Pegasus ha permesso d'intrufolarsi negli smartphone di migliaia di giornalisti, oppositori e politici. Ecco cos'è.
La Francia ha deciso di reagire all’ennesimo attacco informatico alla libertà individuale delle persone. Il 20 luglio il governo francese ha così annunciato di aver aperto ufficialmente una inchiesta per accertare se ci siano state violazioni a danno di cittadini francesi a opera di Pegasus. Non si parla, in questo caso, del mitologico cavallo alato, ma di un software concepito per aggirare le difese degli iPhone e degli smartphone Android e rubare foto, dati relativi alla localizzazione, post pubblici sui social oltre che registri di chiamata. Il programma può anche attivare la telecamera e il microfono dello smartphone carpendo conversazioni e immagini del proprietario del cellulare.
L’inchiesta intitolata ‘The Pegasus Project’, condotta dal consorzio giornalistico no profit Forbidden Stories, di cui fanno parte anche Le Monde, Il Guardian e il Washington Post, ha messo in luce un sistema di spionaggio, condotto da diversi governi in tutto il mondo, che ha coinvolto oltre 50mila cellulari appartenenti, tra gli altri, a un capo di stato e due capi di governo europei, principi e principesse, ambasciatori e generali, ma, soprattutto, centinaia di giornalisti, avvocati e persone impegnate nella difesa dei diritti umani.
Spiato anche Macron
Nella lista delle persone spiate compaiono anche Emmanuel Macron e Charles Michel, anche il presidente dell’Iraq Barham Salih, il presidente del Sud Africa Cyril Ramaphosa, il primo ministro del Pakistan Imran Khan, quello egiziano Mostafa Madbouly e quello del Marocco Saad-Eddine El Othmani. «Se i fatti emersi dovessero essere confermati, sarebbe ovviamente gravissimo - ha fatto sapere l’Eliseo -. Sarà fatta piena luce su queste rivelazioni di stampa». Anche Bruxelles ha avviato le sue indagini sull’utilizzo del software Pegasus definendo «inaccettabile» quanto emerso dalla inchiesta giornalistica.
Una particolare categoria di software
L’organizzazione Forbidden Stories e Amnesty International hanno vagliato migliaia di numeri di telefono di persone che, attraverso approfondite analisi tecniche e a un complicato incrocio di dati, sono risultate colpite dal software spia Pegasus. Gli spyware sono una particolare categoria di software che puntano a raccogliere le informazioni contenute nel dispositivo elettronico di un altro utente. Il catalogo è molto ampio e si va dai software più semplici, predisposti per sfruttare le lacune della sicurezza del dispositivo che si vuole forzare, ad altri più elaborati che si trovano anche al centro di un fiorente mercato privato che ha come acquirenti diversi Paesi al mondo.
Spesso tutto parte da un link
Gli spyware riescono ad accedere all’apparecchio generalmente attraverso una interazione con l’utente. Si tratta, in genere, di link ricevuti tramite email o WhatsApp o via social. Pegasus, nello specifico, è stato creato dalla NSO Group, una azienda israeliana famosa proprio per la produzione di spyware e può essere attivato, anche a distanza, senza bisogno di alcuna collaborazione da parte dell’utente bersaglio.
Tale prodotto viene presentato come uno strumento decisivo per la lotta contro il terrorismo e il crimine organizzato. Rimane il fatto che la maggior parte dei clienti della NSO si serva degli spyware per sorvegliare i propri oppositori politici, che siano giornalisti o semplici cittadini dissidenti.
La NSO
Fondata nel 2010, l’azienda vanta un pacchetto clienti di oltre 40 Paesi e uffici dislocati a Cipro e in Bulgaria, con oltre 700 dipendenti e un fatturato, stimato da Moody’s, in 240 milioni di dollari. Azionista di maggioranza risulta essere la Novalpina Capital, una società finanziaria avente sede a Londra.
Accuse «prive di fondamento»
Allo scoppio dello scandalo relativo all’attività di spionaggio condotto con l’utilizzo del proprio software, la NSO Group ha giudicato prive di fondamento le accuse mosse a loro danno in quanto, come esplicitamente dichiarato la società «non gestisce il software ceduto ai propri clienti e non ha elementi relative alle specifiche attività di intelligence». La società ha negato, inoltre, qualsiasi coinvolgimento nell’assassinio del giornalista Jamal Khashoggi, ucciso nel 2018, fornendo ampie garanzie che «continuerà a indagare su tutte le segnalazioni credibili di abuso e adotterà tutte le azioni appropriate sulla base dei risultati delle indagini in corso».
Un segreto di Pulcinella
Tra le misure che l’azienda si riserva di adottare, vi è anche la chiusura del sistema dei clienti che si dimostra aver agito in modo scorretto. Non può tuttavia tacersi il fatto che Israele protegga sistematicamente l’operato della NSO ed è fuor di dubbio che la maggior parte dei suoi clienti si servano di Pegasus per compiere dello spionaggio industriale, spiare i propri oppositori o sorvegliare l’operato di Paesi considerati ‘non amici’. Il grosso problema è che il diritto internazionale non inquadra, se non marginalmente, la vendita di questi software di spionaggio e in tal modo si alimenta un mercato oscuro che spinge centinaia di hacker a studiare nuove falle del sistema di sicurezza dei device per poi vendere, a prezzi esorbitanti, le proprie scoperte alla NSO o altre società simili.
Tra i Paesi europei ad averne fatto maggiormente le spese è stata la Francia con migliaia di numeri di telefono presi di mira proprio da un alleato storico quale il Marocco che, con pochi click, ha potuto colpire interi settori dell’apparato statale francese. L’Ungheria è stato tra i Paesi europei ad averne fatto un uso più massiccio, con oltre 300 persone spiate tra giornalisti investigativi, avvocati e sindaci di opposizione.
«Una vergogna»
«Questo scandalo è una vergogna per il nostro Paese», ha tuonato Gergely Karácsony, sindaco verde di Budapest e oppositore di Viktor Orbán alle prossime elezioni. Secondo il presidente della commissione di sicurezza nazionale del Parlamento, János Stummer, si tratta di un «Watergate ungherese», ma la sua volontà d'interrogare il governo in merito è stata ostacolata dal partito di maggioranza Fidesz, che ha sostenuto che «si tratta solo di false informazioni di stampa».
Giornalisti sotto controllo
Proprio in Ungheria, per esempio, il giornalista investigativo Szabolcs Panyi, è stato messo sotto controllo per le sue inchieste giornalistiche riguardanti anche il gruppo bancario russo International Investment Bank. In Arabia Saudita, un amico, e anche il figlio, del giornalista ucciso Jamal Khashoggi sono stati messi sotto sorveglianza mentre il software Pegasus è stato installato anche sul telefono della fidanzata del giornalista, Hatice Cengiz, appena quattro giorni dopo l’assassinio del compagno. In Arzebaijan, la giornalista investigativa Khadija Ismayilova, che indagava sulla famiglia del capo di stato, si è ritrovata con il telefono sotto controllo per tre anni mentre in India e in Pakistan, più di duemila giornalisti indiani e pachistani sono stati sorvegliati per due anni, tra il 2017 e il 2019.
Anche Edward Snowden, l’informatico statunitense che ha rivelato al mondo lo scandalo dei programmi di sorveglianza della Nsa, National Security Agency, ha posto l’accento sulla pericolosità di tali sistemi informatici. «Se possono fare la stessa cosa a distanza, con poco costo e nessun rischio, iniziano a farlo sempre contro tutti coloro che interessano anche marginalmente - ha affermato Snowden -. Se non si fa nulla per fermare la vendita di questa tecnologia, gli obiettivi non saranno più 50mila ma 50milioni di persone spiate. E questo accadrà molto più rapidamente di quanto ognuno di noi si aspetti».
«Come varianti del Covid»
Secondo Snowden, le società che producono spyware possono essere paragonate ad «una industria che produce solo varianti del Covid per schivare i vaccini. I loro unici prodotti sono vettori d'infezione. Non producono alcun tipo di protezione, Non producono il vaccino. L’unica cosa che producono è l’infezione». Secondo il noto informatico, non ci sarebbe modo di proteggere le persone contro tali sistemi di spionaggio e l’unica soluzione sarebbe quella di vietare la commercializzazione di tali software. Il pericolo di vedere i propri smartphone spiati è quindi tutt’altro che ipotetico e si fa sempre più vicino mano a mano che, software come Pegasus e altri affini, vedranno aumentare la propria commercializzazione priva di alcuna normativa a riguardo.