L’inchiesta sugli smartphone di giornalisti e attivisti spiati dai governi

Una collaborazione internazionale di 17 grandi giornali – che comprende Washington Post (Stati Uniti), Guardian (Regno Unito) e Le Monde (Francia) – ha pubblicato i primi dettagli di un’ampia inchiesta svolta su NSO, una discussa azienda israeliana che fornisce ai governi sistemi per spiare le attività sugli smartphone di terroristi e altri criminali. Secondo gli autori dell’indagine, i sistemi di NSO negli ultimi anni sarebbero stati utilizzati per scopi più ampi e per spiare giornalisti, attivisti per i diritti umani e dirigenti d’azienda. Sarebbero state inoltre spiate alcune persone legate al giornalista Jamal Khashoggi, per il cui omicidio avvenuto nel 2018 è sospettato il regime saudita.

L’inchiesta (“Pegasus Project”) è stata condotta grazie a una collaborazione tra l’organizzazione per la tutela dei diritti umani Amnesty International e Forbidden Stories, un’iniziativa giornalistica senza scopo di lucro con sede a Parigi. Nei mesi scorsi le due organizzazioni erano entrate in possesso di una lista di 50mila numeri di telefono di paesi nei quali i governi effettuano spesso attività di sorveglianza delle comunicazioni, utilizzando anche i sistemi sviluppati da NSO. Per fornire i propri servizi in un dato paese, l’azienda deve ricevere un permesso dal governo israeliano, ma una volta consegnati i software ai paesi che ne fanno richiesta NSO ha un limitato controllo su scopi e modalità di utilizzo.

Al momento non sono state fornite molte informazioni sulla provenienza della lista, per tutelarne le fonti, né ci sono indicazioni su chi abbia compilato l’elenco dei numeri di telefono e per quale motivo. Il “Security Lab” di Amnesty International, che si occupa di sicurezza informatica, ha condotto un’analisi sulla lista riuscendo a risalire a 67 smartphone sui quali fu tentata l’installazione dei sistemi di sorveglianza (spyware) di NSO. Dai dati finora raccolti, gli esperti del laboratorio ritengono che gli attacchi fossero andati a buon fine in 23 casi, mentre hanno trovato prove sul tentato inserimento di spyware in altri 14 casi.

Per i restanti 30 smartphone i test non hanno permesso di ottenere risultati affidabili, in alcuni casi perché i dispositivi erano stati sostituiti nel corso degli anni, rispetto a quanto risultava dalla lista risalente al 2016. Gli spyware erano stati installati sia su iPhone sia su smartphone Android, nonostante entrambi i sistemi operativi siano sviluppati per ridurre il rischio di essere spiati da applicazioni non autorizzate.

Le indagini hanno inoltre permesso di risalire tramite i numeri di telefono nella lista a un migliaio di persone in 50 paesi diversi. Tra i coinvolti ci sono membri della famiglia reale saudita, 65 dirigenti di azienda, 85 attivisti per i diritti umani, 189 giornalisti e oltre 600 politici e funzionari governativi. Sulla lista sono inoltre presenti numeri di telefono di primi ministri e capi di stato.

I giornalisti nell’elenco fanno parte di alcune delle più grandi testate al mondo come New York Times, Wall Street Journal, Bloomberg News, Financial Times, Al Jazeera, CNN e Associated Press. Non è però chiaro se alcuni di questi abbiano subìto tentativi di spionaggio da parte di singoli governi, clienti autorizzati a impiegare le tecnologie di NSO come il suo spyware Pegasus.

Le prime versioni di Pegasus erano state sviluppate a partire da una decina di anni fa da alcuni ex componenti dei sistemi di intelligence israeliani. In poco tempo NSO era diventata il punto di riferimento nella produzione di spyware per gli smartphone, attirando l’attenzione dei servizi segreti di vari paesi.

Apple e Google, che sviluppano rispettivamente iOS (il sistema operativo degli iPhone) e Android, introducono a ogni aggiornamento nuove funzionalità per bloccare le falle si sicurezza sfruttate dagli spyware, ma NSO ha mostrato negli anni una particolare abilità nel trovare vie alternative per continuare a spiare i dispositivi.

Governi e servizi segreti che utilizzano Pegasus fanno arrivare sugli smartphone dei loro obiettivi un SMS contenente un link, di solito un finto messaggio di servizio dell’operatore o qualcosa di apparentemente innocuo, che se aperto avvia l’installazione dello spyware all’insaputa di chi ha ricevuto la comunicazione. Negli ultimi anni è stata inoltre perfezionata una tecnica alternativa, che consente di avviare l’installazione dello spyware senza che sia necessaria un’azione diretta da parte del ricevente.

Una volta installato, lo spyware registra e invia qualsiasi cosa avvenga sullo schermo, rendendo quindi possibile l’accesso a conversazioni sulle app per i messaggi, attività sui social network, email, dati sulla navigazione, foto e video. Il sistema può inoltre essere sfruttato per attivare microfono e videocamera dello smartphone, in modo da effettuare intercettazioni ambientali. I dati sono poi inviati a chi ha disposto l’installazione dello spyware, che può in questo modo raccogliere una grande quantità di informazioni su chi viene spiato.

Le capacità di Pegasus e le attività di NSO erano già state al centro di diverse inchieste giornalistiche negli anni scorsi, ma le nuove prove raccolte nell’ultima indagine mostrano come questi sistemi siano utilizzati per scopi molto diversi dallo spionaggio contro il terrorismo e la criminalità. Secondo gli autori dell’indagine, alcuni governi utilizzano questi spyware per controllare giornalisti e attivisti, violando le loro libertà con gravi conseguenze anche per la loro incolumità.

Stando alle analisi svolte da Amnesty International, Pegasus fu utilizzato per provare a spiare due donne in stretti rapporti con Khashoggi, giornalista che aveva condotto inchieste e scritto editoriali molto duri nei confronti della famiglia reale saudita sul Washington Post. Lo smartphone della sua compagna, Hatice Cengiz, era stato infettato nei giorni dopo l’uccisione di Khashoggi in Turchia nel 2018, compiuta da un gruppo di sauditi che ne aveva smembrato il cadavere. Anche sullo smartphone della moglie di Khashoggi, Hanan Elatr, era stata tentata l’installazione di Pegasus, ma non è chiaro se il tentativo fosse andato a buon fine.

Nella lista compaiono alcune migliaia di numeri di telefono riconducibili al Messico, uno dei primi paesi ad avere scelto NSO come proprio fornitore nel 2011 per alcune attività di spionaggio. Tra questi ci sono i numeri di almeno 25 giornalisti impiegati in alcune grandi testate del paese, compresa Carmen Aristegui, tra le più importanti giornaliste investigative del Messico e collaboratrice di CNN. Aristegui si occupa soprattutto di corruzione e dei cartelli della droga e si era ipotizzato da tempo che fosse stata spiata sfruttando Pegasus: le nuove indagini offrono nuove conferme a questa circostanza, secondo gli esperti di Amnesty International.

Ungheria, India, Marocco e altri paesi hanno negato di avere utilizzato Pegasus, o di avere utilizzato i servizi offerti da NSO per scopi diversi dallo spionaggio contro attività criminali, ma senza fornire molti altri dettagli.

È probabile che nelle prossime settimane i 17 giornali coinvolti nell’analisi dei dati raccolti dall’inchiesta pubblichino nuove informazioni, che potrebbero offrire nuovi dettagli sulle violazioni o ridimensionare ruolo e responsabilità di NSO. Le informazioni circolate finora sembrano comunque confermare l’estensione e la portata delle attività di sorveglianza online, già emerse nel 2013 quando Edward Snowden rese pubblici molti documenti interni della National Security Agency (NSA), l’agenzia di intelligence degli Stati Uniti coinvolta in un enorme programma di controllo delle comunicazioni online.

Furono quelle rivelazioni a spingere le più grandi aziende di Internet a elaborare nuovi sistemi per tutelare meglio la privacy dei loro utenti, adottando sistemi per cifrare le conversazioni e renderle decifrabili solo tra i dispositivi che le inviano e le ricevono. Queste soluzioni avevano reso meno semplice le intercettazioni tramite i metodi impiegati in precedenza dalla NSA, facendo aumentare l’interesse dei governi nei sistemi come Pegasus, che permettono invece di spiare direttamente i singoli dispositivi.

NSO ha respinto buona parte delle accuse contenute in Pegasus Project, sostenendo di attuare tutti i controlli necessari e nel limite del possibile per evitare che i propri spyware siano impiegati in modo diverso dagli scopi con cui sono forniti ai vari clienti. A fine giugno NSO aveva diffuso un proprio rapporto sulla «trasparenza e la responsabilità» dell’azienda nelle proprie attività, sostenendo che queste siano necessarie per contrastare terrorismo e altri crimini nel Ventunesimo secolo.

L’azienda dice di fare costantemente controlli sulle modalità con cui sono impiegate le proprie tecnologie e di avere nel tempo rescisso contratti con almeno cinque clienti, dopo avere constatato un impiego non consentito dei suoi sistemi. Secondo una fonte del Washington Post, nel 2020 NSO avrebbe interrotto i rapporti con l’Arabia Saudita e Dubai, per problemi legati alla tutela dei diritti umani.