Tempo di lettura stimato: 10'
Amnesty International, in collaborazione con Washington Post, ha rivelato nuove informazioni sull’utilizzo in India dello spyware altamente invasivo Pegasus, sviluppato dalla società israeliana NSO Group. Questo strumento è stato impiegato per prendere di mira alcuni importanti giornalisti, tra in quali uno che precedentemente aveva già subito un attacco attraverso la medesima tipologia di spyware.
Le indagini, condotte dal Security Lab di Amnesty International, hanno confermato che Siddharth Varadarajan, fondatore e direttore di The Wire, e Anand Mangnale, giornalista per l’Asia del Sud presso la piattaforma giornalistica investigativa The Organized Crime and Corruption Reporting Project (OCCRP), sono stati recentemente oggetto di attacchi tramite l’utilizzo dello spyware Pegasus sui loro iPhone. L’ultimo caso identificato risale a ottobre 2023.
L’uso di Pegasus, un tipo di spyware altamente invasivo sviluppato dall’azienda di sorveglianza israeliana NSO Group, si inserisce in un contesto di repressione senza precedenti da parte delle autorità indiane della libertà di espressione pacifica e di riunione, che ha avuto un impatto intimidatorio su organizzazioni della società civile, giornalisti e attivisti.
“Le nostre ultime scoperte hanno evidenziato che, con una frequenza sempre maggiore, i giornalisti in India sono esposti al rischio di sorveglianza illegale, semplicemente perché svolgono il loro lavoro. A questo si aggiungono altre forme di repressione, tra cui gli arresti sulla base dl leggi draconiane, campagne diffamatorie, molestie e intimidazioni”, ha dichiarato Donncha Ó Cearbhaill, responsabile del Security Lab di Amnesty International.
“Nonostante le frequenti segnalazioni, si è verificata una vergognosa mancanza di assunzione di responsabilità riguardo all’utilizzo dello spyware Pegasus in India, che ha alimentato così un crescente senso di impunità nei confronti di queste violazioni dei diritti umani”, ha aggiunto Ó Cearbhaill.
La prima volta che il Security Lab di Amnesty International ha rilevato nuovi segnali di minacce provenienti dallo spyware Pegasus in India è stata durante una consueta attività di monitoraggio tecnico nel giugno 2023. Ciò è avvenuto alcuni mesi dopo che organi d’informazione locali avevano riportato la notizia relativa al tentativo da parte del governo indiano di acquisire un nuovo sistema di spyware commerciale.
A ottobre 2023, Apple ha inviato una nuova serie di notifiche di minacce a livello globale agli utenti iPhone potenzialmente colpiti da “aggressori sponsorizzati dallo stato”. Più di 20 giornalisti e oppositori politici indiani hanno ricevuto tali notifiche.
Di conseguenza, il Security Lab di Amnesty International ha condotto un’analisi a livello globale sui telefoni di alcune delle persone che avevano ricevuto le notifiche da Apple, tra cui Siddharth Varadarajan e Anand Mangnale. Dall’analisi è emerso che sui dispositivi appartenenti a entrambi i giornalisti vi erano tracce di attività dello spyware Pegasus.
Il Security Lab ha recuperato prove dal dispositivo di Anand Mangnale di un “exploit zero-click”, un software dannoso che consente l’installazione di uno spyware su un dispositivo senza richiedere alcuna azione da parte dell’utente. Tale “exploit zero click” era stato inviato al telefono di Anand tramite iMessage il 23 agosto 2023 al fine di installarvi, a sua insaputa, lo spyware Pegasus. Il telefono utilizzava il sistema operativo iOS 16.6, l’ultima versione disponibile in quel momento.
Il Security Lab ha inoltre identificato un indirizzo email controllato dall’aggressore, come parte dell’attacco di Pegasus al suo dispositivo. I campioni recuperati sono coerenti con l’exploit “BLASTPASS” della NSO Group, pubblicamente identificato dal Citizen Lab nel settembre 2021 e corretto da Apple in iOS 16.6.1 (CVE-2023-41064).
Al momento dell’attacco, il telefono di Anand Mangnale era vulnerabile a questo “zero-click exploit”. Attualmente non è chiaro se il tentativo di exploit sia riuscito a compromettere il suo dispositivo. Il tentativo di attacco al telefono di Anand Mangnale è avvenuto mentre il giornalista stava lavorando a una storia su presunta manipolazione di titoli azionari da parte di una grande multinazionale in India.
Un’analisi tecnica più dettagliata dell’exploit e delle prove correlate è disponibile sul sito web del Tech Security Lab di Amnesty International.
Amnesty International aveva precedentemente documentato come, nel 2018, Siddharth Varadarajan fosse stato vittima dell’utilizzo dello spyware Pegasus. Nel 2021, in seguito ad alcune rivelazioni del “Pegasus Project”, i suoi dispositivi sono stati scientificamente analizzati da un comitato tecnico istituito dalla Corte suprema indiana.
Nel 2022, il comitato ha portato a termine la sua indagine, ma la Corte suprema non ha reso pubbliche le conclusioni del rapporto, sottolineando tuttavia che le autorità indiane “non hanno cooperato” alle indagini del comitato tecnico. Siddharth Varadarajan è stato nuovamente preso di mira con Pegasus il 16 ottobre 2023. È stato identificato lo stesso indirizzo email gestito dall’aggressore dell’attacco Pegasus contro Anand Mangnale, a conferma che entrambi i giornalisti sono stati presi di mira dallo stesso cliente Pegasus.
Non vi sono indicazioni che l’attacco Pegasus sia stato riuscito in questo caso.
“Prendere di mira i giornalisti solamente perché svolgono il loro lavoro, costituisce un attacco illecito alla loro privacy e viola il loro diritto alla libertà di espressione. Tutti gli stati, compresa l’India, hanno l’obbligo di proteggere i diritti umani difendendo le persone dai sistemi di sorveglianza illecita”, ha dichiarato Ó Cearbhaill.
I giornalisti del Washington Post hanno contattato la NSO Group per avere un riscontro su quanto scoperto. L’azienda ha dichiarato: ” La NSO non può pronunciarsi su singoli casi, ma sottolineiamo che tutti i nostri clienti sono enti pubblici e servizi di intelligence attentamente selezionati, i quali autorizzano l’uso delle nostre tecnologie esclusivamente per combattere il terrorismo e la criminalità. Le policy e le licenze della nostra azienda includono meccanismi volti a prevenire minacce a giornalisti, avvocati, difensori dei diritti umani o dissidenti politici non coinvolti in attività terroristiche o gravi crimini. L’azienda non ha visibilità sugli obiettivi, né sui dati di intelligence raccolti”.
La NSO Group afferma di vendere i suoi prodotti esclusivamente ad agenzie governative di intelligence e forze di polizia. Le autorità indiane, fino a oggi, non hanno mostrato chiarezza né trasparenza circa l’acquisto o l’uso dello spyware Pegasus in India.
“Amnesty International chiede a tutti gli stati, compresa l’India, di vietare l’uso e l’esportazione di spyware altamente invasivi, che non possono essere sottoposti a verifica indipendente né limitati nelle loro funzionalità,” ha proseguito Ó Cearbhaill.
L’organizzazione per i diritti umani chiede inoltre che le conclusioni del rapporto del comitato tecnico della Corte suprema sull’uso di Pegasus in India vengano rese pubbliche immediatamente. Il governo indiano deve condurre un’indagine trasparente, rapida, indipendente e imparziale su tutti i casi di sorveglianza mirata, compresi quelli oggetto di queste ultime rivelazioni.
Per garantire massima trasparenza, le autorità indiane dovrebbero rendere pubbliche informazioni riguardanti eventuali contratti passati, presenti o futuri con aziende private di sorveglianza, inclusa la NSO Group.
Nell’ottobre 2022, la piattaforma investigativa OCCRP ha reso pubblica un’analisi dei database commerciali, secondo cui l’Intelligence Bureau, principale agenzia di intelligence interna dell’India, aveva ricevuto una spedizione di hardware dalla NSO Group corrispondente alla descrizione dell’equipaggiamento utilizzato per gestire il sistema Pegasus nell’aprile 2017.
Gli attacchi Pegasus identificati da Amnesty International in India risalgono all’inizio del luglio 2017.
Nel 2020, una ricerca di Amnesty International e del Citizen Lab ha rivelato come i difensori dei diritti umani fossero vittime di un’operazione coordinata tramite l’utilizzo di software spia commerciali disponibili sul mercato indiano.
Nel 2021, nell’ambito del Pegasus Project, Amnesty International in collaborazione con Forbidden Stories ha rivelato come numerosi esponenti della società civile e giornalisti in India, incluso Siddharth Varadarajan, siano stati presi di mira e infettati dall’utilizzo dello spyware Pegasus della NSO Group.
Il Security Lab di Amnesty International continua a monitorare e fornire assistenza alla società civile in tutto il mondo, nutrendo preoccupazione per gli attacchi di spyware e per l’uso di sistemi di sorveglianza digitale illegali.
Amnesty International ringrazia il Digital Security Lab di Reporters Without Borders per il loro sostegno nella divulgazione e nell’analisi nell’ambito di questa indagine.
Se sei un difensore dei diritti umani, attivista o giornalista che ha ricevuto notifiche di sicurezza da Apple o altre piattaforme, contatta il Security Lab di Amnesty International per ricevere assistenza
