Articoli

Guerra ibrida e app spia: il ritorno di Pegasus e l’uso degli spyware nel cyberspionaggio

Si torna a parlare di Pegasus, l’app spia che può consentire ad un attaccante di compromettere i dispositivi mobile sfruttando una vulnerabilità zero-day presente in WhatsApp: a quanto pare, infatti, tra aprile e maggio del 2019 il Presidente del Parlamento catalano, Roger Torrent, ha subìto un attacco a causa di una falla nella sicurezza di WhatsApp creata da una società israeliana creatrice, appunto, del famigerato malware di spionaggio.

Amnesty International ha avviato una causa legale contro la piattaforma social tra le più usate al mondo per altri numerosi attacchi contro attivisti, politici e giornalisti. In questo caso il ricorso è stato respinto dal tribunale di Tel Aviv, nonostante secondo il gruppo di ricerca canadese Citizen Lab e testate giornalistiche come The Guardian, El País e il Washington Post, Pegasus sia stato usato nel settembre 2019 per entrare nel telefono di Omar Radi, giornalista investigativo marocchino, in quello di Bezos, di Jamal Khashoggi, Omar Abdulaziz e molti altri, tra cui un giornalista del New York Times, Ben Hubbard, e Osama Bin Laden.

Nuovi scenari

Tutti questi avvenimenti confermano che la maggior parte degli attacchi, oggi, si concentra sulla necessaria connessione degli oggetti con l’uomo e sui servizi che i device mobile di fatto ci “invitano” ad utilizzare. D’altronde, siamo nel pieno dell’epoca della IoT o meglio della Internet del Tutto. Ormai, come più volte detto, questa situazione è definita dai più guerra ibrida o ancora guerra informatica aperta.

Oggi non si rende necessario un attacco di tipo fisico per generare danni, ma sono possibili anche quelli informatici su PC, dispositivi e, in generale, sulle infrastrutture critiche. Questo perché, toccando anche un solo servizio da remoto, si ha il cosiddetto effetto a cascata che, nella maggior parte dei casi, ha lo scopo da una parte di creare disagi e mettere in ginocchio interi Paesi, dall’altra di fare attività di spionaggio, carpendo segreti e relazioni per anticipare le mosse o per diffamare taluni personaggi o Nazioni intere.

In tal senso la vera novità è che, attraverso i device, si possono fare indagini giudiziarie e ricostruire movimenti dei malintenzionati.

Queste grandi opportunità si stanno spostando sui dispositivi anche in termini negativi. Le app e i servizi di messaggistica, pur avendo paradossalmente la tanto decantata crittografia end-to-end, risultano essere i più prossimi ad essere “bucati” e spiati. Anche qui con attacchi asimmetrici: ovvero, basandosi sull’etimologia stessa della parola (a-syn-métron), “incommensurabile”, “non reciprocamente misurabile”.

Un mix di strategie e strumenti che punta alla debolezza della società e delle persone da attaccare. Lo sviluppo di nuovi software collima, senza precedenti, con l’analisi dei dati e la capacità di mappare, controllare e spiare le conversazioni. Qui, oggi, la faccenda torna prepotentemente in casi reali e sociali e si fa più delicata e chirurgica.

Pegasus: come funziona lo spyware e come avviene l’attacco?

Come si evince dalle notizie che si rincorrono in questo periodo, al di là della natura geopolitica e di riflessione più ampia dello spionaggio dei servizi segreti, la diversa natura degli attori si mescola con più mezzi impiegati, costruendo un puzzle e dei target precisi da attaccare.

Questi strumenti sembrano nascere per l’antiterrorismo e per capire come prevenire eventi di natura malevola. Ma, nel caso di Pegasus, la labile differenza tra legittimità o meno di capire le mosse di chi potrebbe fare delle azioni negative e lo spionaggio vero e proprio (per anticipare le mosse di qualsiasi avversario) o la violenza e prevaricazione della privacy, è davvero minima.

L’attività di spionaggio a fini benevoli, in realtà, non è stata mai contraddetta dalla NSO israeliana. Questi ultimi hanno sempre sostenuto che il software spia è nato per le agenzie governative e le forze dell’ordine per gestire e garantire la pubblica sicurezza e la lotta al terrorismo. Ma dopo questo scandalo qualcosa ci fa pensare che non sia così.

L’attacco viene avviato mediante un’esca. Ovvero l’intrusione, nel caso degli smartphone, avviene tramite una videochiamata (prevalentemente su WhatsApp) in cui non serve che la vittima risponda. Lo spyware entra in azione e, attraverso la finta chiamata, come detto, sfruttando tecniche di phishing, di social engineering e la navigazione Web, riesce ad “entrare” nel dispositivo e può attivare l’ascolto delle conversazioni, vedere i contenuti archiviati nella memoria interna, scattare foto e altro. Lo scopo dello spyware è spiare i movimenti della vittima, fino all’uso “discreto” del microfono per una sua costante geolocalizzazione.

Questa attività si unisce con un’attività molto più sofisticata: la cosiddetta spia silente. Ovvero, mentre stiamo navigando su un qualsiasi sito dal browser o da motori di ricerca, prevalentemente su siti HTTP, questa spia ha la capacità di reindirizzare la nostra ricerca su siti ulteriori che a loro volta aprono degli indirizzi mirati, a cui si aggancia automaticamente il software: può trattarsi di servizi degli operatori e quindi inviti a scaricare app, suonerie e offerte oppure dell’infrastruttura su cui poggia il device fisico, ossia antenne, ponti e ripetitore di aggancio.

Gli “injection attacks”

Questi attacchi si chiamano injection attacks e, appunto, reindirizzano le preferenze dell’utente ad un proprio database. Attraverso lo StingRay (International Mobile Subscriber Identity), in pochi secondi il telefono aggancia un ripetitore fittizio in cui viene “poggiato” il software spia o un intercettatore ad alto rendimento.

Lo StingRay è un apparato sviluppato già nei primi anni 90 per attività di intelligence. L’FBI ne fa un uso costante per la prevenzione del crimine a livello internazionale. L’apparecchio, quindi, consente di captare e rubare il traffico dei device abbinando i dati delle conversazioni con quelli degli spostamenti. Non a caso molti esperti sostengono che siano presenti in aerei militari USA.

Tale apparato fa da antenna tra il cellulare della vittima e i ripetitori delle compagnie telefoniche, interrompe il traffico per pochi secondi per installare il software e da qui può risalire anche all’IMEI, International Mobile Equipment Identity.

Facendo ciò, oltre che ascoltare e leggere tutti i tipi di comunicazione, il dispositivo fa anche da “router”. Ovvero riesce a “sniffare” per un certo numero di metri e chilometri altri device che, anche se non connessi direttamente con quello della persona presa in considerazione, vengono intercettati, con conseguente acquisizione di dati.

Il software interno utilizzato per l’operazione è FishHawk e permette anche di far funzionare l’apparato come “jammer”, ovvero un disturbatore che può “copiare”, “distruggere” e “sopprimere” le comunicazione tra i ripetitori e i device collegati.

Conclusioni

La partita si svolge sempre più verso lo studio delle reti. Ovvero di intrusione che sfrutta vulnerabilità sconosciute (zero-day) e, senza che ci sia un reale intervento dell’utente, viene iniettato uno spyware sui telefoni Android e iOS di alcuni target.

In questo caso, il ruolo delle intelligence internazionali si sta modificando ulteriormente: sta diventando, oltre che una fucina per attivare una serie di controlli per evitare attacchi, anche un monitoraggio incrociato sui propri software e sui fornitori di questi servizi perché questi stessi software in un attimo possono diventare, se non utilizzati in maniera consona, boomerang sulle vite delle persone.

 

Fonte: CyberSecurity360