Quando pensiamo alla sorveglianza, al pedinamento, all’intercettazione, vogliamo pensare la cosa come appannaggio esclusivo delle forze dell’ordine, della magistratura, di uno stato di diritto. Quando pensiamo a tutto questo in veste “cyber”, allora pensiamo naturalmente ai trojan (i cosiddetti “captatori informatici”) quali sanciti lecitamente utilizzabili in un contesto di indagine dalle Sezioni Unite della Cassazione. Insomma, pensiamo a qualcosa di correttamente utilizzato in un ambito di indagine contro il crimine.  

Tecnicamente dovremmo posare poi l’accento sul fatto che questi trojan siano in fondo malware ed in particolare di tipo spyware; inoltre dovremmo convenire sul fatto che, in quanto software, questi strumenti siano frutto di un processo produttivo e che pertanto esistono delle società di produzione. 

E questo è evidentemente vero: un tempo le capacità di intervenire in questo contesto tecnologico era appannaggio esclusivo degli stati, ma da ormai troppi anni questo è divenuto terra di conquista commerciale. Differenti fornitori commerciali di strumenti di sorveglianza elettronica hanno proliferato raggiungendo e superando (talvolta) le storiche capacità governative. Questo naturalmente ha tolto l’esclusiva sulla capacità operativa in termini di intercettazione ed altro ai soli stati tecnologicamente avanzati, portando sul piano esclusivamente commerciale la disponibilità di tali strumenti anche ad attori e governi che prima non ne erano in grado, rendendo certamente Internet meno sicura. 

La commercializzazione e l’utilizzo poi di questi spyware contro giornalisti, oppositori, dissidenti, ONG ha infine modificato drasticamente il panorama: fanno scuola i casi dei malware Pegasus, della società israeliana NSO Group, e DevilsTongue, della israeliana Candiru, per cui entrambe le società sono state poste in una lista nera da parte del Dipartimento del Commercio degli Stati Uniti, cosa che di fatto impedisce negli Stati Uniti il commercio con tali aziende. 

Il Threat Analysis Group (TAG) di Google, che studia proprio questo fenomeno (ne ha dato conto addirittura in sede di audizione parlamentare UE), ha osservato una nuova tendenza: l’abbandono progressivo di Pegasus (potremmo dire “bruciato” dalla notorietà) da parte degli agenti di minaccia verso altre soluzioni. 

Tra queste nuove soluzioni spicca il malware Hermit della società italiana RCS Labs, società che opera nel settore a supporto alle attività investigative dal 1993. Pur non volendo mettere in dubbio la buonafede di questa o delle precedenti società, nei fatti il problema è che i loro strumenti ora sono in mano ad entità che sono qualcosa di differente dall’autorità giudiziaria di uno stato democratico. Poco importa che la giurisprudenza nazionale consenta (nei limiti previsti dalla legge) l’uso di questi strumenti: altri attori, con altre finalità hanno ora il medesimo potere “intrusivo”.  

Hermit è un software di tipo spyware altamente sofisticato e modulare (sono state riconosciute almeno 25 componenti con distinte funzioni) capace di attività di sorveglianza “passiva”, ma anche di interagire con i dispositivi (es. è capace di eseguire telefonate). Sfrutta differenti vulnerabilità ed exploit pubblici derivanti spesso da comunità di jailbreak; per le azioni osservate ha fatto uso di exploit utilizzati prima del 2021 basati su vulnerabilità (per esempio nel caso iOS, ma è disponibile anche la versione di Hermit per Android) quali CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-990 e CVE-2021-30883. 

Naturalmente ogni malware ha bisogno di un vettore per la sua diffusione: il meccanismo nel caso di Hermit è differente da quello di Pegasus, in quanto Hermit ha bisogno di stimolare la vittima ad installare un software sul dispositivo mobile; spesso nella fase di delivery è stata osservata la collaborazione dell’ISP, che, causando interruzioni al servizio e altre anomalie, consentiva di giustificare l’invio di un messaggio che indicava come soluzione delle anomalie proprio l’installazione di una applicazione (ingannevolmente indicata come sviluppata dal provider quale soluzione al problema). Quando questa collaborazione non è stata possibile, il vettore scelto per diffondere Hermit è stata la classica forma “trojan”, ossia mascherandolo da applicazioni appetibile per le vittime (tipicamente un programma di messaggistica riservata). 

Non si può certamente indicare una ragione di causa-effetto tra l’esistenza di Hermit e i suoi utilizzi più spregevoli, ma è certamente un fatto l’utilizzo di questo malware da parte del governo kazako contro le opposizioni interne: le tracce di questo malware in territorio kazako, a mesi dalla violenta repressione operate dal governo (con centinaia di morti e migliaia di arresti), non posso che destare preoccupanti sospetti. 

È dunque evidente come, anche in questo caso, la correttezza nell’uso e liceità di uno strumento possano essere del tutto relative: lo è entro i confini di uno stato democratico nel combattere la criminalità; diventa terribile e perfetto strumento di oppressione in stati tutt’altro che democratici.

Tweet