FinFisher, dopo Hacking Team un altro spyware minaccia tutti

spyware-finfisher

(articolo de LaStampa) Malgrado gli attacchi informatici subiti e le denunce di organizzazioni per i diritti umani, l’industria europea degli spyware continua a fiorire, e i suoi software spia sono sempre più venduti sia in Paesi democratici sia in Stati illiberali. E in quest’ultimo caso sono utilizzati spesso per reprimere le opposizioni e il dissenso. 

È quanto emerge da due nuovi rapporti internazionali dedicati a FinFisher GmbH, azienda tedesca – spin-off della precedente Gamma con sede in UK – che produce un programma di intrusione e sorveglianza simile a quello realizzato dall’italiana Hacking Team. Da questi rapporti emergono alcuni punti chiave: FinFisher sarebbe usato in un numero sempre più elevato di Paesi (almeno 32);l’Italia – confermando alcune supposizioni – sarebbe uno dei Paesi che lo utilizza (e, in un caso, un organo investigativo dello Stato italiano lo avrebbe sostituito a Rcs, il software di Hacking Team); l’Uganda avrebbe usato intensivamente quel software contro oppositori politici.

FinFisher vivo e vegeto

Ma partiamo dall’inizio. FinFisher è un software spia capace di infettare un pc o smarpthone e spiarne tutta l’attività digitale, simile nel funzionamento a Rcs, lo spyware prodotto dalla azienda milanese Hacking Team di cui abbiamo ampiamente scritto su La Stampa. Viene venduto dall’omonima azienda FinFisher, che ha sede a Monaco, in Germania, a governi e agenzie investigative governative per indagini e intelligence.

In passato alcuni rapporti pubblicati da Citizen Lab, un laboratorio antisorveglianza dell’Università di Toronto, avevano denunciato il suo utilizzo da parte di governi autoritari per colpire giornalisti, avvocati e dissidenti, ad esempio in Bahrein ed Etiopia. Le denunce dei ricercatori erano state in parte confermate anche da alcuni documenti dell’azienda che erano stati pubblicati online dopo che un hacker, nell’estate del 2014, aveva attaccato FinFisher diffondendone i materiali da un account Twitter. Quell’hacker, che su Twitter si faceva chiamare Phineas Fisher, ha poi rivendicato anche l’attacco ad Hacking Team avvenuto nel luglio 2015.

Bene, ieri Citizen Lab ha pubblicato un nuovo rapporto che mostrerebbe come il business di FinFisher sia non solo ancora vivo e vegeto, ma in espansione.Sarebbero almeno 32 i Paesi ritenuti clienti attivi in questo momento, come mostra questa mappa.

Dall’Angola all’Italia

Fra questi, Angola, Egitto, Gabon, Libano, Marocco, Oman, Arabia Saudita, Spagna, Turchia, Kazakistan. Alcuni sono gli stessi Paesi dove vende anche Hacking Team, almeno a giudicare dai documenti dell’azienda milanese pubblicati online la scorsa estate. Tra i clienti di FinFisher, anche l’Italia.

I ricercatori di Citizen Lab ritengono che FinFisher sia usato nel nostro Paese da diverse entità. In un caso hanno identificato un indirizzo IP (2.228.65.xxx) usato come server FinFisher dal 2014 ad oggi, a cui in passato era stato associato invece l’utilizzo del software di Hacking Team. “Potrebbe indicare che una agenzia governativa italiana sia passata da Hacking Team a FinFisher”, scrivono i ricercatori.

La caccia ai server nascosti

Come hanno fatto i ricercatori di Citizen Lab a mappare l’utilizzo di FinFisher?Hanno individuato i suoi server, attraverso molteplici scansioni della Rete fatte nel 2015 usando una “impronta” degli stessi elaborata analizzando campioni del software. Ne hanno individuato 135: alcuni sono dei proxy che servono a rimbalzare e anonimizzare il traffico con cui sono raccolti i dati dai computer infettati; altri, i più importanti, sono i centri di controllo, che stanno dai clienti. Per localizzarli i ricercatori hanno escogitato diversi trucchi. I server infatti cercano di mimetizzarsi; se uno digita il loro indirizzo viene mostrata una pagina innocente, spesso Google.com o Yahoo.com. Ma i ricercatori hanno trovato il modo di mapparli ugualmente sfruttando ad esempio i dati ricavati dai widget meteo della pagina di Yahoo, che rivelavano la sua vera localizzazione. Un server italiano usava ad esempio come pagina per nascondersi il portale libero.it.

Stato di sorveglianza in Uganda

Ieri è stato pubblicato anche un altro rapporto su FinFisher e l’Uganda. Si tratta di una ricerca di due anni condotta dall’ong britannica Privacy International. Una fotografia dettagliata da cui emerge un vero e proprio Stato di sorveglianza, che fra le altre cose avrebbe fatto ampio uso degli spyware FinFisher. In particolare dal 2012, scrive il rapporto, il presidente Museveni ha lanciato l’operazione Fungua Macho (“apri gli occhi”, in swahili) con cui avrebbe spiato membri dell’opposizione, attivisti, giornalisti. La polizia e i militari avrebbero impiegato lo spyware specificamente per “schiacciare… la disobbedienza civile” e “reprimere la crescente influenza dell’opposizione” ricattandola con le informazioni ricavate.

FinFisher non fu l’unica azienda contatta dal governo del Paese africano. C’era anche un progetto per mettere in piedi un centro di monitoraggio delle comunicazioni, per il quale erano in lizza molte aziende occidentali e non: Huawei e ZTE, NICE e Verint (di cui abbiamo scritto qua ), Macro System e l’italiana RESI Group (di cui abbiamo scritto qua ). Secondo le mail (pubblicate online) di Hacking Team, scrive il rapporto, la polizia era interessata a comprare anche lo spyware dell’azienda milanese.

Forse uno degli aspetti più inquietanti della massiccia operazione di spionaggio/sorveglianza perpetrata dal governo ugandese riguarda la modalità di infezione. Per attaccare i target sono state compromesse le reti LAN e Wi-Fi di istituzioni pubbliche e hotel, spesso con la collaborazione di questi ultimi. 21 hotel a Kampala, Entebbe e Masaka erano usati per infettare gli ospiti attraverso finti portali Wi-Fi.

Chi controlla gli spyware?

L’utilizzo degli spyware appare sempre più problematico in Paesi non pienamente democratici. Tuttavia c’è chi solleva dei dubbi anche per le democrazie. Scrivono ad esempio i ricercatori di Citizen Lab: “Può essere difficile anche per governi democratici con un forte stato di diritto controllare le capacità investigative segrete dei software di intrusione”. E proprio di questo si parla oggi e domani in un convegno a Cagliari, E-privacy 2015, interamente dedicato agli spyware. Da noi, li chiamano captatori informatici. (fonte)

You may also like...