Lo scandalo dello spyware “Predator”

9 Ottobre 2023

© Colin Foo 2023

Tempo di lettura stimato: 12'

Secondo una recente indagine di Amnesty International, che fa parte del progetto “I file predatori“, realizzato in collaborazione con European Investigative Collaborations (EIC) e con il supporto di approfondimenti aggiuntivi da parte di Mediapart e Der Spiegel, scioccanti attacchi tramite uno spyware invasivo chiamato “Predator” sono stati portati contro la società civile, giornalisti, politici e accademici nell’Unione europea, negli Stati Uniti e in Asia. Tra gli obiettivi dello spyware “Predator” ci sono funzionari delle Nazioni Unite, un senatore e un membro del Congresso degli Stati Uniti e persino i presidenti del Parlamento europeo e di Taiwan.

Tra febbraio e giugno 2023, le piattaforme social X (precedentemente Twitter) e Facebook sono state utilizzate per mirare pubblicamente ad almeno 50 account, appartenenti a 27 persone e 23 istituzioni. Lo strumento di cyber-sorveglianza utilizzato è lo spyware “Predator”, sviluppato e venduto dall’alleanza Intellexa. Questa alleanza, che si è pubblicizzata come “basata e regolamentata nell’Unione europea”, è un gruppo complesso e spesso mutevole di aziende che sviluppano e vendono prodotti di sorveglianza.

Il “Predator” è un tipo di spyware altamente invasivo, il che significa che una volta infiltrato in un dispositivo, ha accesso illimitato al microfono e alla fotocamera, così come a tutti i dati come contatti, messaggi, foto e video, mentre l’utente è del tutto all’oscuro. Attualmente, tale spyware non può essere sottoposto a verifica indipendente né limitato solo alle funzioni necessarie e proporzionate a uno specifico utilizzo.

“Ancora una volta abbiamo prove dell’uso di potenti strumenti di sorveglianza in attacchi spudorati. Questa volta i bersagli sono giornalisti in esilio, figure pubbliche e funzionari intergovernativi. Ma non facciamoci illusioni: le vittime siamo tutti noi, le nostre società, la buona governance e i diritti umani di tutti”, ha dichiarato Agnès Callamard, segretaria generale di Amnesty International.

Intellexa, alleanza di sviluppatori di “Predator” e altri prodotti di sorveglianza con sede in Europa, non ha fatto nulla per limitare chi può utilizzare questo spyware e a quale scopo lo utilizza. Al contrario, sta riempiendo le sue tasche e ignorando le gravi implicazioni per i diritti umani. Alla luce di questo ultimo scandalo, sicuramente l’unica risposta efficace è l’imposizione di un immediato divieto mondiale sugli spyware altamente invasivi“, ha concluso Callamard.

In un rapporto pubblicato oggi dal Security Lab di Amnesty International, tra coloro che sono stati presi di mira, sebbene non necessariamente infettati, ci sono il presidente del Parlamento europeo Roberta Metsola, il presidente di Taiwan Tsai Ing-Wen, il congressista degli Stati Uniti Michael McCaul, il senatore degli Stati Uniti John Hoeven, l’ambasciatrice tedesca negli Stati Uniti Emily Haber e il membro del Parlamento europeo francese Pierre Karleskind. Diversi funzionari, accademici e istituzioni sono stati anch’essi presi di mira.

Un serie spudorata di attacchi

Il Security Lab di Amnesty International ha condotto indagini sull’uso del potente e altamente invasivo spyware “Predator” e il suo collegamento con l’alleanza Intellexa per un certo periodo.

Un account X, ora rinominato ‘@Joseph_Gordon16’, ha condiviso molti dei link di attacco identificati, mirati a infettare gli obiettivi con lo spyware “Predator”. Uno dei primi bersagli di questo account è stato il giornalista residente a Berlino Khoa Lê Trung, originario del Vietnam. Khoa è il direttore editoriale di thoibao.de, un portale di notizie bloccato in Vietnam. Riceve minacce di morte dal 2018. Il Vietnam presenta un contesto mediatico oppressivo, dove i giornalisti, i blogger e gli attivisti per i diritti umani sono frequentemente soggetti a intimidazioni per costringerli al silenzio.

L’attacco, sebbene non riuscito, è particolarmente significativo in quanto sia il sito web che il giornalista stesso sono nell’Unione europea e tutti gli stati membri hanno l’obbligo di controllare la vendita e il trasferimento delle tecnologie di sorveglianza.

“Non puoi semplicemente venderle a paesi come il Vietnam. Questo danneggia anche la libertà di stampa e la libertà di espressione delle persone qui in Germania”, ha dichiarato Khoa Lê Trung ad Amnesty International.

L’indagine ha rilevato che l’account ‘@Joseph_Gordon16’ aveva stretti legami con il Vietnam e potrebbe aver agito per conto delle autorità vietnamite o di gruppi di interesse

Nell’aprile 2023, il Security Lab di Amnesty International ha iniziato a osservare lo stesso utente ‘@Joseph_Gordon16’ mentre prendeva di mira vari accademici e funzionari che lavorano su questioni marittime, in particolare ricercatori e funzionari responsabili delle politiche dell’Unione Europea e dell’Onu sulla pesca illegale o non documentata. Nel 2017, il Vietnam è stato oggetto di un “avvertimento a carta gialla” da parte della Commissione europea per la pesca illegale, non dichiarata e non regolamentata.

“Abbiamo osservato diverse decine di casi in cui ‘@Joseph_Gordon16’ ha incluso un link maligno collegato a “Predator” su diverse pubblicazioni sui social media. A volte, il link sembrava provenire da una fonte di notizie apparentemente innocua, come il South China Morning Post, per ingannare il lettore e indurlo a cliccarci sopra”, ha dichiarato Donncha Ó Cearbhaill, capo del Security Lab di Amnesty International.

“La nostra analisi ha dimostrato che cliccando sul link, il dispositivo del lettore potrebbe essere infettato dallo spyware “Predator”. Non sappiamo se qualche dispositivo sia stato infettato e non possiamo affermare con certezza assoluta che il responsabile fosse direttamente all’interno del governo del Vietnam, ma gli interessi dell’account e delle autorità vietnamite erano strettamente allineati”, ha proseguito Donncha Ó Cearbhaill.

L’indagine ha inoltre rivelato prove relative a una società facente parte dell’alleanza Intellexa, che ha siglato un accordo multimilionario per “soluzioni di infezione” con il ministero della Sicurezza pubblica del Vietnam all’inizio del 2020, denominato “Angler Fish”. Documenti e registrazioni di esportazioni hanno confermato anche la vendita di “Predator” al ministero della Sicurezza pubblica del Vietnam tramite intermediari.

“Riteniamo che questa struttura di attacco con “Predator” sia legata a un attore governativo in Vietnam”, hanno affermato i ricercatori sulla sicurezza di Google, che hanno anche analizzato in modo indipendente i link maligni, riferendosi ad Amnesty International.

 

Lo spyware regolamentato dall’Unione europea libero di agire indisturbato in tutto il mondo

“Predator” può anche essere utilizzato in “attacchi a zero click”, il che significa che può infiltrarsi in un dispositivo senza che l’utente abbia cliccato su un link. Ciò può avvenire, ad esempio, attraverso cosiddetti “attacchi tattici” in grado di infettare dispositivi nelle vicinanze. Attualmente, lo spyware altamente invasivo non può essere sottoposto a verifiche indipendenti o limitato nella sua funzionalità. Di conseguenza, risulta estremamente difficile indagare sulle violazioni legate al suo utilizzo.

L’indagine di Amnesty International ha riscontrato la presenza dei prodotti dell’alleanza Intellexa in almeno 25 paesi in Europa, Asia, Medio Oriente e Africa e documenta come siano stati utilizzati per violare i diritti umani, la libertà di stampa e i movimenti sociali in tutto il mondo.

L’alleanza Intellexa ha aziende in vari stati, tra cui Francia, Germania, Grecia, Irlanda, Repubblica Ceca, Cipro, Ungheria, Svizzera, Israele, Macedonia del Nord ed Emirati Arabi Uniti. Amnesty International chiede a tutti questi stati di revocare immediatamente tutte le licenze di marketing ed esportazione concesse all’alleanza Intellexa. Questi stati devono inoltre condurre un’indagine indipendente, imparziale e trasparente per determinare l’entità del targeting illecito.

“Intellexa afferma di essere un’azienda ‘con sede nell’Unione Europea e regolamentata’, il che costituisce di per sé una condanna impietosa della mancata prevenzione da parte degli Stati membri dell’Ue e delle istituzioni contro l’espansione continua di questi prodotti di sorveglianza, nonostante una serie di indagini condotte, come quella sul ‘Progetto Pegasus’ nel 2021. Tanto è vero che, come sottolinea questa nuova indagine, persino funzionari e istituzioni dell’Unione Europea stessa sono stati coinvolti nella sua rete”, ha dichiarato Agnès Callamard.

L’indagine “I file predatori” ha rivelato che i prodotti dell’alleanza Intellexa sono stati venduti ad almeno 25 paesi, tra cui Svizzera, Austria, Germania, Congo, Giordania, Kenia, Oman, Pakistan, Qatar, Singapore, Emirati Arabi Uniti e Vietnam.

L’alleanza Intellexa dovrebbe interrompere la produzione e la vendita di “Predator” e di qualsiasi altro spyware altamente invasivo che non includa misure tecniche per il suo utilizzo lecito all’interno di un quadro regolamentare che rispetti i diritti umani. Dovrebbe inoltre fornire una compensazione adeguata o altre forme di rimedio efficace alle vittime di sorveglianza illecita.

L’analisi condotta da Amnesty International sull’infrastruttura tecnica collegata al sistema di spyware “Predator” evidenzia un’attività connessa, in varie forme, in paesi quali Angola, Egitto, Mongolia, Kazakistan, Indonesia, Madagascar, Sudan, Vietnam e molti altri ancora. Amnesty International ha reso disponibili indicatori di compromissione per agevolare i tecnici della società civile nella identificazione e nel contrasto di questo spyware.

Amnesty International ha cercato di contattare gli enti coinvolti per un commento ma non ha ricevuto risposta. Tuttavia, l’EIC ha ottenuto una risposta dai principali azionisti e ex dirigenti del gruppo Nexa. Nella loro risposta, essi sostengono che l’alleanza Intellexa non esista più. Per quanto riguarda il Vietnam, affermano che il gruppo Nexa ha onorato solo parte del contratto relativo alla sicurezza informatica. Affermano anche che le aziende dell’alleanza Intellexa “hanno rigorosamente rispettato le normative sull’esportazione”, riconoscendo al contempo di aver stabilito “relazioni commerciali” con paesi che “lontani dall’essere perfetti dal punto di vista dello stato di diritto”, aggiungendo che ciò era spesso una conseguenza delle “scelte politiche” del governo francese.

 

Al link di seguito il rapporto “I file predatori: catturati nella rete”https://www.amnesty.org/en/documents/act10/7245/2023/en/