Recentemente, il Google Threat Analysis Group (TAG) ha pubblicato un report intitolato “Buying Spying”, che analizza nel dettaglio le attività delle principali aziende produttrici di software di sorveglianza.

Una vera e propria industria di spyware utilizzata per vendere a governi e attori delle minacce gli strumenti per lo sfruttamento di vulnerabilità nei dispositivi di consumo allo scopo di monitorare e raccogliere dati e informazioni su utenti ad alto rischio come giornalisti, attivisti dei diritti umani e dissidenti politici.

Buyng Spying: l’industria degli spyware

L’industria della sorveglianza commerciale è emersa negli ultimi anni per occupare un settore di mercato molto redditizio: la vendita di tecnologie avanzate a organizzazioni, governative e no, di tutto il mondo che sfruttano debolezze presenti nei dispositivi e nelle applicazioni degli utenti al fine di installare degli spyware.

I fornitori di strumenti di sorveglianza commerciale (Commercial Surveillance Vendors, CSV) enfatizzano l’utilizzo legittimo dei loro prodotti nelle attività di contrasto al terrorismo.

Tuttavia, è ampiamente documentato che, in determinati paesi, gli spyware vengono impiegati contro giornalisti, difensori dei diritti umani, dissidenti e politici dell’opposizione – gruppi che il Google Threat Analysis Group identifica come “utenti ad alto rischio”.

Un esempio di tale utilizzo è rappresentato dallo spyware di sorveglianza Pegasus il quale, una volta installato, concede accesso completo e illimitato a tutti i sensori e alle informazioni sui dispositivi infettati, trasformando gli smartphone sui quali viene installato in dispositivi di sorveglianza attivi 24 ore su 24.

Le dimensioni delle operazioni di Pegasus e il numero di vittime coinvolte sono notevoli: un rapporto del 2021 ha rivelato che almeno 189 giornalisti, 85 difensori dei diritti umani, oltre 600 politici e funzionari governativi, tra cui ministri e diplomatici, sono stati individuati come bersagli.

Le indagini hanno anche svelato attività di spionaggio rivolte a giudici, avvocati, medici, leader sindacali e accademici. La NSO Group, l’azienda responsabile della creazione e vendita di Pegasus, ha ammesso che i suoi clienti sorvegliano annualmente un numero compreso tra i 12.000-13.000 individui.

Ma quello di Pegasus non è un caso isolato: la tedesca FinFisher e l’italiana Hacking Team sono stati infatti, prima di NSO, attori dominanti nel mercato. I prodotti di entrambe le aziende sono stati ricondotti ad abusi di sorveglianza in diverse regioni del mondo. Nel 2015, all’apice della sua attività, i prodotti di Hacking Team erano in uso in quarantuno paesi.

Spyware: poche vittime e mirate, ma impatti molto ampi

Nonostante il numero di utenti bersagliati da spyware sia relativamente limitato rispetto ad altre minacce informatiche, gli impatti successivi sono molto ampi. Questo tipo di targeting mirato mette a rischio la libertà di parola, la libertà di stampa ed è in grado di influenzare i risultati delle elezioni politiche in tutto il mondo.

Il Google’s Threat Analysis Group, sezione dell’azienda dedicata all’analisi delle minacce e allo sviluppo di efficaci contromisure, ha sottolineato nel suo report diversi punti chiave.

In primo luogo, la diversa visibilità degli attori del settore: mentre CSV di rilievo come la NSO Group attirano l’attenzione del pubblico e compaiono nelle prime pagine, esistono molte altre aziende più piccole, che giocano un ruolo fondamentale nello sviluppo degli spyware.

Tutti questi attori contribuiscono alla diffusione di strumenti e capacità pericolose utilizzati o utilizzabili dai governi contro gli individui, mettendo a rischio la sicurezza dell’ecosistema Internet.

In secondo luogo, è stata registrata una minore capacità di controllo delle istituzioni; se precedentemente i governi hanno avuto il monopolio sulle capacità più sofisticate, ora il settore privato è responsabile di una parte significativa degli strumenti più avanzati disponibili.

Infine, anche il colosso statunitense riconosce le conseguenze dell’utilizzo di questi strumenti sulle attività di giornalisti, attivisti, oppositori politici e dissidenti, spesso monitorate da governi e organizzazioni in paesi come l’Iran o l’Arabia Saudita.

Come funziona l’industria degli spyware

I fornitori commerciali di spyware commercializzano sia i software che l’infrastruttura necessaria per interagire con lo spyware, nota come infrastruttura di comando e controllo (C2).

Per installare lo spyware su un dispositivo dell’utente, il CSV deve anche sviluppare un metodo di trasmissione, spesso sfruttando vulnerabilità nei dispositivi e nelle applicazioni dei consumatori per ottenere l’accesso.

Ogni fase richiede competenze tecniche avanzate e una comprensione dettagliata del dispositivo e delle applicazioni dell’utente.

I clienti, tra cui agenzie governative, desiderano acquisire varie tipologie di dati dai loro bersagli più importanti, come password, messaggi SMS, e-mail, posizione, chiamate telefoniche e persino la registrazione di audio e video. Per raccogliere tali dati, i CSV sviluppano spesso spyware mirati ai dispositivi mobili.

Diffusione dei software di sorveglianza: un problema urgente

La diffusione globale della tecnologia di intrusione rappresenta un problema urgente. Un numero crescente di paesi, comprese democrazie, utilizza strumenti di sorveglianza per scopi vari, spesso legati a fini politici repressivi.

Sebbene l’alta domanda di spyware possa continuare a sostenere tale industria i responsabili politici hanno opportunità per intervenire.

Limitare la capacità degli Stati di acquisire software di intrusione, ad esempio attraverso divieti di vendita a violatori dei diritti umani, può essere un approccio realistico.

Azioni come il blacklisting del NSO Group degli Stati Uniti dimostrano come la leva economica possa far riflettere l’industria sulle conseguenze delle violazioni dei diritti umani.

È necessaria una vera riconoscenza da parte dei responsabili politici democratici che i danni causati dallo spyware superano i benefici politici o finanziari per ottenere un cambiamento significativo.

Cosa si sta facendo per regolamentare l’abuso di spyware

Il movimento per regolamentare l’abuso di spyware commerciali sta crescendo, con 35 stati nazionali che hanno approvato i “Principi guida sull’uso delle tecnologie di sorveglianza” nel marzo 2023.

Vari governi, tra cui Australia, Canada, Francia e Stati Uniti, si sono impegnati a regolamentare l’uso di spyware, prevenire esportazioni a fini dannosi e riformare l’industria. Tuttavia, l’azione concreta finora è stata limitata.

È un segnale positivo, invece, l’iniziativa presa dagli Stati Uniti nel vietare gli spyware commerciali utilizzati per violazioni dei diritti umani.

Anche nell’Unione Europea ci sono discussioni in atto sul tema della sorveglianza, dato che la recente bozza di legge presentata dal parlamento europeo, denominata Media Freedom Act, sembrerebbe invece andare in una direzione opposta, consentendo dunque ai governi di monitorare i giornalisti ritenuti “pericolosi” proprio attraverso gli spyware.

La lotta tra interessi di sicurezza nazionale e protezione dei diritti dei cittadini è dunque appena iniziata, ma solo con un efficace e coordinato sforzo legislativo internazionale si può tentare di mettere dei limiti ad un industria che entra sempre di più nella vita di cittadini di tutto il mondo.

@RIPRODUZIONE RISERVATA