Come lo spyware mercenario minaccia la democrazia
Ronald J. Deibert Ronald J. Deibert è professore di Scienze politiche e direttore del Citizen Lab presso la Munk School of Global Affairs and Public Policy dell’Università di Toronto.
Come lo spyware mercenario minaccia la democrazia
Nell’estate del 2020, un complotto ruandese per catturare il leader dell’opposizione in esilio Paul Rusesabagina ha attirato i titoli internazionali. Rusesabagina è meglio conosciuto come il difensore dei diritti umani e il destinatario della Medaglia Presidenziale della Libertà degli Stati Uniti che ha ospitato più di 1.200 hutu e tutsi in un hotel durante il genocidio ruandese del 1994. Ma nei decenni successivi al genocidio, divenne anche un importante critico statunitense del presidente ruandese Paul Kagame. Nell’agosto 2020, durante una sosta a Dubai, Rusesabagina è stato attirato con falsi pretesti a bordo di un aereo diretto a Kigali, la capitale del Ruanda, dove le autorità governative lo hanno immediatamente arrestato per la sua affiliazione a un gruppo di opposizione. L’anno successivo, un tribunale ruandese lo condannò a 25 anni di carcere, attirando la condanna dei gruppi internazionali per i diritti umani, del Parlamento europeo e del Congresso degli Stati Uniti.
Meno notato all’epoca, tuttavia, era che questa sfacciata operazione transfrontaliera potrebbe anche aver impiegato una sorveglianza digitale altamente sofisticata. Dopo la condanna di Rusesabagina, Amnesty International e il Citizen Lab dell’Università di Toronto, un gruppo di ricerca sulla sicurezza digitale che ho fondato e diretto, hanno scoperto che gli smartphone appartenenti a diversi membri della famiglia di Rusesabagina che vivevano anche all’estero erano stati hackerati da un avanzato programma spyware chiamato Pegasus. Prodotto dal gruppo israeliano NSO, Pegasus offre a un operatore un accesso quasi totale ai dati personali di un target. L’analisi forense ha rivelato che il telefono appartenente alla figlia di Rusesabagina, Carine Kanimba, era stato infettato dallo spyware nel periodo in cui suo padre era stato rapito e di nuovo quando stava cercando di ottenere il suo rilascio e stava incontrando funzionari di alto livello in Europa e il Dipartimento di Stato degli Stati Uniti, incluso l’inviato speciale degli Stati Uniti per gli affari degli ostaggi. NSO Group non identifica pubblicamente i suoi clienti governativi e il governo ruandese ha negato l’uso di Pegasus, ma forti prove circostanziali indicano il regime di Kagame.
In realtà, l’incidente è solo uno dei dozzine di casi in cui Pegasus o altre tecnologie spyware simili sono state trovate sui dispositivi digitali di importanti figure politiche dell’opposizione, giornalisti e attivisti per i diritti umani in molti paesi. Fornendo la possibilità di infiltrarsi clandestinamente anche negli smartphone più aggiornati—l’ultima versione “zero click” dello spyware può penetrare in un dispositivo senza alcuna azione da parte dell’utente-Pegasus è diventato lo strumento di sorveglianza digitale di scelta per i regimi repressivi di tutto il mondo. È stato usato contro i critici del governo negli Emirati Arabi Uniti (EAU) e contro i manifestanti pro-democrazia in Thailandia. È stato schierato dall’Arabia Saudita di Mohammed bin Salman e dall’Ungheria di Viktor Orban.
Ma l’uso di spyware è difficilmente limitato agli autoritari del mondo. Come hanno rivelato i ricercatori, negli ultimi dieci anni molte democrazie, tra cui Spagna e Messico, hanno iniziato a utilizzare spyware, in modi che violano le norme ben consolidate sui diritti umani e la responsabilità pubblica. Documenti del governo degli Stati Uniti divulgati dal New York
Il Times nel novembre 2022 mostra che l’FBI non solo ha acquisito servizi spyware da NSO, possibilmente per scopi di controspionaggio, ma ha anche contemplato la loro distribuzione, anche su obiettivi statunitensi. (Un portavoce dell’FBI ha detto al Times che ” non c’è stato alcun uso operativo del prodotto NSO per supportare qualsiasi indagine dell’FBI.”)
L’avvento dello spyware avanzato ha trasformato il mondo dello spionaggio e della sorveglianza. Riunendo una gran parte non regolamentata
con un ecosistema digitale invasivo-by-design in cui smartphone e altri dispositivi personali contengono i dettagli più intimi della vita delle persone, la nuova tecnologia può tracciare quasi chiunque, ovunque nel mondo. I governi ne hanno preso atto. Per Israele, che approva le licenze di esportazione per Pegasus del Gruppo NSO, la vendita di spyware a governi stranieri ha portato nuovo peso diplomatico in paesi disparati come India e Panama; un’indagine del New York Times ha scoperto che gli accordi NSO hanno aiutato il primo ministro israeliano Benjamin Netanyahu a sigillare gli accordi di Abraham con Bahrain, Marocco e Emirati Arabi Uniti. A loro volta, gli stati clienti hanno usato Pegasus contro non solo gruppi di opposizione, giornalisti e organizzazioni non governative (ONG), ma anche rivali geopolitici. Nel 2020 e nel 2021, il Citizen Lab ha scoperto che diversi dispositivi appartenenti a funzionari del Foreign Commonwealth and Development Office del Regno Unito erano stati hackerati con Pegasus e che un cliente di NSO Group negli Emirati Arabi Uniti aveva utilizzato lo spyware per infiltrarsi in un dispositivo situato al 10 di Downing Street, la residenza del primo ministro britannico. Nel novembre 2021, il gigante tecnologico Apple ha notificato a 11 membri dello staff dell’ambasciata degli Stati Uniti in Uganda che i loro iPhone erano stati hackerati con Pegasus.
In risposta a queste rivelazioni, le aziende di spyware hanno generalmente negato la responsabilità per gli abusi dei loro clienti o hanno rifiutato di commentare. In una dichiarazione al New Yorker nell’aprile 2022, NSO Group ha dichiarato: “Abbiamo ripetutamente collaborato con indagini governative, in cui le accuse credibili meritano, e abbiamo imparato da ciascuno di questi risultati e rapporti e migliorato le garanzie nelle nostre tecnologie.”La società israeliana ha anche affermato che la sua tecnologia è progettata per aiutare i governi a indagare sulla criminalità e sul terrorismo. Ma lo spyware avanzato è ora implicato in violazioni dei diritti umani e spionaggio interstatale in dozzine di paesi, e le aziende di spyware hanno pochi obblighi legali o incentivi per la trasparenza pubblica o la responsabilità. NSO Group non ha fornito alcuna informazione specifica per contrastare le prove dettagliate degli abusi del Citizen Lab.
Le conseguenze della rivoluzione spyware sono profonde. Nei paesi con poche risorse, le forze di sicurezza possono ora perseguire operazioni high-tech utilizzando la tecnologia off-the-shelf che è quasi facile da acquisire come cuffie da Amazon. Tra le democrazie, la tecnologia è diventata uno strumento irresistibile che può essere distribuito con poca supervisione; solo nell’ultimo anno, le agenzie di sicurezza in almeno quattro
Con gli spyware, i governi possono fermare le proteste prima che si verifichino.
I paesi europei-Grecia, Ungheria, Polonia e Spagna—sono stati coinvolti in scandali in cui le agenzie statali sono state accusate di dispiegare spyware contro giornalisti e esponenti dell’opposizione politica. Un mercato globale di spyware significa anche che le forme di sorveglianza e spionaggio che una volta erano limitate a poche grandi potenze sono ora disponibili per quasi tutti i paesi e potenzialmente anche per più aziende private. Lasciata non regolamentata, la proliferazione di questa tecnologia minaccia di erodere molte delle istituzioni, dei processi e dei valori da cui dipende l’ordine internazionale liberale.
Noi spiare per voi
La rivoluzione degli spyware è emersa come un sottoprodotto di una notevole convergenza di sviluppi tecnologici, sociali e politici negli ultimi dieci anni. Gli smartphone e altri dispositivi digitali sono vulnerabili alla sorveglianza perché le loro applicazioni spesso contengono difetti e perché trasmettono continuamente dati attraverso reti cellulari e Internet non sicure. Sebbene i produttori di queste piattaforme tecnologiche impieghino ingegneri per trovare e correggere le vulnerabilità, tendono a dare priorità allo sviluppo del prodotto rispetto alla sicurezza. Scoprendo e armando “zero days”—difetti del software che sono sconosciuti ai loro progettisti—le aziende di spyware sfruttano l’insicurezza intrinseca del mondo dei consumatori digitali.
Ma la straordinaria crescita del mercato degli spyware è stata anche guidata da diverse tendenze più ampie. In primo luogo, spyware sfrutta una cultura digitale globale che si forma intorno always-on, smartphone sempre connessi. Hackerando un dispositivo personale, lo spyware può fornire ai suoi operatori l’intero modello di vita di un utente in tempo reale. In secondo luogo, lo spyware offre alle agenzie di sicurezza un modo elegante per aggirare la crittografia end-to-end, che è diventata una barriera crescente ai programmi di sorveglianza di massa del governo che dipendono dalla raccolta di dati di telecomunicazioni e Internet. Entrando nel dispositivo di un utente, lo spyware consente ai suoi operatori di leggere i messaggi o ascoltare le chiamate prima che siano state crittografate o dopo che sono state decrittografate; se l’utente può vederlo sullo schermo, lo spyware può farlo. Un terzo fattore che ha guidato la crescita del settore è stato l’aumento dei movimenti di protesta abilitati digitalmente. Sconvolgimenti popolari come le rivoluzioni colorate negli stati ex sovietici nel primo decennio di questo secolo e la Primavera araba nel 2010-11 hanno colto di sorpresa molti autocrati, e gli organizzatori hanno spesso usato i telefoni per mobilitare i manifestanti. Offrendo un modo quasi divino per entrare nelle reti di attivisti, spyware ha aperto
un nuovo potente metodo per i governi per monitorare il dissenso e adottare misure per neutralizzarlo prima che si verifichino grandi proteste.
Infine, l’industria dello spyware è stata alimentata anche dalla crescente privatizzazione della sicurezza nazionale. Proprio come i governi si sono rivolti a appaltatori privati per operazioni militari complicate o controverse, hanno scoperto che possono esternalizzare la sorveglianza e lo spionaggio a attori privati meglio equipaggiati e meno visibili. Come i soldati di fortuna, le società di spyware avanzati tendono a mettere i ricavi davanti all’etica, vendendo i loro prodotti senza riguardo per la politica dei loro clienti—dando origine al termine “spyware mercenario”—e come gli appaltatori militari, i loro rapporti con le agenzie di sicurezza governative sono spesso ammantati di segretezza per evitare il controllo pubblico. Inoltre, proprio come gli appaltatori militari hanno offerto lucrative carriere nel settore privato per i veterani delle agenzie militari e di intelligence, le aziende di spyware e i servizi di sicurezza governativi hanno costruito partnership altrettanto reciprocamente vantaggiose, stimolando l’industria nel processo. Molti membri senior del Gruppo NSO, ad esempio, sono veterani dell’intelligence israeliana, incluso il Direttorato dell’intelligence militare d’élite.
Anche se la mancanza di trasparenza ha reso l’industria dello spyware mercenario difficile da misurare, i giornalisti hanno stimato che valga circa billion 12 miliardi all’anno. Prima delle recenti battute d’arresto finanziarie causate da un numero crescente di cause legali, NSO Group è stato valutato a 2 2 miliardi e ci sono altri importanti attori nel mercato. Molte aziende ora producono sofisticati spyware, tra cui Cytrox (fondata in Macedonia del Nord e ora con operazioni in Ungheria e Israele), Cyberbit e Candiru con sede in Israele, Hacking Team con sede in Italia (ora defunto) e il gruppo anglo-tedesco Gamma. Ognuna di queste aziende può ipoteticamente servire numerosi clienti. I governi che sembrano aver utilizzato lo spyware Predator di Cytrox, ad esempio, includono Armenia, Egitto, Grecia, Indonesia, Madagascar e Serbia. Nel 2021, il segretario alla sicurezza e alla sicurezza pubblica del Messico, Rosa Icela Rodríguez, ha dichiarato che le precedenti amministrazioni messicane avevano firmato più contratti con NSO Group, per un totale di 61 milioni di dollari, per acquistare spyware Pegasus e, come hanno dimostrato ricercatori messicani e internazionali, il governo ha continuato a utilizzare Pegasus nonostante le assicurazioni pubbliche dell’attuale leadership che non lo avrebbe fatto. (Nell’ottobre 2022, il presidente messicano Andrés Manuel López Obrador ha negato i risultati, affermando che la sua amministrazione non stava usando lo spyware contro giornalisti o oppositori politici.)
Sulla base di tali accordi lucrativi, le aziende di spyware hanno goduto del sostegno di importanti fondi di private equity, come il San Francisco
Francisco Partners e la londinese Novalpina Capital, rafforzando così le loro risorse. Francisco Partners, che aveva una partecipazione di controllo in NSO Group per cinque anni, ha dichiarato a Bloomberg News nel 2021: “[Siamo] profondamente impegnati in pratiche commerciali etiche e valutiamo tutti i nostri investimenti attraverso questa lente. Novalpina, che insieme ai fondatori di NSO ha acquisito la partecipazione di Francisco Partners nel 2019, ha dichiarato che avrebbe portato la società di spyware “in pieno allineamento con i principi guida delle Nazioni Unite su affari e diritti umani”, ma le rivelazioni sugli abusi di Pegasus sono continuate, e la corrispondenza pubblicata da The Guardian nel 2022 ha indicato che Novalpina ha cercato di screditare i critici del Gruppo NSO, incluso questo autore. (Gli avvocati di Novalpina hanno detto al Guardian che si trattava di “accuse tenue e infondate.”) Dopo una disputa tra i soci fondatori di Novalpina, l’azienda ha perso la sua partecipazione di controllo in NSO Group nel 2021.
Ma l’industria dello spyware include anche aziende molto meno sofisticate in paesi come l’India, le Filippine e Cipro. Come l’equivalente di sorveglianza di negozi di riparazione telefono strip-mall, tali abiti possono mancare la capacità di identificare zero giorni, ma possono ancora raggiungere gli obiettivi attraverso mezzi più semplici. Possono utilizzare il phishing delle credenziali-utilizzando falsi pretesti, spesso via e—mail o messaggi di testo, per ottenere le password digitali di un utente o altre informazioni personali sensibili-o possono semplicemente acquistare vulnerabilità del software da altri hacker sul mercato nero. E queste imprese più piccole possono essere più disposte a intraprendere operazioni illegali per conto di clienti privati perché si trovano al di fuori della giurisdizione in cui risiede una vittima o perché l’esecuzione è lassista.
È difficile sopravvalutare la portata e la potenza degli ultimi spyware commerciali. Nelle sue forme più avanzate, può infiltrarsi silenziosamente in qualsiasi dispositivo vulnerabile in qualsiasi parte del mondo. Prendi l’exploit zero-day, zero-click che i ricercatori del Citizen Lab hanno scoperto nel 2021 su un iPhone infetto da Pegasus. Utilizzando l’exploit, che i ricercatori hanno chiamato ForcedEntry, un operatore di spyware può intercettare surrettiziamente testi e telefonate, comprese quelle crittografate da app come Signal o WhatsApp; accendere il microfono e la fotocamera dell’utente; tracciare i movimenti attraverso il GPS di un dispositivo; e raccogliere foto, note, contatti, e-mail e documenti. L’operatore può fare quasi tutto ciò che un utente può fare e di più, tra cui riconfigurare le impostazioni di sicurezza del dispositivo e acquisire i token digitali che vengono utilizzati per accedere in modo sicuro agli account cloud in modo che la sorveglianza su un bersaglio possa continuare anche dopo che l’exploit è stato rimosso da un dispositivo, il tutto senza la consapevolezza del bersaglio. Dopo che il Citizen Lab ha condiviso il ForcedEntry di Pegasus
con gli analisti di Apple e Google, gli analisti di Google lo hanno descritto come “uno degli exploit tecnicamente più sofisticati che abbiamo mai visto“, notando che forniva funzionalità che ” in precedenza si pensava fossero accessibili solo a una manciata di stati nazionali.”
Sparare ai messaggeri
Negli ultimi dieci anni, l’ascesa di regimi autoritari in molte parti del mondo ha sollevato nuove domande sulla durata dell’ordine internazionale liberale. Come è stato ampiamente notato, molte élite al potere sono state in grado di scivolare verso l’autoritarismo limitando o controllando il dissenso politico, i media, i tribunali e altre istituzioni della società civile. Tuttavia, è stata prestata molta meno attenzione al ruolo pervasivo dell’industria dello spyware mercenario in questo processo. Questa negligenza è in parte il risultato di quanto poco sappiamo sullo spyware, inclusa, in molti casi, l’identità delle agenzie governative specifiche che lo utilizzano. (Data la natura segreta delle transazioni spyware, è molto più facile identificare le vittime rispetto agli operatori. Non vi è dubbio, tuttavia, che lo spyware è stato utilizzato per degradare sistematicamente le pratiche e le istituzioni liberal-democratiche.
Uno degli usi più frequenti della tecnologia è stato quello di infiltrarsi nei movimenti di opposizione, in particolare in vista delle elezioni. I ricercatori hanno identificato casi in cui figure dell’opposizione sono state prese di mira, non solo in stati autoritari come l’Arabia Saudita e gli Emirati Arabi Uniti, ma anche in paesi democratici come l’India e la Polonia. In effetti, uno dei casi più eclatanti è sorto in Spagna, una democrazia parlamentare e membro dell’Unione europea. Tra il 2017 e il 2020, il Citizen Lab ha scoperto che Pegasus è stato utilizzato per intercettare una vasta sezione trasversale della società civile e del governo catalani.Gli obiettivi includevano ogni membro catalano del Parlamento europeo che ha sostenuto l’indipendenza per la Catalogna, ogni presidente catalano dal 2010 e molti membri degli organi legislativi catalani, tra cui più presidenti del parlamento catalano. In particolare, alcuni degli obiettivi hanno avuto luogo in mezzo a delicati negoziati tra il governo catalano e quello spagnolo sul destino dei sostenitori dell’indipendenza catalana che sono stati imprigionati o in esilio. Dopo che i risultati hanno attirato l’attenzione internazionale, Paz Esteban, il capo del Centro di intelligence nazionale spagnolo, ha riconosciuto ai legislatori spagnoli che lo spyware era stato usato contro alcuni politici catalani, ed Esteban è stato successivamente licenziato. Ma non è ancora chiaro quale agenzia governativa fosse responsabile e quali leggi, se ce ne sono, siano state utilizzate per giustificare un’operazione di spionaggio nazionale così estesa.
In alcuni paesi, lo spyware si è dimostrato altrettanto efficace contro i giornalisti che stanno indagando su coloro che sono al potere, con conseguenze di vasta portata sia per gli obiettivi che per le loro fonti. Nel 2015, diversi dispositivi appartenenti alla giornalista messicana Carmen Aristegui e un membro della sua famiglia sono stati inviati Pegasus exploit link mentre stava indagando sulla corruzione che coinvolge l’allora presidente messicano Enrique Peña Nieto. Non esiste una pistola fumante che identifichi la parte responsabile, anche se forti prove circostanziali suggeriscono un’agenzia governativa messicana. Nel 2021, un giornalista ungherese che indagava sulla corruzione nella cerchia ristretta del presidente Viktor Orban è stato hackerato con Pegasus. (Il governo ungherese ha successivamente riconosciuto di aver acquistato la tecnologia.) E quello stesso anno, il cellulare del corrispondente del New York Times per il Medio Oriente Ben Hubbard fu infettato da Pegasus mentre stava lavorando a un libro sul leader de facto dell’Arabia Saudita, il principe ereditario Mohammed bin Salman.
Quasi altrettanto frequentemente, lo spyware è stato utilizzato per minare i funzionari giudiziari e le organizzazioni della società civile che stanno cercando di chiedere conto ai governi. Prendiamo il caso di Alberto Nisman, un noto procuratore anticorruzione argentino che stava indagando su una presunta cospirazione criminale da parte di funzionari argentini di alto livello. Nel gennaio 2015, Nisman è stato trovato morto in circostanze sospette—la sua morte è stata poi dichiarata un omicidio—il giorno prima doveva fornire testimonianza al Congresso implicando l’allora presidente dell’Argentina Cristina Fernández de Kirchner e il suo ministro degli esteri, Héctor Timerman, in un insabbiamento del presunto coinvolgimento iraniano nell’attentato del 1994 di un centro ebraico a Buenos Aires. Più tardi quell’anno, il Citizen Lab ha documentato come un gruppo sudamericano di hack-for-hire fosse stato ingaggiato per colpire Nisman con spyware prima della sua morte, suggerendo che qualcuno al potere era desideroso di scrutare nelle sue indagini. In Messico nel 2017, una o più agenzie governative ancora sconosciute hanno utilizzato lo spyware Pegasus contro gruppi per i diritti umani e investigatori internazionali che stavano rintracciando potenziali insabbiamenti governativi della famigerata scomparsa e del macabro omicidio di 43 studenti a Iguala, in Messico. Rapporti successivi hanno mostrato che il governo messicano aveva malamente pasticciato le indagini e che il governo
Un leader dell’opposizione egiziana è stato preso di mira da due diversi governi.
il personale è stato coinvolto in un insabbiamento-scoperte che non sarebbero mai venute alla luce senza gli sforzi dei cani da guardia della società civile.
Altri obiettivi comuni di Pegasus sono avvocati coinvolti in casi importanti o politicamente sensibili. Nella maggior parte delle democrazie liberali, il privilegio avvocato-cliente è sacrosanto. Eppure il Citizen Lab ha identificato una varietà di casi in cui lo spyware è stato utilizzato per hackerare o indirizzare i dispositivi degli avvocati. Nel 2015, la tattica è stata usata contro due avvocati in Messico che rappresentavano le famiglie di Nadia Vera, una critica del governo uccisa e sostenitrice dei diritti delle donne. Più recentemente, diversi avvocati che rappresentano importanti catalani sono stati presi di mira come parte della campagna di sorveglianza spagnola. E in Polonia, lo spyware Pegasus è stato utilizzato più volte per hackerare il dispositivo di Roman Giertych, consulente legale di Donald Tusk, ex primo ministro e leader del principale partito di opposizione del paese. (All’inizio del 2022, il vice primo ministro polacco Jaroslaw Kaczynski ha riconosciuto pubblicamente che il governo aveva acquistato lo spyware Pegasus, ma ha negato che fosse stato usato contro l’opposizione polacca.)
Come la disponibilità di spyware cresce, i clienti del settore privato sono anche sempre in atto. Considerate le attività di BellTroX, una società indiana di hack-for-hire responsabile di ampio spionaggio per conto di clienti privati in tutto il mondo. Tra il 2015 e il 2017, qualcuno ha usato i servizi di BellTroX contro le organizzazioni non profit americane che stavano lavorando per pubblicizzare le rivelazioni che la compagnia petrolifera ExxonMobil aveva nascosto le sue ricerche sui cambiamenti climatici per decenni. BellTroX è stato anche utilizzato per indirizzare le organizzazioni statunitensi che lavorano sulla neutralità della rete, presumibilmente per volere di un cliente o di clienti diversi che si opponevano a tale riforma. BellTroX ha anche un’attività fiorente nel mondo legale; studi legali in molti paesi hanno utilizzato i servizi della società per spiare i consulenti avversari. Nell’aprile 2022, un detective privato israeliano che ha agito come broker per BellTroX si è dichiarato colpevole in tribunale degli Stati Uniti per frode, cospirazione per commettere hacking e furto di identità aggravato, ma gli operatori indiani di BellTroX sono rimasti fuori dalla portata della legge. (Chiesto da Reuters nel 2020 di rispondere ai risultati, il fondatore della società, Sumit Gupta, ha negato qualsiasi illecito e ha rifiutato di rivelare i suoi clienti.)
Nessun posto dove nascondersi
Il proliferare di spyware contro obiettivi politici e della società civile nelle democrazie avanzate è abbastanza preoccupante. Ancora più minacciosi, tuttavia, potrebbero essere i modi in cui la tecnologia ha permesso ai regimi autoritari di estendere la loro repressione ben oltre
propri confini. Negli ultimi decenni, gli autocrati hanno affrontato barriere significative per reprimere i cittadini che erano andati in esilio. Con lo spyware, tuttavia, un operatore può entrare nell’intera rete di un esule politico senza mettere piede nel paese adottato dall’obiettivo e con pochissimi rischi e costi associati allo spionaggio internazionale convenzionale.
Gli esempi di questa nuova forma di repressione transnazionale sono molteplici. A partire dal 2016, Cyberbit è stato utilizzato per colpire dissidenti etiopi, avvocati, studenti e altri in quasi 20 paesi. Nel 2021, i telefoni di due importanti egiziani—il politico dell’opposizione in esilio Ayman Nour, che vive in Turchia, e l’ospite di un popolare programma di notizie (che ha chiesto di rimanere anonimo per la propria sicurezza)—sono stati hackerati con lo spyware Predator di Cytrox. In effetti, il telefono di Nour, che è un critico esplicito del presidente egiziano Abdel Fattah el-Sisi, è stato contemporaneamente infettato da spyware Pegasus di Predator e NSO Group, entrambi apparentemente gestiti da clienti governativi separati— l’Egitto nel caso di Predator e l’Arabia Saudita o gli Emirati Arabi Uniti nel caso di Pegasus. In una dichiarazione a Vice News, Cyberbit ha affermato che il governo israeliano supervisiona la sua tecnologia e che “le agenzie di intelligence e difesa che acquistano questi prodotti sono obbligate a usarli in conformità con la legge. Nel caso di hacking egiziano, il CEO di Cytrox, Ivo Malinkovski, ha rifiutato di commentare; secondo VICE news, ha successivamente cancellato i riferimenti a Cytrox nel suo profilo LinkedIn. (I governi di Egitto, Etiopia, Arabia Saudita e Emirati Arabi Uniti hanno rifiutato di commentare i risultati.)
Particolarmente di vasta portata è stata la campagna spyware transnazionale del governo saudita. Nel 2018, un telefono appartenente a Ghanem al-Masarir, un dissidente saudita che vive nel Regno Unito, è stato violato con lo spyware Pegasus. In coincidenza con l’infezione del suo dispositivo, al-Masarir è stato rintracciato e aggredito fisicamente da agenti sauditi a Londra. Lo spyware potrebbe anche aver avuto un ruolo nella famigerata uccisione del giornalista saudita in esilio Jamal Khashoggi nel consolato saudita in Turchia. Nel 2018, un telefono di proprietà di Omar Abdulaziz—un attivista saudita, residente permanente canadese e stretto confidente di Khashoggi—è stato violato con lo spyware Pegasus. Abdulaziz e Khashoggi avevano discusso del loro attivismo contro il regime saudita su ciò che ritenevano erroneamente fossero piattaforme di comunicazione sicure. Dopo l’uccisione di Khashoggi, l’analisi forense ha rivelato che anche i dispositivi di molte altre persone più vicine a Khashoggi, tra cui la moglie egiziana e la fidanzata turca, erano stati infettati. Fino a che punto Khashoggi
i suoi telefoni sono stati hackerati non è noto perché la sua fidanzata li ha consegnati alle autorità turche, che li hanno trattenuti da analisi indipendenti, ma i suoi contatti più stretti erano tutti sotto sorveglianza, fornendo agli agenti sauditi finestre sulla vita personale di Khashoggi, sull’attivismo politico e sui movimenti nei mesi precedenti al suo omicidio. (Il governo saudita ha rifiutato di commentare le rivelazioni. Nel 2021, NSO Group ha dichiarato al Guardian: “La nostra tecnologia non è stata associata in alcun modo all’efferato omicidio di Jamal Khashoggi.”)
In effetti, prendere di mira i critici del regime all’estero con spyware è solo uno dei diversi modi in cui il governo saudita ha impiegato la tecnologia digitale per neutralizzare il dissenso. Ad esempio, secondo un’accusa federale degli Stati Uniti, un alto consigliere del principe ereditario saudita Mohammed bin Salman ha pagato un dipendente di Twitter 3 300.000 e ha fornito altri regali nel 2014 e nel 2015, apparentemente in cambio di spiare i dissidenti sulla piattaforma. Il dipendente, che ha lasciato Twitter nel 2015, è stato condannato in tribunale negli Stati Uniti nel 2022. Quando tali tattiche vengono utilizzate in combinazione con il tipo di sorveglianza altamente intrusiva che lo spyware rappresenta, i dissidenti possono essere sottoposti a una straordinaria pressione psicologica. Molte vittime di hacking hanno sperimentato uno shock debilitante sapendo che i loro dispositivi compromessi hanno anche messo a rischio amici e colleghi e che ogni loro mossa viene osservata. Un’attivista saudita ha spiegato che essere presa di mira digitalmente è stata una forma di” guerra psicologica ed emotiva “che le ha causato ” paura e ansia senza fine.”Utilizzando spyware, autocrati e despoti sono quindi in grado di reprimere le reti della società civile ben oltre i propri confini, anche se rafforzano l’autocrazia in patria.
Nonostante un ampio e crescente corpo di documentazione sugli abusi spyware in tutto il mondo, ci sono diverse ragioni che la tecnologia sembra destinata a diventare ancora più diffusa. In primo luogo, anche se molto controllo delle imprese spyware mercenari ha riguardato i loro contratti con le agenzie governative nazionali, molte aziende di mercato a più di un cliente in un determinato paese, tra cui le forze dell’ordine locali. Ad esempio, in un viaggio conoscitivo in Israele nell’estate del 2022, i funzionari del Parlamento europeo hanno appreso che NSO Group ha almeno 22 clienti in 12 paesi europei, suggerendo che un numero significativo di questi clienti sono agenzie subnazionali. Tali accordi sollevano ulteriori domande sulla responsabilità, dato che la ricerca ha dimostrato
Un exploit può accendere il microfono e la fotocamera di un utente.
le forze dell’ordine locali sono spesso più suscettibili agli abusi, come la profilazione razziale o la corruzione, e tendono ad avere scarsa trasparenza e una supervisione insufficiente.
In secondo luogo, sebbene alcune aziende spyware mercenarie come NSO Group affermino di trattare solo con clienti governativi, c’è poco che impedisca loro di vendere la loro tecnologia a società private o individui corrotti. Le prove suggeriscono che alcuni già lo fanno: nel luglio 2022, il Threat Intelligence Center di Microsoft ha pubblicato un rapporto su una società di spyware e hack-for-hire a base austriaca chiamata DSIRF che aveva preso di mira individui in banche, studi legali e società di consulenza in diversi paesi. Anche se Microsoft non ha specificato quale tipo di clienti ha assunto DSIRF, l’azienda pubblicizza servizi di “due diligence” alle imprese, il che implica che queste operazioni di hacking sono state intraprese per conto di clienti privati. Quando Reuters ha chiesto a DSIRF del rapporto Microsoft, la società ha rifiutato di commentare. Sebbene sia illegale se fatto senza un mandato, tale hacking del settore privato ha meno probabilità di essere dissuaso quando le aziende degli hacker si trovano al di fuori della giurisdizione in cui si verifica il targeting. Poiché le protezioni per i diritti alla privacy, la libertà di stampa e i tribunali indipendenti sono sempre più minacciati in molti paesi, probabilmente diventerà ancora più facile per le aziende corrotte o gli oligarchi distribuire spyware mercenari senza responsabilità.
In terzo luogo, lo spyware è diventato una componente centrale di un menu più ampio di strumenti di sorveglianza, come il tracciamento della posizione e l’identificazione biometrica, utilizzati da molte agenzie di sicurezza governative. Più lo spyware è incorporato nella raccolta di informazioni e nella polizia di tutti i giorni, più difficile sarà frenarlo. Più minacciosamente, lo spyware potrebbe presto acquisire capacità ancora più invasive sfruttando applicazioni indossabili, come monitor biomedici, tecnologia di rilevamento emotivo e reti neurali connesse a Internet attualmente in fase di sviluppo. Già, molte applicazioni digitali mirano a scavare più a fondo negli aspetti subliminali o inconsci del comportamento degli utenti e raccogliere dati sulla loro salute e fisiologia. Non è più fantascienza immaginare spyware che potrebbero utilizzare l’accesso segreto a questi dati sui nostri sistemi biologici o cognitivi per monitorare e persino manipolare il comportamento e il benessere generale di una vittima.
Ordini restrittivi
Per quasi un decennio, l’industria dello spyware mercenario è stata in grado di espandere la sua portata in tutto il mondo in gran parte senza regolamentazione o responsabilità. Ma questa è una scelta che i governi hanno fatto, non un
risultato inevitabile che deve essere semplicemente accettato. Mentre i cani da guardia e i giornalisti della società civile hanno portato alla luce abusi flagranti, è diventato più difficile per i principali fornitori di spyware e clienti governativi nascondere le loro operazioni. In Europa e negli Stati Uniti, le commissioni hanno tenuto audizioni sullo spyware e le agenzie governative hanno iniziato a sviluppare nuove politiche per limitarne l’uso. In particolare, il Dipartimento del Commercio degli Stati Uniti ha inserito NSO Group, Candiru e altre società di hack-for-hire in una lista di restrizioni all’esportazione, limitando il loro accesso ai prodotti e alla tecnologia degli Stati Uniti e inviando un forte segnale ai potenziali investitori che le società di spyware sono sotto crescente controllo. Anche le piattaforme tecnologiche hanno preso provvedimenti. Meta (la società madre di Facebook) e Apple hanno citato in giudizio NSO Group nei tribunali statunitensi, notificato le vittime di infezioni da spyware e lavorato per sostenere i cani da guardia della società civile. Apple ha anche donato 1 10 milioni a cybersurveillance research e si è impegnata a fare altrettanto con eventuali danni assegnati dalla sua causa contro NSO Group.
Ma frenare la diffusione globale di spyware mercenari richiederà un approccio globale. Per cominciare, le aziende devono dedicare molte più risorse per identificare e sradicare gli spyware e garantire che i loro servizi siano adeguatamente protetti contro lo sfruttamento. WhatsApp e Apple hanno già mostrato come avvisare le vittime quando viene rilevato uno spyware e ritenere i fornitori di spyware come NSO Group legalmente responsabili per violazioni dei loro termini di servizio e altri reati legali. Sia attraverso un cambiamento nella cultura aziendale, o più probabilmente attraverso regolamenti governativi più forti, le piattaforme tecnologiche dovrebbero anche porre maggiore enfasi sulla sicurezza e ridimensionare l’incessante ricerca di aspirare i dati degli utenti. A loro volta, le indagini forensi di Citizen Lab, Amnesty International, giornalisti e altri dovranno essere ampliate e integrate da altre organizzazioni che svolgono un lavoro simile, sia presso ONG, università o organizzazioni giornalistiche investigative. La scienza forense digitale e la responsabilità digitale dovrebbero essere riconosciute come una disciplina di ricerca formale in grado di monitorare l’attività dello spyware, assistere le vittime e gli obiettivi e mantenere la pressione su governi e società per essere più trasparenti e responsabili delle loro azioni. Perché un tale campo emerga, saranno necessari molti anni di sostegno pubblico, privato e filantropico.
In definitiva, i governi stessi dovranno adottare un solido quadro normativo per l’uso di spyware. La regolamentazione del settore richiederà probabilmente l’emanazione di un complesso insieme di regole che affrontano vari aspetti del mercato degli spyware. Ad esempio, a base domestica
le aziende spyware potrebbero essere tenute a rendere regolarmente pubbliche informazioni sulle loro esportazioni e, a loro volta, le agenzie governative potrebbero essere tenute a segnalare da chi e dove stanno importando spyware. Le regole di esportazione devono essere rafforzate per impedire la vendita di spyware a governi o altri clienti che potrebbero usarli in violazione del diritto internazionale dei diritti umani. Sono inoltre necessarie regole chiare e standard di supervisione per l’uso di spyware. Sarà probabilmente necessaria anche una legislazione specifica che affronti il mercato zero-day, anche se dovrà essere attentamente elaborata in modo che la ricerca sulla sicurezza legittima non sia ostacolata. I governi potrebbero anche approvare una legislazione che dia alle vittime di spyware il diritto di citare in giudizio sia i governi stranieri che i fornitori di spyware per i danni causati dallo spionaggio.
Tali sforzi potrebbero essere rafforzati a livello internazionale attraverso lo sviluppo di un regime globale di controllo dello spyware. Le attività militari, ad esempio, sono state a lungo soggette alla supervisione internazionale attraverso meccanismi come il Registro delle armi convenzionali delle Nazioni Unite e le politiche che sono state messe in atto relative agli standard per i contraenti militari e di sicurezza privati o il divieto di mine terrestri. Un processo simile potrebbe portare alla regolamentazione internazionale dello spyware, compresi i requisiti di trasparenza e reporting sul suo utilizzo. Questi modelli esistenti, tuttavia, suggeriscono che il successo richiederà il buy-in di un numero significativo di paesi, e sono necessarie maggiori pressioni per convincere i governi e i leader mondiali che lo spyware mercenario rappresenta una seria e crescente minaccia per la sicurezza internazionale e l’ordine internazionale liberale.
Senza dubbio, i governi autoritari e le agenzie di sicurezza che attualmente beneficiano di spyware cercheranno di ostacolare tale regolamentazione, ma i crescenti rischi per la sicurezza nazionale di un mercato non regolamentato potrebbero richiedere una valutazione più sobria. Nel novembre 2022, Sir Jeremy Fleming, un alto funzionario dell’intelligence britannica, ha avvertito che l’uso proliferante di spyware mercenari e “hacker a noleggio” da parte di paesi e malfattori “aumenterà la futura minaccia alla sicurezza informatica del Regno Unito.”Se l’uso di spyware mercenari continua a crescere incontrollato, i rischi per la democrazia diventeranno acuti. Se le élite di qualsiasi paese possono utilizzare questa tecnologia per neutralizzare la legittima opposizione politica in qualsiasi punto della terra, mettere a tacere il dissenso attraverso lo spionaggio mirato, minare il giornalismo indipendente ed erodere impunemente la responsabilità pubblica, allora i valori su cui è costruito l’ordine internazionale liberale potrebbero presto non essere più sicuri delle password sui nostri telefoni.