Con una paradossale inversione di ruolo, gli hacker di Stato sono stati violati. La società tedesca FinFisher , parte del gruppo Gamma, una delle principali aziende globali nella fiorente industria della sorveglianza digitale, e in particolare una di quelle che vendono software a governi e agenzie di intelligence di tutto il mondo per spiare i computer di specifici utenti, è stata hackerata. E dai documenti riservati pubblicati online è emersa, insieme ai prezzi dei suoi prodotti o alla vastità delle loro capacità di “spionaggio”, anche una scomoda verità che aleggiava da tempo nel settore, pur non avendo conferme ufficiali. E cioè che simili software – “armi digitali”, li definisce l ’europarlamentare olandese Marietje Schaake – sono venduti anche a governi autoritari e repressivi per monitorare e colpire attivisti, giornalisti e minoranze.

ll finto profilo Twitter
Ma cosa è successo? Qualche giorno fa compare un misterioso account su Twitter, @GammaGroupPR . E’ un profilo finto, che esordisce con un cinguettio tra l’ironico e il minaccioso. “Qui a Gamma International abbiamo finito i governi a cui vendere, così apriamo anche al pubblico!” . Da quel momento l’account ha iniziato a pubblicare documenti riservati di FinFisher, prelevati molto probabilmente da uno o più hacker dopo una violazione del sito di supporto clienti dell’azienda (che infatti nel momento in cui scriviamo non è raggiungibile).

I software spia
Si tratta di circa 40 GB di materiali rilasciati online, un leak corposo da cui emergono molti dettagli di quella che è un’industria segreta e oscura per definizione, l’industria dell’hackeraggio a fini di intelligence, sorveglianza o indagine. Cosa vende esattamente FinFisher? Una suite di software, FinSpy, che permettono di infettare un computer (o uno smartphone) di un target specifico e da quel momento spiarne tutta l’attività. Una volta installato, lo spyware di FinFisher può, ad esempio, copiare file, registrare quanto digitato sulla tastiera, le conversazioni effettuate via Skype, o anche attivare di nascosto la webcam per una vera e propria intercettazione ambientale. L’accesso al computer vittima da parte di questo tipo di software è pressoché totale, con alcune differenze a seconda del sistema operativo usato (Linux limita un po’ di più il raggio d’azione, ma non è comunque immune).

I documenti pubblicati mostrano anche alcuni degli aspetti più delicati di questo tipo di software, ovvero come avviene l’infezione di un dispositivo.

I casi individuati finora dai ricercatori mostravano perlopiù l’invio di una mail con un allegato infetto. Ma tra le tecniche usate ci sono anche sistemi più sofisticati, come la ricezione sul computer target di un finto messaggio di aggiornamento del player Adobe Flash, che in realtà è il malware “mascherato”.

 

L’uso contro attivisti dei diritti umani
FinFisher, come altre società del settore (in Italia e sulla scena internazionale è nota anche Hacking Team, di cui abbiamo scritto più volte ) assicura che i suoi prodotti in grado di carpire l’intera vita digitale di una persona sono venduti solo a governi per fini di indagine e per contrasto a criminalità e terrorismo.

Tuttavia i dubbi sul loro effettivo utilizzo erano emersi già da tempo, quando nel 2012 alcuni ricercatori del Citizen Lab, laboratorio sulla sorveglianza dell’università di Toronto, avevano trovato campioni e tracce di questo spyware sui computer di vari attivisti in Bahrein. L’azienda aveva sempre negato che si trattasse del suo software, o che fosse venduto direttamente a quel governo, facendo intendere che potesse trattarsi di copie pirata. Ora invece nei documenti pubblicati emerge proprio una fitta corrispondenza tra funzionari governativi del Bahrein e FinFisher. Non solo: il sito BahrainWatch è riuscito a individuare, grazie al leak, alcuni dei computer (e dei relativi utenti) violati dal software.

Tra questi ci sono avvocati e attivisti, tra cui Hassan Mushaima, un leader dell’opposizione attualmente in prigione e che era stato spiato prima di condanna e carcerazione. Oppure Mihamed Altajer, un legale e difensore dei diritti umani che nel 2011 è stato ricattato con un video che lo ritraeva mentre aveva un rapporto sessuale con la moglie. Interessante questo caso perché mostra la diversificazione e il gioco di sponda tra varie tecniche di sorveglianza: il video è stato probabilmente registrato da una videocamera nascosta e installata nella casa delle vacanze dell’avvocato.

Ma lo stesso filmato ricattatorio, inviato su Cd, è stato anche il vettore con cui infettare il pc dell’uomo, preda molto più ghiotta perché ricca di informazioni non solo su di lui ma anche sulla sua rete di contatti. Per inciso, successivamente a questo evento, dopo la partecipazione di Altajer a una conferenza sui diritti umani, il video è stato diffuso online. “E’ stato il giorno più devastante della mia vita”, ha dichiarato l’avvocato a The Intercept , riferendosi al momento in cui ricevette a casa il Cd.

 

Il commento di Privacy International
“Stiamo ancora valutando il materiale uscito”, commenta all’Espresso Kenneth Page, di Privacy International, una Ong britannica che da tempo porta avanti campagne per fare luce sull’industria della sorveglianza. “Sappiamo che i server di comando di FinFisher sono stati trovati in quasi 40 Paesi, e sappiamo che la loro tecnologia intrusiva di spionaggio è usata anche per colpire attivisti dei diritti umani e giornalisti”. Un altro esempio è l’uso  –  individuato tempo fa dai ricercatori di Citizen Lab – di questo software contro un gruppo di opposizione in Etiopia.  “Infine, sappiamo che altre aziende simili cooperano con Gamma e FinFisher per espandere la loro azione su nuovi territori e clienti”.

Un esempio fra tutti: dai documenti si vede che FinFisher rivende delle vulnerabilità (utilizzate per infettare dispositivi) acquistate a sua volta dalla società francese Vupen, che in passato aveva dichiarato di trattare solo e direttamente con governi, non con altre aziende.

Un primo esame di quanto uscito, spiega ancora Page, mostra anche una evoluzione delle capacità di questi prodotti rispetto al passato, che ora sono in grado di colpire quasi tutti i sistemi operativi, inclusi quelli per smartphone, e anche programmi come Microsoft Word. FinFisher riuscirebbe, svelano sempre i documenti, a ingannare oltre una trentina di antivirus, che non sarebbero in grado di individuarne la presenza su un computer. Tra le informazioni uscite ci sono anche il manuale di utilizzo, la brochure e i prezzi, che mostrano come i governi siano disposti a investire su questo genere di strumenti. L’intera suite FinSpy arriverebbe a costare fino a 1,4 milioni di euro, mentre cinque anni di supporto si aggirano sui 331mila euro.