“Pegasus
Project”: ecco come lo spyware dell’azienda israeliana NSO Group è usato contro
attivisti, giornalisti e leader politici nel mondo
Secondo
un’indagine che ha riguardato 50.000 utenze telefoniche divenute
pubbliche e oggetto di potenziale sorveglianza – tra cui quelle di
capi di stato, attivisti, giornalisti e i familiari di Jamal Khashoggi -, lo
spyware “Pegasus” dell’azienda israeliana NSO Group è usato
per facilitare violazioni dei diritti umani a livello globale e su scala
massiccia.
Il “Pegasus
Project” nasce dalla collaborazione tra oltre 80 giornalisti di 17 mezzi
d’informazione di 10 paesi, sotto il coordinamento di “Forbidden Stories”, un
organismo senza scopo di lucro che ha sede a Parigi, con l’assistenza tecnica di Amnesty International che ha
analizzato i telefoni cellulari per identificare le tracce dello spyware.
“Il ‘Pegasus
Project’ rivela come lo spyware della NSO Group sia un’arma a disposizione dei
governi repressivi che vogliono ridurre al silenzio i giornalisti, attaccare
gli attivisti e stroncare il dissenso, mettendo a rischio innumerevoli vite
umane”, ha
dichiarato Agnés Callamard, segretaria generale di Amnesty International.
“Queste
rivelazioni smentiscono le affermazioni della NSO Group secondo cui questi
attacchi sono rari e frutto di un uso improprio della sua tecnologia. L’azienda
sostiene che il suo spyware sia usato solo per indagare legalmente su
criminalità e terrorismo, ma è evidente che la sua tecnologia facilita
sistematiche violazioni dei diritti umani. Afferma di agire legalmente, mentre
in realtà fa profitti attraverso tali violazioni”, ha proseguito Callamard.
“Le attività
di NSO Group evidenziano la complessiva mancanza di regolamentazione grazie
alla quale si è creato un far west di violazioni dei diritti umani contro
attivisti e giornalisti. Fino a quando le aziende del settore non riusciranno a
dimostrare che rispettano i diritti umani, occorre un’immediata moratoria
sull’esportazione, sulla vendita, sul trasferimento e sull’uso di tecnologia di
sorveglianza”, ha
sottolineato Callamard.
In una
replica scritta inviata a “Forbidden Stories” e ai suoi partner, la NSO Group
ha “fermamente negato (…) false accuse basate su ipotesi errate” e “teorie non
avvalorate”, ribadendo che è impegnata in “una missione per salvare vite
umane”. Una più ampia sintesi della riposta della NSO Group è disponibile qui.
L’indagine
Al centro
dell’indagine è lo spyware Pegasus, prodotto dalla NSO Group, che quando
s’installa subdolamente sul telefono della vittima, consente di accedere
completamente ai messaggi, ai contenuti media, alle mail, al microfono, alla
telecamera, alle chiamate e ai contatti.
Questa
settimana i partner giornalistici del “Pegasus Project” – tra i quali The
Guardian, Le Monde, Süddeutsche Zeitung e The Washington Post – pubblicheranno
una serie di articoli sui leader mondiali, gli esponenti politici, gli
attivisti per i diritti umani e i giornalisti individuati come potenziali
vittime dello spyware.
Dai dati
resi pubblici e attraverso le sue indagini, “Forbidden Stories” e i suoi
partner giornalistici hanno identificato possibili clienti della NSO
Group in 11 stati: Arabia Saudita, Azerbaigian, Bahrein, Emirati Arabi
Uniti, India, Kazakistan, Marocco, Messico, Ruanda, Togo e Ungheria. La NSO
Group non ha svolto azioni adeguate per fermare l’uso del suo spyware per
sorvegliare illegalmente attivisti e giornalisti, pur conoscendo o avendo
dovuto conoscere che ciò stava avvenendo.
“In primo
luogo, la NSO Group dovrebbe mettere subito fuori uso i prodotti forniti ai
clienti di cui vi siano prove di un uso improprio. E il ‘Pegasus Project’ ne
fornisce in abbondanza”, ha commentato Callamard.
La famiglia
Khashoggi presa di mira
Durante
l’indagine, nonostante i costanti dinieghi della NSO Group, sono emerse prove
secondo le quali la famiglia del giornalista saudita Jamal Khashoggi è stata
presa di mira dallo spyware Pegasus prima e dopo la morte di quest’ultimo, il 2
ottobre 2018, a Istanbul ad opera di agenti dello stato saudita.
Il Security Lab di
Amnesty International ha verificato che lo spyware Pegasus si era installato
sul telefono di Hatice Cengiz, la fidanzata di Khashoggi, quattro giorni prima
del suo assassinio.
Erano stati
sorvegliati anche la moglie di Khashoggi, Hanan Elatr, tra settembre 2017 e
aprile 2018, il figlio Adallah e altri familiari in Arabia Saudita e negli
Emirati Arabi Uniti.
Nella sua
nota, la NSO Group ha replicato che la sua “tecnologia non è collegata in alcun
modo all’atroce omicidio di Jamal Khashoggi”. L’azienda “ha già indagato su
queste accuse, subito dopo l’atroce omicidio, che ribadisce sono prive di
fondamento”.
Giornalisti
sotto attacco
L’indagine
ha finora individuato almeno 180 giornalisti in 20 stati – tra cui Azerbaigian,
India, Marocco e Ungheria, dove la repressione contro il giornalismo
indipendente è in aumento – potenziali bersagli dello spyware della NSO Group
tra il 2016 e giugno 2021.
L’indagine
evidenzia i pericoli globali causati dalla sorveglianza illegale:
·
in Messico, il
telefono del giornalista Cecilio Pineda era stato infettato dallo spyware
Pegasus poche settimane prima del suo omicidio. Il “Pegasus Project” ha
individuato almeno 25 giornalisti messicani presi di mira in poco più di due
anni. La NSO Group ha dichiarato che, anche se il telefono di Pineda fosse
stato infettato, le informazioni raccolte dallo spyware non avrebbero potuto
contribuire alla sua morte;
·
in Azerbaigian, uno stato
dove riescono ancora a operare ben pochi organi d’informazione indipendenti, sono
stati spiati oltre 40 giornalisti. Il Security Lab di Amnesty International ha
verificato che il telefono di Sevinc Vaqifqizi, un freelance della tv
indipendente Meydan, è stato infettato per due anni fino al maggio 2021;
·
in India, almeno 40
giornalisti di praticamente tutti i principali mezzi d’informazione sono stati
spiati tra il 2017 e il 2021. I telefoni di Siddharth Varadarajan e MK Venu,
cofondatori dell’organo d’informazione indipendente “The Wire”, sono stati
spiati anche nel giugno 2021;
·
sono stati
scelti come potenziali bersagli dello spyware Pegasus giornalisti di grandi
testate internazionali, come Associated Press, CNN, The New York Times e
Reuters. Tra i giornalisti di più alto livello figura Roula Khalaf, direttrice
del Financial Times.
“Il numero
di giornalisti presi di mira illustra ampiamente come Pegasus sia utilizzato
per mettere paura al giornalismo critico. Stiamo parlando del controllo della
narrazione pubblica, della resistenza alle inchieste giornalistiche e della
soppressione di ogni voce dissidente”, ha commentato Callamard.
“Queste
rivelazioni devono generare un cambiamento. All’industria della sorveglianza
non può più essere concesso un approccio indulgente proprio da parte di quei
governi che hanno un interesse a usare la sua tecnologia per violare i diritti
umani”, ha
ammonito Callamard.
Amnesty
International, che già aveva rivelato l’infrastruttura dello spyware Pegasus,
ha reso noti tutti i dettagli tecnici attraverso i quali il suo Security Lab
ha svolto le indagini nell’ambito del “Pegasus Project”, documentando
l’evoluzione degli attacchi dal 2018, con oltre 700 domini riconducibili a
Pegasus.
“La NSO
Group afferma che il suo spyware non è rilevabile e che è usato solo per
legittime indagini di natura penale. Abbiamo prove irrefutabili che queste
affermazioni sono un ridicolo falso”, ha dichiarato Etienne Maynier, del Security
Lab di Amnesty International.
Nulla indica
che i clienti della NSO Group non usino lo spyware Pegasus anche nell’ambito di
indagini di natura penale e sul terrorismo e l’indagine ha rinvenuto utenze
telefoniche appartenenti anche a presunti criminali.
“Le massicce
violazioni dei diritti umani che Pegasus facilita devono finire. La nostra
speranza è che le prove schiaccianti che saranno pubblicate questa settimana
spingeranno i governi a mettere sotto controllo un’industria della sorveglianza
che ora è fuori controllo”, ha aggiunto Maynier.
Rispondendo
a richieste di commenti da parte delle organizzazioni giornalistiche coinvolte
nel “Pegasus Project”, la NSO Group ha dichiarato di “negare fermamente” le
accuse e ha affermato che “molte di esse sono teorie non confermate che
sollevano forti dubbi sull’affidabilità delle fonti, così come sulle base delle
vostre storie”.
La NSO Group
non ha confermato né smentito quali governi siano suoi clienti, pur dichiarando
che il “Pegasus Project” ha fatto “ipotesi scorrette” da questo punto di vista.
Pur negando complessivamente le accuse a suo carico, la NSO Group “continuerà a
indagare su ogni credibile denuncia di uso improprio e prenderà le misure
adeguate in base ai risultati di tali indagini”.
da
qui
Pegasus: nulla da nascondere? - jolek78
Si è tenuto, alle ore 08:00 PM BST un
live event indetto dal Guardian intitolato:
The Pegasus project: Revealing a global
abuse of cyber-surveillance
Nel panel erano coinvolti:
Paul Lewis, capo investigazioni
del Guardian
Agnès Callamard, segreteria generale
di Amnesty International
Stephanie Kirchgaessner, corrispondente
investigativa del Guardian
Edward Snowden, whistleblower dell’NSA
Nel momento in cui
scrivo l’evento è finito da pochi minuti. Nulla di nuovo in termini di
rivelazioni – che verranno rilasciate a spizzichi e bocconi ritengo nei
prossimi giorni – ma il dibattito è stato talmente interessante che credo valga
la pena riportarlo per come è avvenuto, e cercare di creare una discussione
attorno a esso.
La prima parte del dibattito
La prima mezz’ora è semplicemente stata
un riassunto del progetto Pegasus, dei soggetti
coinvolti, di Forbidden Stories, di Amnesty
International, del Guardian e del pool di giornalisti che ci
hanno lavorato. Si è spiegato quanto sia stato importante, in quanto a prove e
dati empirici, avere l’analisi forense realizzata dal tech team di Amnesty per
quanto riguarda l’identificazione del software Pegasus. Si è parlato inoltre
dei meriti – è stato Ed Snowden a ringraziarli – di CitizenLab per aver
identificato la NSO come minaccia fin dal 2013, e aver cominciato a pubblicare
informazioni che mettevano in relazione l’omicidio di Jamal
Khashoggi con la NSO. Questo è stato un dibattito molto
interessante.
La seconda parte del dibattito
Poi si è passati – e questa è stata una
domanda che Paul Lewis, giornalista del Guardian, ha fatto a tutti più e più
volte – a cosa dovremmo fare noi singolarmente per modificare
questo stato di cose. La risposta è stata piuttosto evasiva da parte di tutti
per quanto riguarda le azioni personali da fare, ma è stata molto incisiva per
quanto riguarda quelle globali. Snowden ricordava che
dai suoi devices lui rimuove il microfono e fa alcune modifiche hardware che
rendano difficile rintracciarlo ma, come ricordava, non tutti hanno le sue
conoscenze tecniche, e nessuno vuole vivere ai margini della società come fa
lui. Snowden ha ricordato che agire
singolarmente non risolve nulla, e che ci vuole una pressione
sui governi perché agiscano a livello globale per mettere un freno a questo tipo
di tecnologie.
Moratoria sui software spia
E qui ha fatto un’analogia. Noi abbiamo
delle moratorie per le armi nucleari, per le armi
biologiche. Cosa ci vieta di avere delle moratorie per i
software spia? Se un’azienda vende armi di distruzione di massa a un governo, e lì avviene un genocidio, noi abbiamo delle regole che possano sanzionare sia la
nazione nella quale questa azienda risiede – perché è responsabile anch’essa –
e regole che ci permettono di sanzionare l’azienda stessa. Si dice “è
software, non fa male a nessuno“. E invece abbiamo la prova provata che
ha permesso di uccidere vite, l’esempio di Khashoggi è soltanto uno dei tanti.
Inoltre ha spiegato qualcosa di molto
interessante. Quello che distingue Pegasus dagli altri software spia è di
essere un software a “zero click“. Gli hacker che
lavorano alla NSO hanno investigato per trovare degli exploit che permettano
d’infettare il telefono target senza che l’utente faccia un solo minimo errore.
Nel passato succedeva che qualcuno ti mandava una mail, cliccavi il link
sbagliato, cliccavi avanti avanti avanti. Insomma facevi un errore. Qui è
diverso. L’errore non è richiesto per infettare il device, e questo è
spaventoso. Inoltre questi exploit sono in se e per
se armi, perché possono anche essere venduti ad agenzie di terze parti, o a
singoli hacker che li possono utilizzare per i loro scopi.
Il ruolo dell’Europa – e il nostro
Sull’Europa inoltre Snowden si è
sbilanciato: prima si guardava soltanto agli Stati Uniti, ma ora c’e’ un grande
attore in campo che è l’Europa. Fino a ora sappiamo che sono stati oggetti
d’intercettazione cittadini per esempio francesi, tedeschi e altri. Bisogna
che l’Europa si sollevi e faccia la sua parte perché è anche sua responsabilità
– se decide di non reagire – che queste cose accadano ancora nel futuro. Qui il
giornalista del Guardian ha fatto un sospiro ed ha ricordato a Snowden la
situazione del Regno Unito che non può più agire collettivamente ma solo per se
stesso. Sembrava voler dire “fate qualcosa voi che potete…”
E se invece cominciassimo a fare
qualcosa tutti quanti?
Per approfondire
https://citizenlab.ca/tag/nso-group/
https://forbiddenstories.org/case/the-pegasus-project/
https://www.theguardian.com/news/series/pegasus-project/
https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/
da qui