo di fornire “ai Governi autorizzati la tecnologia che li aiuta a combattere il terrorismo e il crimine” e (a sostegno delle loro affermazioni) hanno pubblicato sezioni ed estratti di vari documenti che disciplinano chiaramente che i clienti, secondo le clausole contrattuali, devono utilizzare i prodotti offerti dalla società solo per indagini criminali e relative alla sicurezza nazionale.
Per sottolineare quanto sia “temuto” lo spyware Pegasus e l’entità dei danni che questo può produrre, basti pensare che è classificato dallo Stato d’Israele a tutti gli effetti come “arma”. Pertanto, qualsiasi sua esportazione e utilizzo in Paesi esteri può avvenire solo a seguito di esplicita autorizzazione da parte del Governo.
Lo spyware continua ad essere utilizzato
Attualmente si ha la certezza che Pegasus venga utilizzato da più di venti Stati nel mondo, ma il numero potrebbe essere più alto.
Per esempio, Pegasus viene utilizzato dal 2019 dall’Ufficio Federale Tedesco di Polizia Criminale (BKA). L’uso di Pegasus da parte del BKA è stato rivelato anche dai mass media tedeschi.
Nel gennaio 2022, è stato reso noto che Pegasus è stato utilizzato anche dalla Polizia israeliana per monitorare cittadini nazionali e stranieri e che la sorveglianza è stata effettuata senza mandati e/o supervisione giudiziaria.
Israele, nuova bufera Pegasus: spiati politici, media e attivisti dalla Polizia
Nel febbraio del 2022 la Polizia ha ammesso che ci fu un uso improprio del software, e ha confermato anche la mole di soggetti controllati senza mandato, tra cui politici e funzionari di Governo, amministratori e legali rappresentanti di aziende, giornalisti, attivisti e persino il figlio dell’allora Primo Ministro Benjamin Netanyahu. Le dichiarazioni della Polizia hanno portato all’apertura di nuove inchieste, anche da parte dell’attuale Commissario di polizia e del Ministro dell’Interno.
Anche gli Emirati Arabi Uniti risultano tra gli Stati che utilizzano Pegasus. Nel dicembre 2020 è stato riferito che l’Arabia Saudita e gli Emirati Arabi Uniti hanno distribuito un exploit Pegasus a zero-click tramite l’applicativo iMessage infettando i device di due reporter residenti a Londra e 36 giornalisti della rete televisiva Al Jazeera in Qatar.
Il 7 ottobre 2021, l’azienda NSO Group ha dichiarato che il contratto con gli Emirati Arabi Uniti per l’utilizzare dello spyware Pegasus è stato rescisso a seguito della sentenza dell’Alta Corte del Regno Unito che dichiarava l’utilizzo dello spyware da parte del sovrano di Dubai per spiare la sua ex moglie e i suoi consulenti legali come “improprio”.
L’NSO Group propose anche alla Drug Enforcement Administration (D.E.A.) statunitense il suo spyware, che però rifiutò l’offerta. Nell’agosto 2016, NSO Group (attraverso la sua filiale statunitense Westbridge) propose l’acquisto di Pegasus anche al Dipartimento di Polizia di San Diego, ma anche questa volta l’offerta fu respinta.
Tuttavia, nel 2021 Pegasus venne rintracciato sugli iPhone di almeno nove dipendenti del Dipartimento di Stato americano e anche 11 dipendenti dello stesso in Uganda scoprirono che i loro iPhone erano stati infettati.
Solamente nel gennaio 2022 fu pubblicata la notizia che il Federal Bureau of Investigation (FBI) aveva segretamente acquistato lo spyware Pegasus già nel 2019 e che gli fu offerto anche uno spyware (c.d. “Phantom”) più recente che avrebbe potuto hackerare anche i numeri di telefono dei cittadini americani. L’FBI prese in considerazione l’utilizzo di entrambi gli strumenti per la sorveglianza interna per motivi di ordine pubblico, ma questa decisione incontrò l’opposizione del Dipartimento di Giustizia degli Stati Uniti che alla fine portò l’FBI a rinunciare all’utilizzo tutti gli spyware sviluppati dalla società NSO Group.
Come difendersi dalla minaccia di Pegasus
Come è stato descritto Pegasus ha a disposizione una vasta scelta di modalità di attacco, motivo per cui stilare un elenco di contromisure sarebbe un processo sicuramente complesso e non sarebbe esaustivo.
Possiamo però focalizzare l’attenzione su alcune “buone pratiche” che dovrebbero sempre essere tenute in considerazione dagli utenti. Per esempio:
- ridurre il numero di app sul telefono. Meno “porte” aperte ha la vostra casa, meno opportunità ha un ladro di entrare. Quindi, meno app significa meno porte virtuali da sfruttare. Il dispositivo dovrebbe avere le app necessarie per le funzioni quotidiane;
- controllare regolarmente le app installate (e i loro permessi) e rimuovere quelle che non servono più;
- aggiornare regolarmente il sistema operativo del device e le app istallate, poiché gli aggiornamenti hanno anche il compito di sanare le vulnerabilità riscontrare e, a volte, anche possibili vulnerabilità non ancora scoperte (c.d. vulnerabilità “zero day”);
- compartimentare le app rimanenti. Se un telefono ha solo WhatsApp installato e viene compromesso, l’hacker otterrà i dati di WhatsApp, ma non altre informazioni relative ad esempio alle email, al calendario o alle foto;
- non perdere di vista i dispositivi. Assicurarsi di avere sempre a disposizione i dispositivi così che non possano essere fisicamente manomessi;
- non lasciar utilizzare a terzi i device. Anche se può sembrare scortese, nei dispositivi c’è tutta la vostra “vita digitale”. Non lasciate che altri possano accedervi (neanche involontariamente).
