Blog GUERRE DI RETE - Spyware e giornalisti

Blog GUERRE DI RETE – Spyware e giornalisti

Omar Radi, un giornalista marocchino impegnato politicamente, ha scoperto di essere stato spiato da un software installato nel suo smartphone.

29 Giugno 2020 di Carola Frediani

Guerre di Rete – una newsletter di notizie cyber
a cura di Carola Frediani
N.76 – 28 giugno 2020

Oggi si parla di:
– spyware e sorveglianza contro giornalisti
– l’incriminazione di Assange
– riconoscimento facciale
– blueleaks
– cavi sottomarini
– tiktok
– Isis

HABEMUS PODCAST
Prima l’annuncio di una novità. Questa newsletter ora ha anche una versione (un po’ più ridotta) PODCAST. Questa esce il lunedì e potete iscrivervi, tra le varie piattaforme, su:

SORVEGLIANZA
Ancora uno spyware contro giornalista marocchino
Lo spyware è arrivato in modo impercettibile. Nessun link, nessun messaggio esca, nessun SMS, nessuna telefonata. Semplicemente, Omar Radi ha aperto il browser del suo telefono per visitare un sito ma prima di approdare a destinazione è stato reindirizzato brevemente da un’altra parte, a uno strano indirizzo. È stato un attimo, quasi impossibile da accorgersene a meno di non prestarci specifica attenzione.
A quel punto lo spyware – un software malevolo progettato, in questo caso, per spiare le attività e i contenuti che passano da uno smartphone – prende il controllo del dispositivo, ed è in grado di monitorare le mail, chat, telefonate, ma anche di attivare all’occorrenza microfono e videocamere trasformandosi in una cimice ambientale.

Una tecnologia di sorveglianza estremamente invasiva, ormai usata da anni da molteplici Stati a fini di investigazione, sia nell’intelligence sia in indagini giudiziarie. Solo che Omar Radi non è un terrorista. È un noto giornalista investigativo che si è occupato di movimenti di protesta in alcune regioni del Marocco (come il movimento Hirak), che anni fa ha ricevuto un premio per le sue inchieste sullo sfruttamento delle cave di sabbia nel Paese, che si è occupato di corruzione della classe politico-imprenditoriale.

Lo scenario
Quando Radi ha ricevuto questo spyware silente era il settembre 2019, e stava giusto incontrando un suo amico, storico e attivista per i diritti umani, Maati Monjib. Entrambi sapevano di essere bene o male nel mirino da tempo. Monijb sapeva anzi di essere stato attaccato con uno spyware in passato, e lo stesso sapeva Radi, che infatti era particolarmente attento a non cliccare su link sospetti. Quello che non sapevano è che proprio Radi ora era oggetto di attacchi e che lo era e sarebbe stato più volte più volte tra il gennaio 2019 e il gennaio 2020.
Tanto che a un certo punto il giornalista ha capito che qualcosa non andava e si è rivolto al Security Lab di Amnesty International. Nel mentre, a dicembre 2019, Radi veniva arrestato (e poi rilasciato, infine condannato a 4 mesi con pena sospesa) per aver pubblicato, mesi prima, un tweet critico verso una sentenza contro alcuni manifestanti. Ma prima ancora, nel pieno degli attacchi, cioè nel luglio 2019, Radi appariva in primo piano in una inchiesta del Committee to Protect Journalists proprio sulla repressione e gli attacchi digitali subiti da giornalisti marocchini. In questo articolo Radi spiegava tra l’altro che negli interrogatori di attivisti e giornalisti fermati spesso emergeva come la polizia fosse a conoscenza dei loro messaggi Whatsapp.

L’attacco per inoculazione
Amnesty ha dunque analizzato il suo telefono e ha concluso che il giornalista era stato più volte preso di mira da uno spyware, individuando le date precise di questi attacchi.
Si tratta di attacchi di inoculazione (injection attacks), in cui quando la vittima prova a visitare un certo sito web non protetto da connessione cifrata (per cui invece di HTTPS, la stessa modalità che usiamo quando ci colleghiamo a una banca ma anche alla nostra webmail, c’è HTTP) il suo traffico internet mobile viene rediretto a un sito malevolo che installa velocemente lo spyware per poi dirigere il traffico al sito originale in modo da non far insospettire troppo il soggetto.
Questo tipo di attacco può essere condotto in due modi: o attraverso un accesso diretto all’infrastruttura dell’operatore telefonico; o attraverso una prossimità fisica al target che permette, attraverso un dispositivo tipo Imsi catcher o Stingrays, di simulare un ripetitore cui il telefono si aggancia, per cui il suo traffico (sotto controllo dell’attaccante) può essere rediretto. Per Amnesty non è chiaro quale procedimento sia stato usato nel caso specifico.

Tuttavia l’organizzazione no-profit sospetta, sulla base di una serie di indicazioni tecniche, che lo spyware utilizzato sia Pegasus, sviluppato dalla società israeliana NSO, e venduto a vari governi (l’azienda non ha mai rivelato quali siano i Paesi per una questione di confidenzialità dei clienti; secondo una ricerca del laboratorio canadese Citizen Lab proprio il Marocco sarebbe stato uno dei 45 Stati in cui il suo spyware risultava attivo, ricorda il Guardian).

Il report di Amnesty
“Gli attacchi sono avvenuti in un periodo in cui Radi era ripetutamente molestato dalle autorità marocchine”, scrive Amnesty in un report, sottolineando come alcuni di questi siano avvenuti solo pochi giorni dopo una dichiarazione pubblica di NSO dove si prometteva di prendere delle misure per controllare che il proprio prodotto non fosse abusato.
NSO ha dichiarato al consorzio di giornalisti Fobidden Stories (che ha coordinato l’uscita di articoli su questa storia su molte testate internazionali) di stare valutando attentamente quanto emerso. Il governo di Rabat non ha fatto dichiarazioni ufficiali, anche se sulla stampa più filogovernativa sono uscite delle critiche sdegnate al report, accusato di non avere prove schiaccianti. Intanto però il giorno dopo la notizia, la polizia ha convocato e interrogato Radi in connessione a una inchiesta su gruppi di intelligence stranieri e in quanto sospettato di aver ricevuto fondi dagli stessi – un’accusa giudicata una forma di ritorsione da parte del giornalista e della stessa Amnesty.

Spyware e Marocco
Non è la prima volta che Amnesty mette sotto la lente l’uso di spyware contro difensori dei diritti umani in Marocco. Era già uscita con un rapporto a ottobre, in cui sempre lo spyware Pegasus – attraverso una serie di tracce tecniche – era fortemente sospettato di essere stato usato contro due attivisti marocchini, Maati Monjib e Abdessadak El Bouchattaou.
Per Amnesty quelle azioni contro Monjib e queste contro Radi avrebbero la stessa firma. “Il Security Lab ha eseguito una analisi forense del telefono di Omar Radi – si legge sul report della ONG – e ha trovato tracce che suggeriscono come sia stato sottoposto agli stessi attacchi di inoculazione via rete che avevamo osservato contro Maati Monjib”. Tra questi artefatti, lo stesso dominio usato come sito malevolo per trasmettere lo spyware.
Il report ricorda anche come questa capacità di veicolare il software malevolo via inoculazione sia stata pubblicizzata in passato da NSO – quanto meno da una brochure attribuita alla stessa e rinvenuta già nel 2015 nel leak di documenti di un’altra società di spyware, l’italiana Hacking Team; e ancora più recentemente a un evento di aziende del settore, come riportato da Business Insider.

NSO, tra accuse e cause legali
NSO è da tempo finita sulla ribalta mediatica per una molteplicità di episodi, report e azioni legali. Tra queste ultime addirittura una causa intentata da Whatsapp, secondo la quale Pegasus sarebbe stato usato per attaccare 1400 suoi utenti (la questione legale è complessa, qui raccontata da Wired US, e qui sviluppi su Zdnet; in newsletter ne avevo scritto qua). Tra i 1400 target anche un giornalista marocchino, e un avvocato che aveva aiutato un gruppo di giornalisti/attivisti messicani e un dissidente saudita che sta in Canada a fare causa proprio a NSO in Israele, sostenendo che l’azienda fosse corresponsabile degli abusi commessi dai suoi clienti. NSO dal suo canto aveva ribadito che non si occupa della gestione dello spyware.

Il dissidente saudita è quasi sicuramente Omar Abdulaziz (come per altro riportato dal NYT), che era vicino a Jamal Khashoggi (il giornalista ucciso brutalmente dai sauditi in Turchia) e che attualmente sta a Montreal. Abdulaziz aveva poi fatto causa a NSO, sostenendo di essere stato infettato dalla corte di Ryad proprio con Pegasus (ne avevo scritto qua).

Nel gennaio 2010 era poi emerso che l’FBI si stava interessando alla storia dell’attacco informatico contro Jeff Bezos, il fondatore di Amazon e proprietario del Washington Post (una spy story che tirava di nuovo in mezzo l’Arabia Saudita e il suo principe ereditario Mohammed bin Salman, e il possibile uso di Pegasus – ne avevo scritto su Valigia Blu).

Spyware e moratoria
Tornando al Marocco, quelli denunciati dai report Amnesty non sono i primi casi di spyware contro giornalisti marocchini. Già nel 2012 c’era stato l’episodio di una serie di attacchi contro il sito Mamfakinch – una rete di “giornalismo dei cittadini” che raccontava le proteste della primavera araba e in particolare il movimento 20 febbraio – e il suo cofondatore Hisham Almiraat (della storia mi ero occupata della vicenda per L’Espresso, così come se n’erano occupati vari media internazionali, e organizzazioni come Amnesty e Privacy International). All’epoca Almiraat mi aveva spiegato che quell’evento, con le relative tensioni, era stato determinante nello sfaldamento del gruppo di giornalisti.

Amnesty ora chiede al governo marocchino e ai Paesi esportatori di sospendere la vendita, acquisto, esportazione di tali strumenti finché non ci sia in piedi una procedura chiara per verificare che non siano commessi abusi, così come richiesto tempo fa dal rapporteur speciale sulla libertà di espressione dell’ONU, David Kaye.

Sempre più attacchi contro i giornalisti
I casi riscontrati in Marocco non sono affatto isolati o atipici. Negli ultimi anni gli attacchi informatici contro singole testate o giornalisti sono aumentati e sono diventati più sofisticati, come avevo raccontato poche settimane fa in un lungo reportage su Valigia Blu, con episodi che andavano dall’Azerbaigian a Malta alle Filippine, e che mescolavano casi di phishing, furti di identità, molestie, spyware, e DDoS (attacchi di negazione distribuita del servizio) contro i siti di informazione per renderli irraggiungibili.

QUI PER RICEVERE LA VERSIONE COMPLETA DELLA NEWSLETTER

È gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.

Array

taggato con giornalismo, Guerre di Rete, spyware

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_WYFPW5DGD5	2 years	This cookie is installed by Google Analytics.
_gat_UA-56827900-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ir	session	This is a Pinterest cookie that collects information on visitor behaviour on multiple websites. This information is used on the website, in order to optimize the relevance of advertisement.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
language	session	This cookie is used to store the language preference of the user.
ssupp.vid	6 months	Cookie set by Smartsupp to record the visitor ID.
ssupp.visits	6 months	Cookie set by Smartsupp to record the number of previous visits, necessary to track automatic messages.

Newsletter

Blog GUERRE DI RETE – Spyware e giornalisti

Corso in presenza A Scuola di Cinema 4-5 maggio 2024

Corso di SCENEGGIATURA online dal 6 maggio

Corsi di cinema per ragazze e ragazzi: la SUMMER SCHOOL di Sentieri selvaggi

CORSO ONLINE SCRIVERE UNA SERIE TV dall’8 maggio

Corso in presenza MONTAGGIO AVID, dal 9 maggio

Abbonati a Sentieriselvaggi21st con la CARTA DEL DOCENTE!

The Other Side of Genius. Il cinema di Orson Welles – La monografia

Il nuovo #Sentieriselvaggi21st n.17 è arrivato!

30 anni dopo, lo storico libro di Sentieri selvaggi su MASSIMO TROISI

LA NUOVA SCUOLA DI DOCUMENTARIO di SENTIERI SELVAGGI

Regala la Gift Card di Sentieri selvaggi

Blog GUERRE DI RETE – Spyware e giornalisti

ISCRIVITI ALLA NEWSLETTER DI SENTIERI SELVAGGI

Corso in presenza A Scuola di Cinema 4-5 maggio 2024

Corso di SCENEGGIATURA online dal 6 maggio

Corsi di cinema per ragazze e ragazzi: la SUMMER SCHOOL di Sentieri selvaggi

CORSO ONLINE SCRIVERE UNA SERIE TV dall’8 maggio

Corso in presenza MONTAGGIO AVID, dal 9 maggio

Abbonati a Sentieriselvaggi21st con la CARTA DEL DOCENTE!

The Other Side of Genius. Il cinema di Orson Welles – La monografia

Il nuovo #Sentieriselvaggi21st n.17 è arrivato!

30 anni dopo, lo storico libro di Sentieri selvaggi su MASSIMO TROISI

LA NUOVA SCUOLA DI DOCUMENTARIO di SENTIERI SELVAGGI

Regala la Gift Card di Sentieri selvaggi