Blog GUERRE DI RETE – Spyware e giornalisti

Omar Radi, un giornalista marocchino impegnato politicamente, ha scoperto di essere stato spiato da un software installato nel suo smartphone.

Guerre di Rete – una newsletter di notizie cyber
a cura di Carola Frediani
N.76 – 28 giugno 2020

Oggi si parla di:
– spyware e sorveglianza contro giornalisti
– l’incriminazione di Assange
– riconoscimento facciale
– blueleaks
– cavi sottomarini
– tiktok
– Isis

HABEMUS PODCAST
Prima l’annuncio di una novità. Questa newsletter ora ha anche una versione (un po’ più ridotta) PODCAST. Questa esce il lunedì e potete iscrivervi, tra le varie piattaforme, su:

SORVEGLIANZA
Ancora uno spyware contro giornalista marocchino
Lo spyware è arrivato in modo impercettibile. Nessun link, nessun messaggio esca, nessun SMS, nessuna telefonata. Semplicemente, Omar Radi ha aperto il browser del suo telefono per visitare un sito ma prima di approdare a destinazione è stato reindirizzato brevemente da un’altra parte, a uno strano indirizzo. È stato un attimo, quasi impossibile da accorgersene a meno di non prestarci specifica attenzione.
A quel punto lo spyware – un software malevolo progettato, in questo caso, per spiare le attività e i contenuti che passano da uno smartphone – prende il controllo del dispositivo, ed è in grado di monitorare le mail, chat, telefonate, ma anche di attivare all’occorrenza microfono e videocamere trasformandosi in una cimice ambientale.

Una tecnologia di sorveglianza estremamente invasiva, ormai usata da anni da molteplici Stati a fini di investigazione, sia nell’intelligence sia in indagini giudiziarie. Solo che Omar Radi non è un terrorista. È un noto giornalista investigativo che si è occupato di movimenti di protesta in alcune regioni del Marocco (come il movimento Hirak), che anni fa ha ricevuto un premio per le sue inchieste sullo sfruttamento delle cave di sabbia nel Paese, che si è occupato di corruzione della classe politico-imprenditoriale.

Lo scenario
Quando Radi ha ricevuto questo spyware silente era il settembre 2019, e stava giusto incontrando un suo amico, storico e attivista per i diritti umani, Maati Monjib. Entrambi sapevano di essere bene o male nel mirino da tempo. Monijb sapeva anzi di essere stato attaccato con uno spyware in passato, e lo stesso sapeva Radi, che infatti era particolarmente attento a non cliccare su link sospetti. Quello che non sapevano è che proprio Radi ora era oggetto di attacchi e che lo era e sarebbe stato più volte più volte tra il gennaio 2019 e il gennaio 2020.
Tanto che a un certo punto il giornalista ha capito che qualcosa non andava e si è rivolto al Security Lab di Amnesty International. Nel mentre, a dicembre 2019, Radi veniva arrestato (e poi rilasciato, infine condannato a 4 mesi con pena sospesa) per aver pubblicato, mesi prima, un tweet critico verso una sentenza contro alcuni manifestanti. Ma prima ancora, nel pieno degli attacchi, cioè nel luglio 2019, Radi appariva in primo piano in una inchiesta del Committee to Protect Journalists proprio sulla repressione e gli attacchi digitali subiti da giornalisti marocchini. In questo articolo Radi spiegava tra l’altro che negli interrogatori di attivisti e giornalisti fermati spesso emergeva come la polizia fosse a conoscenza dei loro messaggi Whatsapp.

L’attacco per inoculazione
Amnesty ha dunque analizzato il suo telefono e ha concluso che il giornalista era stato più volte preso di mira da uno spyware, individuando le date precise di questi attacchi.
Si tratta di attacchi di inoculazione (injection attacks), in cui quando la vittima prova a visitare un certo sito web non protetto da connessione cifrata (per cui invece di HTTPS, la stessa modalità che usiamo quando ci colleghiamo a una banca ma anche alla nostra webmail, c’è HTTP) il suo traffico internet mobile viene rediretto a un sito malevolo che installa velocemente lo spyware per poi dirigere il traffico al sito originale in modo da non far insospettire troppo il soggetto.
Questo tipo di attacco può essere condotto in due modi: o attraverso un accesso diretto all’infrastruttura dell’operatore telefonico; o attraverso una prossimità fisica al target che permette, attraverso un dispositivo tipo Imsi catcher o Stingrays, di simulare un ripetitore cui il telefono si aggancia, per cui il suo traffico (sotto controllo dell’attaccante) può essere rediretto. Per Amnesty non è chiaro quale procedimento sia stato usato nel caso specifico.

Tuttavia l’organizzazione no-profit sospetta, sulla base di una serie di indicazioni tecniche, che lo spyware utilizzato sia Pegasus, sviluppato dalla società israeliana NSO, e venduto a vari governi (l’azienda non ha mai rivelato quali siano i Paesi per una questione di confidenzialità dei clienti; secondo una ricerca del laboratorio canadese Citizen Lab proprio il Marocco sarebbe stato uno dei 45 Stati in cui il suo spyware risultava attivo, ricorda il Guardian).

Il report di Amnesty
“Gli attacchi sono avvenuti in un periodo in cui Radi era ripetutamente molestato dalle autorità marocchine”, scrive Amnesty in un report, sottolineando come alcuni di questi siano avvenuti solo pochi giorni dopo una dichiarazione pubblica di NSO dove si prometteva di prendere delle misure per controllare che il proprio prodotto non fosse abusato.
NSO ha dichiarato al consorzio di giornalisti Fobidden Stories (che ha coordinato l’uscita di articoli su questa storia su molte testate internazionali) di stare valutando attentamente quanto emerso. Il governo di Rabat non ha fatto dichiarazioni ufficiali, anche se sulla stampa più filogovernativa sono uscite delle critiche sdegnate al report, accusato di non avere prove schiaccianti. Intanto però il giorno dopo la notizia, la polizia ha convocato e interrogato Radi in connessione a una inchiesta su gruppi di intelligence stranieri e in quanto sospettato di aver ricevuto fondi dagli stessi – un’accusa giudicata una forma di ritorsione da parte del giornalista e della stessa Amnesty.

Spyware e Marocco
Non è la prima volta che Amnesty mette sotto la lente l’uso di spyware contro difensori dei diritti umani in Marocco. Era già uscita con un rapporto a ottobre, in cui sempre lo spyware Pegasus – attraverso una serie di tracce tecniche – era fortemente sospettato di essere stato usato contro due attivisti marocchini, Maati Monjib e Abdessadak El Bouchattaou.
Per Amnesty quelle azioni contro Monjib e queste contro Radi avrebbero la stessa firma. “Il Security Lab ha eseguito una analisi forense del telefono di Omar Radi – si legge sul report della ONG – e ha trovato tracce che suggeriscono come sia stato sottoposto agli stessi attacchi di inoculazione via rete che avevamo osservato contro Maati Monjib”. Tra questi artefatti, lo stesso dominio usato come sito malevolo per trasmettere lo spyware.
Il report ricorda anche come questa capacità di veicolare il software malevolo via inoculazione sia stata pubblicizzata in passato da NSO – quanto meno da una brochure attribuita alla stessa e rinvenuta già nel 2015 nel leak di documenti di un’altra società di spyware, l’italiana Hacking Team; e ancora più recentemente a un evento di aziende del settore, come riportato da Business Insider.

NSO, tra accuse e cause legali
NSO è da tempo finita sulla ribalta mediatica per una molteplicità di episodi, report e azioni legali. Tra queste ultime addirittura una causa intentata da Whatsapp, secondo la quale Pegasus sarebbe stato usato per attaccare 1400 suoi utenti (la questione legale è complessa, qui raccontata da Wired US, e qui sviluppi su Zdnet; in newsletter ne avevo scritto qua). Tra i 1400 target anche un giornalista marocchino, e un avvocato che aveva aiutato un gruppo di giornalisti/attivisti messicani e un dissidente saudita che sta in Canada a fare causa proprio a NSO in Israele, sostenendo che l’azienda fosse corresponsabile degli abusi commessi dai suoi clienti. NSO dal suo canto aveva ribadito che non si occupa della gestione dello spyware.

Il dissidente saudita è quasi sicuramente Omar Abdulaziz (come per altro riportato dal NYT), che era vicino a Jamal Khashoggi (il giornalista ucciso brutalmente dai sauditi in Turchia) e che attualmente sta a Montreal. Abdulaziz aveva poi fatto causa a NSO, sostenendo di essere stato infettato dalla corte di Ryad proprio con Pegasus (ne avevo scritto qua).

Nel gennaio 2010 era poi emerso che l’FBI si stava interessando alla storia dell’attacco informatico contro Jeff Bezos, il fondatore di Amazon e proprietario del Washington Post (una spy story che tirava di nuovo in mezzo l’Arabia Saudita e il suo principe ereditario Mohammed bin Salman, e il possibile uso di Pegasus – ne avevo scritto su Valigia Blu).

Spyware e moratoria
Tornando al Marocco, quelli denunciati dai report Amnesty non sono i primi casi di spyware contro giornalisti marocchini. Già nel 2012 c’era stato l’episodio di una serie di attacchi contro il sito Mamfakinch – una rete di “giornalismo dei cittadini” che raccontava le proteste della primavera araba e in particolare il movimento 20 febbraio – e il suo cofondatore Hisham Almiraat (della storia mi ero occupata della vicenda per L’Espresso, così come se n’erano occupati vari media internazionali, e organizzazioni come Amnesty e Privacy International). All’epoca Almiraat mi aveva spiegato che quell’evento, con le relative tensioni, era stato determinante nello sfaldamento del gruppo di giornalisti.

Amnesty ora chiede al governo marocchino e ai Paesi esportatori di sospendere la vendita, acquisto, esportazione di tali strumenti finché non ci sia in piedi una procedura chiara per verificare che non siano commessi abusi, così come richiesto tempo fa dal rapporteur speciale sulla libertà di espressione dell’ONU, David Kaye.

Sempre più attacchi contro i giornalisti
I casi riscontrati in Marocco non sono affatto isolati o atipici. Negli ultimi anni gli attacchi informatici contro singole testate o giornalisti sono aumentati e sono diventati più sofisticati, come avevo raccontato poche settimane fa in un lungo reportage su Valigia Blu, con episodi che andavano dall’Azerbaigian a Malta alle Filippine, e che mescolavano casi di phishing, furti di identità, molestie, spyware, e DDoS (attacchi di negazione distribuita del servizio) contro i siti di informazione per renderli irraggiungibili.

 

QUI PER RICEVERE LA VERSIONE COMPLETA DELLA NEWSLETTER

È gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.