spionaggio digitale

I cyber mercenari ci spiano via Facebook: ecco i rischi della Surveillance-as-a-service

Almeno 50 mila utenti “scomodi” – giornalisti, avvocati, dirigenti, celebrità, politici, oppositori di regimi autoritari e attivisti per i diritti umani e sociali – vittime di attività di spionaggio via Facebook. Sette aziende bloccate, 1.500 account eliminati. Il bilancio dell’indagine Meta, le questioni su cui riflettere

23 Dic 2021
Marina Rita Carbone

Consulente privacy

A seguito di un’indagine svolta da Meta e durata diversi anni, è emerso che almeno 50.000 utenti sono stati vittima di attività di spionaggio condotte da sette società via Facebook su un bacino di utenza dislocate in oltre 100 nazioni differenti.

Al centro delle attività di spionaggio si trovavano, principalmente, personalità di rilievo o, come riportato da parte della cronaca, “scomode”, come giornalisti, avvocati, dirigenti, celebrità, politici, oppositori di regimi autoritari e attivisti per i diritti umani e sociali. Non solo: anche i familiari e gli amici delle vittime prescelte erano attentamente monitorati dalle campagne di spionaggio.

Meta, come cambia il ruolo del social network nel mondo

La scoperta di tali attività ha portato all’eliminazione, da parte di Facebook, dei soggetti coinvolti e dei gruppi di spionaggio, per un totale di circa 1500 account falsi, oltre all’invio massivo di lettere di diffida funzionali alla cessazione delle attività illecite sulla piattaforma.

Si tratta di un’indagine che solleva molte questioni sul tema, a partire dalle possibili azioni da intraprendere allo scopo di limitare l’abuso dei social media per fini illeciti o poco chiari.

Surveillance-as-a-service

Come spiegato da Meta nel report reso noto a conclusione dell’indagine svolta, l’industria globale della sorveglianza su commissione offre ai propri clienti un servizio di raccolta informazioni, manipolazione e compromissione dei dispositivi e degli account dei soggetti prescelti.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza

È da tempo nota l’esistenza di aziende private che, mediante strumenti digitali all’avanguardia, consentono di estrapolare una serie di informazioni riservate sul lavoro e la vita privata delle persone, a supporto delle forze dell’ordine o di soggetti terzi che perseguono scopi potenzialmente illegittimi.

Le conversazioni sul tema si sono focalizzate, sinora, solo su una manciata di aziende e di attività possibili, nonostante l’espansione del settore comprenda centinaia di aziende in tutto il mondo. L’indagine di Meta oggi resa pubblica delinea come la sorveglianza di massa del settore privato abbia dimensioni mai rivelate prima.

“I cyber mercenari spesso affermano che i loro servizi e il loro sistema di sorveglianza sono destinati a concentrarsi sul monitoraggio di criminali e terroristi”, ha dichiarato Nathaniel Gleicher, responsabile della sicurezza di Facebook. “Ma la nostra indagine e indagini simili da parte di ricercatori indipendenti, dei nostri colleghi del settore e dei governi hanno dimostrato che il targeting è in realtà indiscriminato”.

Tra i soggetti prevalentemente presi di mira troviamo, come anticipato, giornalisti, dissidenti, critici di regimi autoritari, e attivisti per i diritti umani in tutto il mondo. “Queste aziende”, si legge nel report, “fanno parte di un settore in espansione che fornisce indiscriminatamente strumenti software invadenti e servizi di sorveglianza a qualsiasi cliente – indipendentemente da chi prendono di mira o dalle violazioni dei diritti umani che potrebbero consentire”. Nella maggior parte dei casi, le persone prese di mira non sanno neppure di esserlo.

Le fasi dell’attività di targeting posta in essere da parte degli operatori di sorveglianza sono tre, di natura ciclica ed interconnesse strettamente fra loro:

  • Ricognizione: gli obiettivi sono silenziosamente profilati da parte dei cyber-mercenari per conto dei loro clienti, anche mediante l’utilizzo di software (c.d. softwareware) che automatizzano la raccolta dei dati da internet (blog, social media, wikipedia e wikidata, forum e siti del dark web). Uno dei mezzi principali per raccogliere informazioni sui social media è l’uso di account falsi, più o meno sofisticati in base agli obiettivi di spionaggio che si perseguono, e ai soggetti che svolgono l’attività.
  • Coinvolgimento: viene stabilito un contatto con gli obiettivi o con le persone loro vicine nel tentativo di creare un clima di fiducia, sollecitare l’ottenimento di informazioni e indurle a cliccare – mediante l’inganno – su link o a scaricare file malevoli (nello scopo di attivare la fase di “sfruttamento”). Per fare ciò, gli operatori si affidano in genere a tattiche di ingegneria sociale e utilizzano personaggi fittizi per raggiungere le persone tramite e-mail, telefonate, messaggi di testo o messaggi diretti sui social media. Si tratta di sforzi spesso prolungati che richiedono la creazione di intere organizzazioni false, all’interno di più servizi Internet, così da apparire maggiormente legittimi alle vittime e sfuggire ad eventuali controlli sull’autenticità degli account.
  • Sfruttamento: secondo il report pubblicato da Meta, “i provider possono creare domini di phishing progettati per indurre gli obiettivi a regalare i loro credenziali per account sensibili come e-mail, social media, servizi finanziari e aziendali reti. Li abbiamo visti falsificare i domini di agenzie di stampa, fornitori di telecomunicazioni, banche, e servizi di abbreviazione degli URL per ingannare le loro vittime”. L’obiettivo finale è quello di “consentire la sorveglianza e il monitoraggio a livello di dispositivo dei telefoni cellulari o computer. A quel punto, a seconda dell’exploit, l’attaccante può accedere a qualsiasi dato sul telefono o il computer del bersaglio, inclusi password, cookie, token di accesso, foto, video, messaggi, rubriche e attivare silenziosamente il microfono, la fotocamera e monitoraggio della geolocalizzazione”.

Le società di spionaggio individuate

A conclusione dell’indagine, sono state intraprese azioni nei confronti di diverse società di sorveglianza su richiesta in tutto il mondo, al fine di impedire che le stesse possano utilizzare infrastrutture digitali proprietarie per abusare dei servizi e delle potenzialità delle piattaforme di social media allo scopo di estorcere informazioni riservate e spiare le persone online.

In particolare, si è provveduto all’invio di diffide “cease-and-desist” e alla notifica delle attività illecite rilevate nei confronti oltre 50.000 vittime, cui potranno senza dubbio aggiungersene altre. Gli avvisi dicono alle vittime che “un attore sofisticato potrebbe prendere di mira il tuo account Facebook” e raccomandano i passaggi per proteggere meglio il loro account, incluso l’esecuzione di un controllo della privacy.

Le sette aziende la cui attività è stata classificata come illecita vantano, ad oggi, una vasta e diversificata serie di clienti, fra i quali compare anche lo stesso governo degli Stati Uniti d’America. Trattasi, in particolare, di:

  • Cobwebs Technologies, una società israeliana con uffici e clienti negli Stati Uniti, che, mediante 200 account falsi, avrebbe raccolto informazioni private utilizzando avanzate tattiche di ingegneria sociale. La società, secondo quanto riportato dagli investigatori di Meta, è utilizzata dalle forze dell’ordine, ma anche per colpire attivisti, politici dell’opposizione e funzionari governativi in Messico e Hong Kong. Il portavoce di Cobwebs, Meital Levi Tal, ha dichiarato al MIT Technology Review che la società non era a conoscenza dei risultati di Meta e che “opera solo secondo la legge e aderisce a standard rigorosi in materia di protezione della privacy”;
  • La società israeliana Cognyte avrebbe utilizzato circa 100 account per monitorare giornalisti e politici di tutto il mondo;
  • Black Cube, società sempre israeliana che, nel corso degli anni è stata associata a una serie di scandali legati allo spionaggio, in special modo, di giornalisti, avrebbe raccolto informazioni su una vasta di obiettivi che vanno dagli attivisti palestinesi alle persone che lavorano nel settore medico ed energetico agli accademici (localizzati soprattutto in Russia). Secondo quanto riferito nel report, Black Cube avrebbe costruito numerosi personaggi falsi, tra cui studenti, operatori dei diritti umani e produttori cinematografici. La tecnica perseguita è quella di stringere amicizia con la vittima o con una persona a lei vicina, nel tentativo di ottenere l’e-mail del bersaglio ed eseguire una serie di attacchi di phishing. La società ha negato di aver intrapreso operazioni di hacking e ha insistito sul fatto che tutte le “attività degli agenti sono pienamente conformi alle leggi locali”;
  • Un’altra azienda israeliana, Bluehawk CI, già nota per utilizzare account di falsi giornalisti e spingere le vittime all’installazione di malware, ha visto la cancellazione di 100 account, utilizzati, secondo quanto riportato, contro oppositori politici del governo degli Emirati Arabi Uniti e uomini d’affari operanti in tutto il Medio Oriente;
  • Nei confronti della società indiana BellTroX, Facebook ha rimosso 400 account di falsi politici e giornalisti, probabilmente utilizzati per eseguire attacchi di phishing nei confronti delle vittime designate, tra cui medici, avvocati, attivisti e membri del clero in Angola, Argentina, Arabia Saudita e Islanda;
  • La società macedone del Nord Cytrox, parte di un’alleanza di società di sorveglianza e intelligence nota come Intellexa, avrebbe preso di mira giornalisti e politici di tutto il mondo. All’interno del gruppo Intellexa, già un’altra società, la Nexa Technologies, è stata accusata di aver preso parte allo spionaggio e alla tortura dei dissidenti in Libia ed Egitto;
  • Infine, un’organizzazione non identificata in Cina è stata collegata a una vasta operazione di sorveglianza che includeva l’uso dell’ingegneria sociale e lo sviluppo di malware per spiare gruppi minoritari nello Xinjiang, in Cina, così come in Myanmar e a Hong Kong.

“Quando vediamo le reti impegnarsi in questo tipo di attività, adottiamo un approccio di rete”, ha dichiarato David Agranovich, direttore della threat disruption di Facebook, “Eliminiamo tutte le loro attività sulla piattaforma allo stesso tempo. E sapendo che sono reti contraddittorie, lavoreremo per tenerle lontane dalla nostra piattaforma”.

Il sottile confine tra lecito e illecito

All’interno di piattaforme come Facebook, afferma il team di Facebook che ha condotto l’indagine, “non esiste un modo scalabile per discernere lo scopo o la legittimità di tale targeting. Inoltre, l’uso di queste terze parti servizi offusca chi potrebbe essere ciascun cliente finale, cosa viene raccolto e come le informazioni vengono utilizzate contro i gruppi vulnerabili”.

Per tale motivo, è sempre più necessario concentrarsi sulle modalità di applicazione di comportamenti abusivi come quelli riscontrati, indipendentemente da chi abbia commissionato l’attività di spionaggio o da chi potrebbe essere l’obiettivo della stessa.

Gli investigatori hanno aggiunto, tuttavia, che non tutto il lavoro svolto dalle aziende di sorveglianza sembra contravvenire alle leggi e agli standard etici: alcune di queste aziende sono note, infatti, per utilizzare Facebook e Instagram per lo svolgimento di legittimi lavori di intelligence e applicazione della legge vigente.

Tra le attività lecite di spionaggio, a supporto delle forze dell’ordine, il report fa presente anche come Facebook disponga già di canali autorizzati ove le agenzie governative possono presentare legittime richieste di informazioni, senza ricorrere a strumenti dubbi come quelli utilizzati dalle agenzie di spionaggio, che si basano esclusivamente sul pagamento del corrispettivo, senza svolgere una valutazione in merito alla liceità dei fine perseguito dal committente: “Questi canali sono progettati per salvaguardare il giusto processo e noi segnaliamo pubblicamente il numero e l’origine di queste richieste in modo che le persone di tutto il mondo abbiano il quadro completo”.

Viceversa, le società elencate nel report attuerebbero un targeting indiscriminato, e sarebbero “progettate per nascondere chi sono i loro clienti. Se sei un governo straniero che vuole rendere difficile per i difensori trovarti, assumi una società come questa per creare uno strato di offuscamento tra te e il danno che si verifica”.

Gli obiettivi futuri

L’indagine svolta da Facebook ha, fra i suoi obiettivi, anche quello di stimolare una discussione più ampia sul tema della sorveglianza a pagamento, e disincentivare il ricorso a detti strumenti. A ciò occorre affiancare, affermano gli investigatori, la sensibilizzazione del pubblico in merito alle tecnologie utilizzate dalle società di spionaggio e sorveglianza.

Più nello specifico, sono tre i principi individuati che dovrebbero guidare la lotta alle attività di spionaggio illecito:

  • Maggiore trasparenza e supervisione: si rende necessaria, in particolare, “una solida supervisione internazionale che stabilisca standard di trasparenza e di <<conosci il tuo cliente>> per questo mercato” e ne controlli l’applicazione da parte dei soggetti del mercato;
  • Collaborazione nel settore: poiché le attività di sorveglianza sono attuate differentemente sulle diverse piattaforme tecnologiche, occorre collaborare con le altre aziende del settore per meglio comprendere e mitigare gli abusi, anche mediante l’utilizzo di leve legali “in modo da poter costruire collettivamente deterrenza e imporre costi sui servizi abusivi”;
  • Governance ed etica: si incoraggia l’ulteriore conversazione, a livello governativo e regolamentare, riguardo il tema dell’etica dell’utilizzo di tecnologie di sorveglianza da parte di compagnie private, oltre alla creazione di efficaci regimi normativi e di monitoraggio che forniscano effettiva protezione alle vittime.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 3