Guerre di Rete – una newsletter di notizie cyber
a cura di Carola Frediani
N.124 – 19 febbraio 2022

--------------------------------------------------------------
#SENTIERISELVAGGI21ST N.17: Cover Story THE BEAR

--------------------------------------------------------------

Storia di un attivista e di prove impiantate
Nel 2021, grazie a un’analisi forense della società Arsenal Consulting, emerse che il computer di Rona Wilson, 50 anni, noto attivista per i diritti umani indiano, non solo era stato compromesso da un malware, ma che gli attaccanti avevano usato lo strumento per impiantare dei file al fine di incriminare l’uomo. Che in effetti fu arrestato e poi incriminato anche grazie a dei documenti rinvenuti sul suo laptop che avrebbero dimostrato intenti terroristici.

Nei giorni scorsi, a questa storia si è aggiunto un altro tassello. Una società di cybersicurezza americana, SentinelOne, ha pubblicato un report che mostra come quell’episodio non sia un caso anomalo o isolato, ma si inserisca in un’attività più ampia e sistematica di almeno un gruppo di attaccanti, chiamato ModifiedElephant. Attività durata anni, contro più target (lo stesso Wilson sarebbe stato preso di mira per quasi dieci anni, fin dal 2012).

“L’obiettivo del gruppo ModifiedElephant è la sorveglianza a lungo termine, che a volte si conclude impiantando “prove” – file che incriminano il target di reati specifici – prima di arresti convenientemente coordinati”, scrivono i ricercatori. Ed è proprio questa modalità che rende il gruppo così preoccupante, considerato che gli strumenti utilizzati non sono nemmeno tanto sofisticati e che le vittime erano infettate attraverso documenti inviati via mail, secondo le modalità più tipiche del phishing. Ma a essere destinatari di queste mail erano attivisti, accademici, giornalisti e avvocati in India. Secondo i ricercatori, “le attività di ModifiedElephant sono allineate agli interessi statali dell’India, e si può osservare una correlazione tra i loro attacchi e gli arresti di individui in casi controversi e con implicazioni politiche”.

Lo stesso Wilson ricevette dozzine di email (alcune che sembravano arrivare da altri attivisti che conosceva, alcune contenenti articoli) che contenevano un malware per infiltrare il suo computer, ha scritto tempo fa il WashPost. Alla fine – hanno rilevato le analisi forensi – nel suo pc sono stati impiantati 32 documenti, tra cui una lettera che discuteva un piano per assassinare il primo ministro Modi che le autorità hanno citato come prova dell’accusa. Wilson è ancora in attesa di processo, in una prigione vicino a Mumbai, in custodia dal 2018.

Per altro l’uomo era stato infettato anche sul suo cellulare con lo spyware Pegasus, aveva sostenuto a dicembre un altro report della società di informatica forense Arsenal Consulting. Il caso è particolare e intricato. In pratica il numero di telefono di Wilson era comparso in una lista di numeri considerati potenziali target dello spyware, aveva riferito la testata The Wire, in collaborazione col progetto Pegasus, una iniziativa di giornalismo investigativo internazionale che ha rivelato come una serie di attivisti, giornalisti e politici fossero infettati dallo spyware Pegasus, venduto da NSO Group. Che ha sempre detto di vendere i suoi software ai governi per fare indagini e di non avere i dettagli sui target. E ha contestato anche che i numeri della lista fossero connessi all’uso del suo strumento (per saperne di più sul tema ricordo il mio speciale Spyware Ltd).

Ma siccome Wilson era in carcere dal 2018 e i suoi dispositivi erano in custodia, non era possibile analizzarli. Tuttavia la società Arsenal Consulting ha avuto l’incarico dalla difesa di Wilson di studiare le prove digitali sottoposte nel caso, e ha poi detto (qui i report) di aver trovato indicatori dell’avvenuta infezione di Pegasus in due backup iTunes dell’iPhone 6S di Wilson. In pratica Wilson, mentre aveva uno spyware sul telefono, aveva anche un diverso malware sul suo pc, quel malware che gli avrebbe impiantato documenti sul laptop, sostiene Arsenal Consulting.

Ma tornando al report di SentinelOne e al tema dei documenti messi nei pc, non è la prima volta che si parla di qualcosa del genere. La stessa SentinelOne a settembre aveva pubblicato un report su un caso simile (prove impiantate) riguardante la Turchia. In quel caso i target erano stati i dispositivi di giornalisti di OdaTV, dove il malware era stato usato per inserire documenti incriminanti, in modo da incastrare i reporter prima dell’arresto (i giornalisti sono stati infine prosciolti nel 2017, sei anni dopo gli attacchi).

“Il malware usato è spazzatura, comune o modificata”, ha commentato su Twitter J.A. Guerrero-Saade, uno dei ricercatori che hanno scritto i report, riferendosi al caso indiano. “Non c’è nulla di tecnicamente impressionante su questo attore malevolo (threat actor), ma siamo invece colpiti dalla sua audacia. E questo solleva domande sullo stato di diritto, il giusto processo, e se ci sia spazio per l’uso di capacità cyber nelle indagini di polizia (non intelligence) che non invalidino l’integrità di procedimenti basati su prove digitali”.

Tradotto: uno degli spauracchi sull’uso di questi strumenti di sorveglianza (o indagine, a seconda di chi li utilizza) è sempre stato, oltre alla loro invasività e capacità di estrarre le informazioni più sensibili, il rischio che potessero essere usati anche per manipolare/inserire prove false. In alcuni Paesi questo rischio si è concretizzato. E gli Stati dove vige lo stato di diritto non possono che chiedersi quali strumenti abbiano per mitigare simili rischi, o anche solo la possibilità che indagini corrette possano essere invalidate per questi dubbi.

A proposito di spyware e nello specifico di Pegasus… In settimana il Security Lab di Amnesty Tech ha annunciato di aver rinvenuto le prove dell’uso dello spyware contro altre due figure dell’opposizione polacca. In questo caso i due sono stati presi di mira, sui loro telefoni Android, con l’invio di un link in un SMS, e vari riferimenti personali per rendere il messaggio convincente, ha spiegato su Twitter il ricercatore Donncha Ó Cearbhaill, aggiungendo che questi due episodi aumentano la preoccupazione che tale strumento possa essere stato usato in Polonia per scopi politici.
(Resoconto anche sul Guardian).

QUI PER RICEVERE LA VERSIONE COMPLETA DELLA NEWSLETTER

È gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.

--------------------------------------------------------------
CORSO ONLINE SCRIVERE E PRESENTARE UN DOCUMENTARIO, DAL 22 APRILE

--------------------------------------------------------------