Pegasus e non solo, come funziona il mercato dei virus che spiano e intercettano

Presidenti, uomini delle istituzioni, politici, oppositori, giornalisti, dirigenti d’azienda. Lo spyware Pegasus ha infettato i cellulari e raccolto informazioni di circa un migliaio di persone in giro per il mondo. Tra questi anche il presidente francese Emmanuel Macron e l’ex presidente del Consiglio italiano Romano Prodi, spiati dal Marocco. È la drammatica realtà che sta venendo a galla grazie al lavoro giornalistico di 17 testate internazionali – tra cui Guardian, Washington Post, Le Monde – che stanno collaborando al “Pegasus Project”, grazie ai dati messi a disposizione da Amnesty International e Forbidden Stories. Quello che sta emergendo però «è solo la punta dell’iceberg: Pegasus è un programma vecchio di dieci anni fa, l’ho utilizzato, ora siamo molto più avanti», come racconta a Domani un programmatore informatico di fama internazionale, che («per ovvie ragioni», ci dice) preferisce rimanere anonimo. Anche Prodi spiato con il software Pegasus da Marocco e Algeria Basta un numero Per chi lavora nel mondo dello spionaggio digitale, Pegasus è un sistema che ha già fatto il suo tempo: «Tra l’altro è semplicissimo da utilizzare, l’interfaccia è adatta anche a chi ha poca competenza. Credo fosse vendutissimo anche per questo». Oggi circolano da tempo sistemi molto più evoluti, che spesso non hanno bisogno nemmeno di una persona che stia dietro un computer a digitare e controllare lo spyware, ma che fanno tutto da soli grazie all’intelligenza artificiale e al machine learning, l’apprendimento automatico del software. «Bisogna ricordarsi inoltre che più un programma di questo tipo è conosciuto, meno è potente: le applicazioni più moderne, molto più efficaci di Pegasus per introdursi negli apparecchi digitali che si vogliono spiare, sono avvolte da segretezza assoluta. Il problema è che molti servizi di sicurezza dei paesi occidentali non sanno nemmeno della loro esistenza», spiega il programmatore. Così il Messico è diventato il laboratorio di Pegasus Protezione a caro prezzo Proteggersi da questo tipo di intrusione è quasi impossibile. «Ci sarebbe bisogno che nessuno conoscesse il tuo numero di telefono, che al giorno d’oggi è infattibile: in un modo o nell’altro è possibile trovarlo, e anche molto facilmente», dice il tecnico. Per questo motivo anche i più importanti rappresentanti delle istituzioni – come Macron e Prodi, appunto – diventano facili bersagli. I loro dispositivi però potrebbero essere protetti: «Esistono delle applicazioni che permettono di conoscere in tempo reale se su un dispositivo avvengono delle operazioni anomale, sintomo di un’intrusione, ma sono molto costose». Sul mercato, ci racconta il programmatore, si trovano per cifre che vanno dai 400mila ai 5 milioni di euro. Non proprio alla portata delle tasche di un semplice cittadino. Per entrare dentro uno smartphone serve conoscere i punti deboli del suo sistema operativo e un codice che permetta di sfruttarle. Ci sono società, attive soprattutto negli Emirati Arabi, che si occupano solo di questo e le rivendono a clienti selezionati, ma anche sui mercati online del dark web, disponibili a tutti, sempre che poi si sia in grado di utilizzarle. Il costo varia dal tipo di falla. Le più care sono le “zero day”, una vulnerabilità del sistema operativo appena scovata, non conosciuta nemmeno dai programmatori che l’hanno creato. In questo caso il codice può essere utilizzato fino a che l’errore nel sistema non viene riparato. Caccia agli hacker dei vaccini Armare il codice «Una volta comprati, questi codici vanno “armati”, gli va detto cosa devono fare: è come se un ladro comprasse la chiave di un appartamento da svaligiare, poi può decidere cosa, come e quanto rubare», spiega l’hacker. Lo spione quindi può sviluppare un programma, con un’interfaccia, che può vendere o utilizzare in prima persona. Lo spyware poi può essere più o meno caro anche per altre caratteristiche. Può essere “zero click”: significa che sfruttai “buchi” del sistema operativo senza che lo spiato debba cliccare su messaggi o link fasulli. Questo è il caso degli “one click”, come il trojan che ha infettato il cellulare del magistrato Luca Palamara: il programma spia entra nel dispositivo solo dopo un intervento attivo di chi subisce l’intrusione. C’è poi la persistenza dello spyware: se questo rimane nel dispositivo sempre, anche dopo il suo spegnimento, o se in questo caso si disattiva. Ci sono molte società che le comprano, per poi rivenderle. Il costo varia per il tipo di sistema operativo, o di programma: il listino prezzi ha dei costi stellari. Da quanto ha potuto verificare Domani, un codice per uno “one click” per i sistemi operativi Windows costa 500mila euro. Lo stesso, per iOS di Apple ha un prezzo che oscilla tra 1,5 e 2 milioni di euro, ma per uno “zero click” si può arrivare fino a 5 milioni. Per Android non esiste invece un codice universale, ma se esistesse forse potrebbe venire pagato oltre i 10 milioni di euro. Esistono però dei codici per le varie versioni, con un prezzo sul mercato che varia dai 300mila a 1,5 milioni di euro. «Chi trova questi codici e chi crea i programmi per utilizzarli è sempre un passo avanti a chi cerca un modo per difendersi», continua il programmatore. «Chiunque utilizzi qualsiasi tipo di dispositivo elettronico, oggi è un possibile target: i dati rubati possono essere utilizzati in tantissimi modi. Anche quelli delle persone comuni, non solo quelli dei Macron o dei Prodi». Cos’è Pegasus, il software usato dai governi per spiare i giornalisti Non solo Pegasus Gli spyware non sono utilizzati solo da chi vuole carpire illegalmente informazioni riservate, avere accesso a chat, telefonate, immagini, localizzazione, di persone da sfruttare per trarne un qualche profitto. In Italia questi software sono utilizzati anche dalle procure e dagli investigatori nel corso delle indagini contro presunti mafiosi o corrotti. Il caso più celebre degli ultimi tempi è quello del pm ed ex presidente dell’Associazione nazionale magistrati Luca Palamara, che proprio ieri è stato rinviato a giudizio con l’accusa di corruzione dai giudici del tribunale di Perugia. Sul cellulare del magistrato, nel maggio del 2019, è stato installato un trojan “one click”: aveva aperto e cliccato su un falso link inviatogli dal suo operatore telefonico. Da quel momento, gli investigatori hanno avuto accesso a tutte le informazioni presenti sul suo smartphone: messaggi e chat di WhatsApp che hanno fatto e stanno ancora facendo tremare la magistratura italiana. Un altro caso degli ultimi anni è quello dei fratelli Giulio e Francesca Occhionero: sono stati condannati in primo grado nel 2018 a 5 e 4 anni di reclusione per aver avuto accesso a 3,5 milioni di mail di oltre 6mila persone. I due fratelli avevano preso di mira i computer di Camera e Senato, dei ministeri degli Esteri e della Giustizia, del Partito democratico, di Finmeccanica e Bankitalia. Inoltre avrebbero tentato di avere accesso alle e-mail dell’allora presidente del Consiglio Matteo Renzi, del suo predecessore Mario Monti, e di quello attuale – a quei tempi numero uno della Banca centrale europea – Mario Draghi. Il virus che hanno utilizzato permetteva di colpire i computer attraverso un messaggio e-mail, che poi immagazzinava le informazioni rubate in un server negli Stati Uniti. Nessuno è al sicuro.