Negli ultimi giorni, un gruppo di ricercatori del Citizen Lab dell’Università di Toronto ha portato alla luce uno spyware chiamato Reign, in grado di lanciare una tipologia di attacco definita “zero click”.
Questi attacchi hanno iniziato a diffondersi a partire dal 2015. Si tratta di operazioni sofisticate, che tendono a lasciare pochissime tracce. La loro particolarità consiste nel fatto che la vittima non deve compiere nessuna azione, come per esempio cliccare su un link o aprire un messaggio, perché il suo dispositivo venga infettato.
Così le armi cyber hanno stravolto le relazioni tra gli Stati
Indice degli argomenti
Cosa sono i malware zero-click
I malware zero-click agiscono sfruttando le vulnerabilità zero day, ossia quelle vulnerabilità dei software che gli aggressori scoprono prima del produttore. L’attacco viene perpetrato, quindi, prima che venga rilasciata una patch, aumentando la probabilità di riuscita.
Una volta che il sistema è stato compromesso, un utente malintenzionato potrebbe installare un software di sorveglianza (spyware) oppure criptare i file e chiedere un riscatto.
Gli utenti possono fare ben poco per proteggersi da questo genere di malware. Le vittime, infatti non sono in grado di determinate quando e come sono state infettate da un attacco zero-click.
Proteggersi da operazioni di questo tipo, inoltre, è quasi impossibile, anche se mettere in atto tutte le misure di sicurezza, come utilizzare password complesse, criptare i dati e aggiornare periodicamente i dispositivi, è comunque d’aiuto.
Ulteriori misure che possono essere messe in atto per limitare l’impatto degli spyware sarebbero conservare la minima quantità possibile di informazioni sul proprio telefono e lasciarlo fuori dalla stanza quando si hanno conversazioni delicate.
Tenendo presente, però, che questo tipo di attacchi interessa soprattutto obiettivi di alto profilo.
Uno degli spyware più noti diffuso con modalità zero-click è Pegasus, sviluppato dalla startup israeliana NSO Group, che è stato utilizzato per monitorare giornalisti e attivisti, ma anche dirigenti aziendali.
Un altro software di hacking di questo tipo è Predator, che a novembre 2022 è stato al centro di uno scandalo riguardante intercettazioni di politici in Grecia. Predator sarebbe in grado di accedere a messaggi, chiamate, foto e password, e avrebbe la capacità di nascondere alcune app. Sarebbe anche in grado di aprire la fotocamera e il microfono del telefono, trasformandolo in uno strumento di sorveglianza, anch’esso senza necessità di intervento da parte dell’utente.
La minaccia rappresentata dallo spyware Reign
L’obiettivo di un attacco zero-click può essere uno smartphone, un computer desktop o persino un dispositivo IoT, come una telecamera di sorveglianza.
Molto spesso, per diffondere questi malware su smartphone, gli aggressori sfruttano le app di messaggistica. Queste, infatti, ricevono grandi quantità di dati da fonti sconosciute, senza richiedere interventi da parte del proprietario del dispositivo. Nel 2019, in Catalogna, sono stati condotti degli attacchi zero-click sfruttando una falla di WhatsApp mentre, nel 2021, è successa la stessa cosa con iMessage di Apple.
Secondo gli esperti che lo hanno identificato, lo spyware Reign avrebbe capacità di hacking paragonabili a Pegasus e, alla pari di quest’ultimo, anch’esso sarebbe di matrice israeliana. È stato infatti prodotto e commercializzato dall’azienda QuaDream, azienda di recente chiusa, che aveva sede a Tel Aviv.
Secondo la ricerca del Citizen Lab, alla pari di Pegasus, lo spyware Reign può registrare le conversazioni che avvengono in prossimità del telefono infettato, leggere i messaggi sulle app crittografate, ascoltare le conversazioni telefoniche e tracciare la posizione dell’utente.
I ricercatori hanno inoltre scoperto che Reign può anche essere utilizzato per generare codici di autenticazione a due fattori su un iPhone per infiltrarsi nell’account iCloud di un utente, consentendo all’operatore dello spyware di esfiltrare i dati direttamente da esso.
Lo spyware sarebbe stato attivo nel periodo tra il 2019 e il 2021, e avrebbe infettato i telefoni delle vittime inviando loro un invito al calendario iCloud. I ricercatori hanno rilevato che su iOS 14, qualsiasi invito del calendario iCloud con un’ora retrodatata ricevuto dal telefono viene automaticamente elaborato e aggiunto al calendario del dispositivo senza alcuna richiesta o notifica rivolta all’utente.
Le vittime colpite sarebbero giornalisti, esponenti dell’opposizione politica e dipendenti di ONG, e sarebbero situati in Nord America, Asia centrale, Sud-est asiatico, Europa e Medio Oriente.
La ricerca sottolinea che, anche se NSO Group è stato inserito nella lista nera dell’amministrazione Biden, la minaccia rappresentata da strumenti di hacking simili continua a proliferare.
In questo senso, nel 2021, Amnesty International, in una lettera aperta firmata da 156 organizzazioni della società civile e 26 esperti indipendenti in tutto il mondo ha chiesto agli Stati una moratoria globale sull’uso, la vendita e il trasferimento della tecnologia di sorveglianza fino a quando non sarà in atto un adeguato quadro normativo sui diritti umani che protegga la società civile dall’uso improprio di questi strumenti.
I timori dell’Amministrazione USA
In risposta alle crescenti preoccupazioni sui programmi in grado di acquisire messaggi di testo e altri dati del cellulare, il 20 marzo il Presidente degli Stati Uniti Joe Biden ha emesso un ordine esecutivo nel quale è stato affermato che il governo americano interromperà l’uso di strumenti spyware commerciali che sono stati utilizzati per sorvegliare attivisti per i diritti umani, giornalisti e dissidenti in tutto il mondo.
La Casa Bianca ha affermato in una nota che l’ordine “dimostra la leadership e l’impegno degli Stati Uniti nel promuovere la tecnologia per la democrazia, anche contrastando l’uso improprio di spyware commerciali e altre tecnologie di sorveglianza”. Con questo intervento, l’amministrazione Biden intende quindi stabilire nuovi standard globali per il settore.
L’ordine richiederà al capo di qualsiasi agenzia statunitense che utilizza spyware commerciali di certificare che i programmi in questione non rappresentino dei rischi per la sicurezza.
La Casa Bianca non pubblicherà un elenco dei programmi vietati come parte dell’ordine esecutivo, ma sono stati definiti i fattori che permettono di determinare il livello di rischio rappresentato da un programma. Tra di essi è stato indicato il suo utilizzo, da parte di un attore straniero per monitorare cittadini statunitensi senza autorizzazione legale, o per sorvegliare attivisti per i diritti umani e altri dissidenti.
