Un nuovo e fiorente business si è consolidato negli ultimi anni nel teatro globale e riguarda il monitoraggio governativo di privati, attraverso l’uso di spyware commerciali, di cui si è sviluppata un importante filiera in tutto il mondo.
Negli ultimi anni questo settore è stato esposto a diversi episodi controversi.
Buyng Spying: come funziona l’industria degli spyware e come contrastare la minaccia
Indice degli argomenti
L’industria della sorveglianza: il caso Pegasus
Nel 2021, sedici organi di stampa hanno unito le forze per creare un consorzio noto come il Pegasus Project, al fine di indagare su uno spyware di qualità militare con licenza dalla società israeliana NSO Group. Due dei partner del consorzio, Forbidden Stories e Amnesty International, hanno ottenuto accesso a un elenco di cinquantamila numeri di telefono “selezionati per essere presi di mira” dai clienti di NSO.
Il gruppo ha analizzato i numeri e li ha collegati a individui specifici e ad attacchi informatici. Dall’elenco iniziale, gli analisti hanno identificato oltre mille individui distribuiti in oltre cinquanta paesi e tra questi rientrano giornalisti, attivisti per i diritti umani, politici e dirigenti aziendali.
Se l’NSO Group affronta un futuro incerto, l’industria degli spyware nel complesso sembra non essere stata fortemente colpita.
I governi hanno rivolto la loro attenzione ad altre aziende commerciali per soddisfare le loro esigenze di sorveglianza.
Ad esempio, lo spyware Predator di Cytrox è diventato una scelta comune per molti governi, ed è stato recentemente oggetto di indagini in Grecia, dove gli operatori governativi hanno utilizzato Predator per hackerare i telefoni di un giornalista e di un leader dell’opposizione, Nikos Androulakis, membro del Parlamento europeo.
Oltre alla Grecia, è emerso che operatori supportati dallo stato in vari paesi, tra cui Armenia, Costa d’Avorio, Egitto, Indonesia, Madagascar, Serbia e Spagna, probabilmente utilizzano il Predator.
Elementi chiave dei fornitori commerciali di spyware
Il Google’s Threat Analysis Group (TAG), un’unità dell’azienda statunitense specializzata nell’analisi delle minacce e nello sviluppo di contromisure efficaci, ha evidenziato diversi elementi chiave nel suo ultimo rapporto sulle tendenze del settore:
- Diversa visibilità degli attori del settore: mentre le Commercial Surveillance Vendors (CSV) di rilievo, come la NSO Group, attirano l’attenzione pubblica e compaiono in prima pagina, esistono numerose altre CSV più piccole e produttori di componenti critici della supply chain del settore che svolgono un ruolo fondamentale nello sviluppo degli spyware. Questi attori contribuiscono alla diffusione di strumenti e capacità pericolose utilizzate dai governi, mettendo a rischio la sicurezza dell’ecosistema Internet.
- Perdita di controllo delle istituzioni: il monopolio delle capacità più sofisticate da parte dei governi è terminato. Attualmente, il settore privato è responsabile di una parte significativa degli strumenti avanzati individuati, segnalando un cambiamento nella dinamica del controllo.
- Focalizzazione su bersagli sensibili: il riconoscimento dell’effetto dirompente degli spyware su giornalisti, attivisti, oppositori politici e dissidenti è un elemento importante. La consapevolezza delle capacità di controllo da parte di governi ed organizzazioni può ostacolare le attività di tali individui.
I fornitori commerciali di spyware (CSV) vendono software spia ai clienti governativi, fornendo anche l’infrastruttura per interagire con lo spyware (comando e controllo, C2) e la capacità di monitorare e raccogliere dati dai dispositivi bersaglio.
L’installazione dello spyware richiede competenze tecniche avanzate e una comprensione dettagliata dei dispositivi e delle applicazioni degli utenti, oltre a investimenti nello sviluppo di infrastrutture e strumenti.
I CSV offrono strumenti “pay-to-play” che includono sequenze di exploit progettate per superare le difese di dispositivi specifici, lo spyware e l’infrastruttura necessaria per raccogliere i dati desiderati.
La crescita dell’industria degli spyware è favorita dalla collaborazione di quattro gruppi di attori: ricercatori di vulnerabilità e sviluppatori, intermediari e fornitori di exploit, venditori commerciali di sorveglianza (CSV) o attori offensivi del settore privato (PSOA), e infine i clienti governativi.
La fornitura e l’utilizzo di spyware mirati a dispositivi mobili è diventato una pratica comune in questa industria.
L’industria della sorveglianza e i diversi approcci degli spyware
Il panorama delle Commercial Surveillance Vendors (CSV) presenta una serie di approcci distinti:
- Cy4gate e RCS Lab: il Cy4Gate è una società fondata in Italia nel 2014 che sviluppa lo spyware “Epeius” mirato ai sistemi Android e iOS. Nel dicembre 2020, Cy4Gate ha evidenziato il suo lavoro nelle “piattaforme di Intelligence, Sicurezza Informatica e Intercettazione Legale” sia in Italia che all’estero. Nel marzo 2022, Cy4Gate ha acquisito l’italiana RCS Lab, fondata nel 1993, specializzata in sorveglianza segreta. RCS Lab continua a vendere il proprio spyware “Hermit” anche dopo l’acquisizione e ha condotto campagne in Italia e in Kazakistan contro dispositivi iOS e Android. Nonostante l’acquisizione, entrambe le società operano in modo indipendente, mantenendo operazioni e prodotti separati.
- Intellexa alliance: con sede in Grecia, è un esempio di collaborazione tra diverse aziende del settore CSV. Fondata nel 2019 da Tal Dilian, l’alleanza combina le capacità di diverse aziende per offrire soluzioni di sorveglianza complete a clienti governativi. Le società coinvolte includono Nexa Technologies, Cytrox, WiSpear, Senpai, e altre non specificate.
- Variston: con sede in Spagna, è un CSV che collabora con diverse organizzazioni, incluso l’acquisto di Truel IT, una società italiana di ricerca sulla vulnerabilità. Variston è collegata al framework di sfruttamento Heliconia, utilizzato per installare spyware su dispositivi di destinatari.
Le attività di Google contro gli spyware
L’azienda americana, oltre a lavorare sulla detenzione delle minacce, sta attivamente promuovendo la cyber security e le pratiche etiche di hacking attraverso una serie di iniziative.
In primo luogo, come membro fondatore dell’Hacking Policy Council, Google collabora con organizzazioni simili per sostenere politiche che rispettino le migliori pratiche nella gestione e divulgazione delle vulnerabilità.
In secondo luogo, Google contribuisce con un finanziamento iniziale per istituire il Security Research Legal Defense Fund, pensato per proteggere ricercatori etici dalla minaccia legale.
Infine, Google si impegna a una maggiore trasparenza, rivelando pubblicamente prove di vulnerabilità sfruttate nei suoi prodotti, integrando questa pratica nelle politiche standard del settore per la divulgazione delle vulnerabilità.
Questi sforzi dimostrano complessivamente l’impegno di Google per l’implementazione di maggiori livelli di cyber security e delle pratiche responsabili.
Anche Meta contro l’industria della sorveglianza
In questo senso, anche l’altro grande colosso tech statunitense Meta ha pubblicato un report dove si sottolinea la continua crescita dei CSV, con un focus sull’indiscriminato targeting a livello globale.
Per affrontare potenziali violazioni dei diritti umani, vengono stilate delle raccomandazioni per il conseguimento di una maggiore protezione di cittadini ed utenti.
In particolare, vengono analizzati il settore tecnologico e delle leve regolatorie, che hanno identificato diverse aziende di sorveglianza su commissione che operano nell’UE e che continuano a vendere servizi commerciali di spyware a clienti che prendono di mira persone in tutto il mondo, compresa la stessa UE.
Per quanto riguarda quello tecnologico, Meta ha condiviso le più recenti raccomandazioni per una strategia efficace:
- Modello di interferenza alle minacce: Viene proposto il Modello di Interferenza alle Minacce di Meta, che include indagini approfondite, abbattimenti dell’infrastruttura degli spyware, segnalazioni pubbliche, condivisione di informazioni, miglioramenti alla sicurezza dei prodotti e azioni legali contro i fornitori di spyware.
- Blocco dell’attività abusiva: Sforzi su scala industriale per contrastare gli spyware, con un’enfasi sulla vigilanza delle squadre di sicurezza in tutte le fasi della catena di attacco di sorveglianza.
- Avviso ai bersagli: Le squadre di sicurezza dovrebbero fornire avvisi ai potenziali bersagli degli spyware, migliorando la loro sicurezza online e offline.
- Analisi post-disruption: Le squadre industriali dovrebbero condurre analisi post-disruption, standardizzando gli approcci e condividendo i risultati con il pubblico.
- Rafforzamento della sicurezza del prodotto: Collaborazione tra squadre di ingegneria della sicurezza e squadre di intelligence sulle minacce per identificare e affrontare le vulnerabilità che consentono gli attacchi degli spyware.
Per quanto riguarda le leve normative o regolatorie, Meta ha individuato le seguenti:
- Standard di protezione dei dati: Le Autorità di Protezione dei Dati dell’UE sono invitate a far rispettare le normative sulla protezione dei dati sulle aziende di spyware che operano in Europa o sono basate in Europa.
- Due diligence sui diritti umani: L’UE dovrebbe richiedere alle aziende di spyware di condurre la due diligence sui diritti umani, in linea con i Principi Guida delle Nazioni Unite su Imprese e Diritti Umani.
- Trasparenza sui clienti degli spyware: Governi di tutto il mondo, seguendo le normative sulla privacy dell’UE, dovrebbero imporre alle aziende di spyware di conservare informazioni sui clienti e registrare le attività di targeting.
- Rimedi legal per i bersagli: L’UE dovrebbe guidare nell’istituire standard per perseguire casi legali contro le aziende di spyware, fornendo supporto e competenze tecniche agli individui bersagliati che cercano rimedio legale.
- Standard di approvvigionamento per le entità governative: Gli stati membri dell’UE dovrebbero stabilire linee guida e standard di audit per l’approvvigionamento, il test e l’implementazione delle capacità degli spyware nei loro paesi.
Conclusioni
La sfida che si prospetta per la regolamentazione di questi strumenti è sicuramente impervia, data la grande componente istituzionale presente come acquirente nel settore spyware.
Il coinvolgimento diretto delle grandi aziende del settore sarà fondamentale per procedere allo sviluppo di limiti e regolamenti nell’utilizzo di questi strumenti invasivi.
In questo senso, queste forme di monitoraggio svolte “internamente” al business fanno intendere come il problema sia di grande portata e necessita lo sforzo coordinato di tutte le parti in gioco.