- Mentre l’Unione europea fa i conti con lo spyware israeliano Pegasus, intanto anche in Europa c’è chi sfrutta una vulnerabilità della rete telefonica per monitorare persone in tutto il mondo.
- Si tratta di una azienda italiana che offre i propri strumenti in tanti paesi, compresi quelli con una storia recente di corruzione e violazione dei diritti umani.
- Domani, con un’inchiesta guidata da Lighthouse Reports insieme a Irpimedia, Der Spiegel, Mediapart e EUobserver, è in grado di svelare per la prima volta la scala di queste operazioni.
L’Unione europea si è resa conto che il fatto che il fatto che il settore della sorveglianza sia fuori controllo è una minaccia, e al momento ha nel mirino l’azienda israeliana Nso e il suo spyware Pegasus. Ma mentre il Parlamento europeo si prepara a riprendere le sue audizioni sullo scandalo Pegasus, intanto un’ azienda di sorveglianza europea offre i propri strumenti in quasi tutto il mondo, inclusi paesi con una storia recente di corruzione e violazione dei diritti umani. Domani, con un’inchiesta guidata da Lighthouse Reports insieme a Irpimedia, Der Spiegel, Mediapart e EUobserver, è in grado di svelare per la prima volta la scala di queste operazioni.
L’azienda italiana
Tykelab, una compagnia italiana, è collegata a RCS Lab, la nota azienda di intercettazioni, e insieme stanno offrendo una potente tecnologia di sorveglianza a clienti dentro e fuori l’Ue. Vantano il fatto che in grado di «tracciare gli spostamenti di quasi chiunque abbia un telefono con sé, sia che si trovi a pochi isolati di distanza che in un altro continente».
Dati riservati da noi visionati, e fonti del settore delle telecomunicazioni, rivelano come le due aziende stiano usando diversi strumenti per tracciare e hackerare un dispositivo – inclusi attacchi alla rete telefonica e sofisticati malware che permettono l’accesso remoto a uno smartphone – contro vittime che si trovano nel sudest asiatico, in Africa, in America Latina e in Europa.
Eurodeputati, esperti di telecomunicazioni e attivisti per la privacy si dicono sgomenti, sottolineano i rischi per la privacy e la sicurezza, e chiedono ai governi di impegnarsi di più per regolare queste aziende europee. «Si tratta di una vicenda che riguarda un grande fornitore di spyware che viola la legge, e in questo caso risiede proprio in Europa», commenta la europarlamentare olandese Sophie In’t Veld. «È giunta l’ora che nell’Ue l’intera industria degli spyware, che al momento opera in una sorta di zona grigia di legalità, venga regolamentata e esposta completamente. È necessario imporre dei limiti altrimenti la nostra democrazia è rotta».
Le attività di Tykelab si sommano alle recenti rivelazioni che hanno investito il settore della sorveglianza. Lo scorso anno un consorzio di giornalisti ha rivelato che lo spyware Pegasus è stato usato contro giornalisti, attivisti e politici anche da paesi dell’Ue. Recentemente, spyware simili sono stati usati contro un giornalista e un politico in Grecia. Durante l’estate la Commissione Pega del Parlamento Ue ha audito esperti della società civile e ha messo alle strette un rappresentate di Nso durante un’audizione pubblica. Ma le attività di Tykelab mettono sotto i riflettori il ruolo dell’Europa stessa in questo scandalo che non si arresta.
Contattata per un commento, RCS Lab ha confermato di controllare Tykelab e che i propri «prodotti e servizi sono forniti alle forze dell’ordine a supporto delle attività di prevenzione e indagine nei casi di gravi reati come atti di terrorismo, commercio di droga, crimine organizzato, casi di abuso su minori, corruzione, eccetera». L’azienda ha dichiarato di seguire le leggi italiane e europee sull’export e che i propri dipendenti non sono autorizzati a svolgere attività operative a supporto dei clienti. RCS si è rifiutata di fornirne dettagli sui propri clienti.
Su larga scala
Esperti di sicurezza delle telecomunicazioni —disposti a parlare solo a condizione di garantirne l’anonimato per via del tema trattato — hanno raccontato di come Tykelab stia mettendo in atto una sorveglianza su larga scala. L’azienda ha noleggiato decine di punti di accesso alla rete (noti anche come global titles nel settore delle telecomunicazioni) da operatori telefonici legittimi in giro per il mondo e li sta usando per testare vulnerabilità nelle reti di vari paesi e per raccogliere di nascosto informazioni personali — in particolare la posizione delle persone connesse alla rete telefonica.
Le operazioni dell’azienda hanno coinvolto paesi come Libia, Nicaragua, Malesia e Pakistan — ma anche la stessa Italia e altri paesi dell’Unione europea.
«Stanno diventando sempre più attivi», dice un esperto che ha accesso a dati riservati del settore e che ha monitorato per mesi l’operato di Tykelab su diversi network. «Dall’inizio di quest’anno hanno aumentato il numero di attacchi e ora sono costanti».
Il quartier generale
Tykelab ha sede a Roma, in un palazzo in una zona residenziale non troppo distante dall’Eur. All’ingresso dell’edificio non c’è alcun logo dell’azienda: lo si intravede solo salendo al secondo piano, dietro una porta oscurata con bande orizzontali. Al campanello non risponde nessuno; secondo il portiere è per le ferie. Ma gli esperti di sicurezza l’hanno subito notata quando lo scorso anno hanno visto che inviava grandi quantità di traffico sospetto da un gruppo di reti telefoniche situate a 15 mila chilometri di distanza, nel sud del Pacifico. Questo era solo uno di una serie di diversi campanelli d’allarme.
Dati riservati visionati da Lighthouse Reports mostrano che, in un solo giorno del 2022, Tykelab ha usato un operatore telefonico — situato in un remoto arcipelago a est dell’Australia — per inviare migliaia di richieste sospette a un network in Malesia. Con queste richieste, che colpiscono una rete poco o per nulla protetta, è possibile scoprire la posizione di un cellulare. Sul dispositivo della vittima non rimane alcuna traccia e non ci sono modi per l’utente per prevenire questo attacco.
Colpiti e spiati
Ulteriori dati mostrano che, in un periodo di circa dieci giorni a giugno, l’azienda ha sfruttato undici diversi accessi alla rete telefonica provenienti da paesi nella regione del Pacifico per colpire persone che si trovano in Costa Rica, Nicaragua, Libia e Pakistan, ma anche Iraq, Mali, Macedonia, Grecia e Portogallo, oltre che la stessa Italia.
«Li vediamo testare le reti, cercando in maniera sistematica e insistente modi per bypassarne le protezioni, e li vediamo anche compiere palesi attacchi mirati per localizzare singoli individui», spiega l’analista che ha fornito il set di dati.
«Sebbene molti di questi attacchi abbiano lo scopo di forzare il rilascio di informazioni relative alla posizione, nel caso della Libia si notano attività coerenti con quelle necessarie a intercettare chiamate o sms», dice l’esperto. Spiega inoltre che oltre ai palesi casi di sorveglianza, l’azienda sembra interessata anche a esplorare in modo sistematico le vulnerabilità della rete telefonica mondiale. Una mappa delle attività dell’azienda mostra come in un periodo di due giorni a giugno Tykelab abbia testato le reti di quasi ogni paese del mondo. «Ci sono tutti i segni distintivi tipici di una scansione di grande portata con l’obiettivo di individuare quali sono le reti meno protette», dice.
Traffico indesiderato
Jean Gottschalk, fondatore e consulente di sicurezza dell’azienda statunitense Telecom Defense, che ha visionato le informazioni da noi ottenute, ha descritto i dati come «chiaramente traffico indesiderato». «I messaggi specifici osservati sono solitamente inviati da piattaforme di geolocalizzazione il cui obiettivo è monitorare gli spostamenti di target di alto interesse», spiega.
Le vulnerabilità nei protocolli di comunicazione sono note già dai primi anni successivi al 2010. Il Signaling System 7 (SS7) è un protocollo antiquato che tiene però ancora insieme le reti di comunicazione globale, permettendo agli operatori di sapere sempre dove si trova un proprio cliente quando è in viaggio ma che può essere sfruttato anche a fini di sorveglianza. Aziende specializzate offrono la possibilità di sfruttare queste vulnerabilità per conto dei clienti, che di solito sono forze dell’ordine o agenzie di intelligence. Alcuni gestori telefonici hanno introdotto sofisticati sistemi di firewall per contrastare queste minacce ai danni dei propri clienti. Ma in generale il settore reputa questo problema troppo difficile e costoso da risolvere.
L’allerta non basta
Dietro le quinte, però, i professionisti delle telecomunicazioni hanno iniziato a lanciare l’allarme riguardo le attività di Tykelab. Un report riservato destinato a un forum privato del settore attribuisce oltre 27mila attacchi da parte di Tykelab alla rete in alcune zone del continente africano, nel sudest asiatico e in Europa, tutte avvenute nella prima metà del 2022. E in Canada, secondo un’email da noi ottenuta, il Cyber Security Center (CCCS) del governo canadese ha recentemente identificato come «ad alto rischio per colpa di un uso malevolo» diversi punti di accesso alla rete di Tykelab.
I risultati del CCCS hanno fatto scattare una richiesta di scollegare parzialmente Tykelab da una piccola porzione di accessi alla rete telefonica globale. Ma secondo Pat Walshe, ex direttore del dipartimento privacy presso l’associazione di categoria della telefonia mobile GSMA, c’è da fare molto di più: «Queste rivelazioni richiedono un’indagine immediata da parte degli enti di controllo e azioni immediate dell’industria».
Uno degli esperti, che ha monitorato le attività di Tykelab, sottolinea come l’azienda stia lavorando chiaramente senza alcun rispetto per le norme del settore delle telecomunicazioni.
«Non c’è alcuna giustificazione per il fatto che un’azienda italiana utilizzi global titles dal sud del Pacifico per inviare pacchetti di dati con l’obiettivo di tracciare persone in Libia e Nicaragua - non c’è alcuna motivazione a parte quella più ovvia», ha dichiarato.
Schemi incrociati
Nessuna traccia sul sito web, eppure Tykelab è collegata a RCS. Il legame è emerso ufficialmente solo a dicembre 2021, quando un’altra azienda di intercettazioni, Cy4gate, ha deciso di acquisire tutto il gruppo societario di RCS, capitanato dalla holding Aurora S.p.A.. Prima dell’acquisizione Aurora ha preso il controllo di Tykelab e l’informazione è stata resa nota nei documenti di Cy4gate.
L’accesso di Tykelab al network telefonico ha permesso a RCS di offrire sofisticati servizi di intelligence ai propri clienti tramite un prodotto chiamato Ubiqo. Un opuscolo informativo di RCS descrive la possibilità di «tracciare gli spostamenti di quasi chiunque abbia un telefono con sé, sia che si trovi a pochi isolati di distanza che in un altro continente» e «generare informazioni analizzando pattern degli spostamenti, luoghi di incontro e durata». Queste informazioni «rivelano abitudini e pattern» e possono anche essere combinate con dati ottenuti dai social network.
L’azienda confida nell’espansione in mercati esteri, cosa che potrebbe essere facilitata dalle difficoltà che hanno colpito NSO.
Sempre più aggressivi
RCS è tra i leader italiani nel settore delle “intercettazioni legali” grazie al suo sistema di monitoraggio che collega l’infrastruttura telefonica italiana alle Procure. In parallelo, però, RCS si sta espandendo anche nel settore degli spyware con un proprio prodotto — dopo essere già stata rivenditrice dei software della controversa Hacking Team.
Queste nuove informazioni — insieme a altri recenti sviluppi — indicano che RCS sta investendo in un approccio più aggressivo al mercato globale della sorveglianza.
A giugno 2022, un report dell’azienda di sicurezza informatica Lookout e uno del Threat Analysis Group di Google hanno trovato tracce di RCS e Tykelab in uno spyware fino a quel momento sconosciuto, chiamato dai ricercatori Hermit, attivo in Italia ma anche in Kazakhstan — un paese con una lunga storia di attacchi informatici contro figure dell’opposizione e membri dell’élite. Lookout ha inoltre dichiarato di aver recentemente individuato un caso di attacco da parte di Hermit in Romania.
Le vittime installano Hermit dopo essere state persuase con link ricevuti tramite messaggio da quelli che sembrano essere i propri fornitori di servizi di telefonia. Sia Google che Lookout hanno pubblicato una lista di finti siti web utilizzati come esca per indurre le persone a scaricare il software spia. Alcuni di questi indirizzi fingono di impersonare Apple e Facebook, ma anche operatori telefonici italiani come Wind, TIM, Kena, Iliad e Ho Mobile. Un’ulteriore analisi, utilizzando il database di domini internet WhoIsXML, ha permesso di individuare un sito aggiuntivo che simula l’operatore Vodafone. RCS ha acquistato alcuni di questi domini a partire dal 2015 mentre i più recenti sono di marzo 2022.
Una volta installato, Hermit può registrare di nascosto l’audio in una stanza ma anche accedere ai contatti, foto, messaggi, eventi sul calendario e file salvati.
Accesso alle relazioni
Justin Albrecht, ricercatore del Threat Intelligence team di Lookout, ha dichiarato che nel caso di Hermit, malgrado i metodi di infezione siano meno sofisticati rispetto a quelli di Pegasus, le sue capacità sono simili.
«Pegasus e Hermit sono entrambi potenti strumenti di sorveglianza in grado di superare le protezioni di sicurezza di dispositivi Android e iOS con lo scopo di monitorare tutte le attività della vittima. Pressoché tutte le comunicazioni e i dati personali presenti su un dispositivo infettato da uno dei due malware sarebbero esposti al soggetto che sta gestendo la sorveglianza», dice Albrecht. «Questo tipo di spyware offre un accesso impareggiabile al network di relazioni della vittima, alle sue attività quotidiane e ai pattern della sua vita».
Tykelab però è solo una delle varie consociate di RCS controllate da Aurora. Anche un’altra azienda poco pubblicizzata, Azienda Informatica Italiana (Azinit), si occupa degli spyware di RCS. Dai documenti aziendali si legge che Azinit «si occupa di ricerca e sviluppo di servizi in supporto della Spyware unit». Dai profili social di attuali e ex dipendenti emerge un focus sullo sviluppo di software per le intercettazioni per iPhone e dispositivi Android. Un manager dell’azienda ha scritto di essersi dedicato al facilitare la vendita dei prodotti all’estero e che, il risultato, è stata la vendita sia in Italia che «in diversi paesi stranieri».
Il nuovo colosso delle intercettazioni Cy4gate-RCS punta a una continua espansione nel mercato estero. Le due aziende combinate hanno «relazioni commerciali con governi nell’area del Golfo, Asia centrale e America Latina», secondo quanto riportato in alcuni report di Cy4gate, con piani per «diversificare maggiormente la clientela grazie a un espansione del segmento corporate e rafforzando la nostra posizione all’estero».
Questa espansione però rischia di essere controversa e mettere RCS e la sua nuova proprietà sotto la lente d’ingrandimento.
Istituzioni e diritti
«Le autorità italiane che monitorano l’export devono confermare se stanno supervisionando l’azienda, verso quali clienti è stato concesso di vendere e i motivi per cui ritengono che ciò non rappresenti una minaccia chiara e diretta ai diritti delle persone nel mondo», dice Edin Omanovic, advocacy director dell’associazione Privacy International.
Interpellato da Domani, un portavoce del Ministero degli affari esteri, dicastero incaricato del rilascio delle licenze di export per questo tipo di tecnologie, dichiara che RCS era stata autorizzata all’export verso il Kazakhstan prima della fine del 2019, ma una successiva richiesta per una licenza temporanea è stata ritirata dall’azienda nel 2021 dopo un iniziale parere negativo del ministero; un anno prima di quando l’uso di Hermit è stato individuato da Lookout. Al momento non sono state fornite altre informazioni in merito agli altri paesi.
«Le tecnologie commerciali di cybersorveglianza vendute di nascosto a chiunque sia disposto a pagare sono una minaccia alla sicurezza globale per tutti noi, dentro e fuori dall’Unione europea», dice Markéta Gregorová, europarlamentare che si occupa di controllo delle esportazioni di tecnologie di sorveglianza. «Attivisti per i diritti umani e giornalisti sono torturati e uccisi per colpa di queste tecnologie».
L'inchiesta è coordinata da Lighthouse Reports in collaborazione con Der Spiegel, Domani, EUobserver, Irpimedia e Mediapart
© Riproduzione riservata
