La Lettura, 12 dicembre 2021
Tutto su Trojan, il più sofisticato virus informatico
L’hanno «inoculato». Secondo l’indagine di informatica forense, l’infezione risale al 2017. L’hanno lasciato in stand-by. Per quasi tre anni, lo spyware è rimasto in letargo, acquattato nell’iPhone 6 di un medico lombardo.
Il 19 maggio 2020, l’hanno attivato. E il virus ha iniziato uno scandaglio frenetico sul cellulare. Come fosse un aspiratore a strascico, è entrato ad «annusare» e sniffare in tutti gli ambienti: contatti, foto, chat, telefonate, email, sms, immagini, note, app, mappe, cronologie, navigazioni. Una ricerca famelica. Obiettivo: estrarre credenziali e password bancarie. Per avere un’idea: dal momento dell’attivazione, il 19 maggio, soltanto sulle app di quel telefono, il virus-spia genera 679 file di log al giorno (ogni file di log corrisponde a una qualsiasi operazione fatta su un’app). Vuol dire 28 azioni sulle app ogni ora, in continuo, anche di notte. Particolare decisivo: quando il medico prende in mano il telefono, non si accorge di nulla. Soltanto la batteria si scarica un po’ più rapidamente.
E in uno di quei giorni, il dottor Gianni Camotti contrae il Covid sul lavoro, in ospedale, in forma grave. Viene ricoverato. Mentre il Sars-Cov-2 funesta la Lombardia con la sua prima ondata, il «Pegasus» informatico spolpa il suo cellulare.
Il 28 maggio parte l’attacco. E ha il ritmo incalzante di una rapina violenta. Tra le 17.19 e le 17.44 gli hacker fanno sei pagamenti dalla carta di credito del medico; alle 18.04 entrano nel suo conto e trasferiscono altro denaro per aggirare il raggiungimento del massimale. Il medico si sta sottoponendo ad alcuni accertamenti clinici ma appena vede gli sms della banca con i codici Otp per convalidare gli acquisti si allarma e consulta le app. Sembra tutto in regola. Ma a quel punto parte la seconda «ondata». Alle 19.09 attaccano il suo secondo conto, su Banca popolare di Sondrio, e in 14 minuti dispongono 5 bonifici istantanei (1.499 euro, 12.500 euro, poi 1.300, 13 mila e l’ultimo da 500 euro). Cinque minuti dopo il primo bonifico, alle 19.14, il medico ha già inviato la richiesta per bloccare l’home banking. Ma i bonifici sono partiti. E nel frattempo, tra le 19.49 e le 19.51, gli hacker lanciano altri pagamenti dalla carta dell’altra banca (per un totale di circa 7 mila euro). Alle 21.29 arriva l’alert per «attività sospette» sulla carta. Ma la rapina è finita ormai da un pezzo. È stata come una tempesta, a ritmo forsennato. L’hanno ricostruita, dopo mesi di lavoro, Maria Pia Izzo e Eva Balzarotti, informatiche forensi che con la loro Atlan66 lavorano per privati e fanno consulenza per le indagini di molte Procure italiane. L’assedio al telefono del medico è scattato su più fronti: ma soprattutto, con un’arma mai impiegata prima per attacchi criminali.
Pegasus è il più sofisticato virus informatico di spionaggio sul mercato; lo produce l’azienda israeliana Nso, che opera sotto stretto controllo del ministero della Difesa di Gerusalemme. L’azienda ha una posizione chiara: possiamo vendere il nostro prodotto solo a governi sovrani e agenzie militari, di sicurezza e di polizia governative, e solo per indagini su terrorismo e criminalità. Ma da oltre un anno Nso è al centro di azioni legali e diplomatiche, e movimenti d’opinione, perché alcuni Stati avrebbero usato Pegasus per controllare attivisti dei diritti civili, oppositori politici, giornalisti, avvocati. L’azienda israeliana è stata denunciata in due corti federali statunitensi da Facebook-WhatsApp (29 ottobre 2019) e poi da Apple (23 novembre 2021).
L’estate scorsa un consorzio di media internazionali ha rivelato che su un totale di 50 mila cellulari infiltrati da Pegasus, c’erano quelli di tre presidenti in carica (Iraq, Sudafrica e Francia), tre primi ministri (Pakistan, Egitto, Marocco), più sette ex primi ministri, diplomatici, una principessa degli Emirati, agenti governativi (anche statunitensi). Le intercettazioni toccavano 45 Paesi nel mondo. Tra questi, non c’era l’Italia.
Ora però «la Lettura» può rivelare una traccia accertata dell’uso deviato di Pegasus nel nostro Paese, e su un versante del tutto inedito. Non lo spionaggio politico e industriale, ma l’azione puramente criminale sul telefono del medico lombardo. Il suo legale (e fratello), l’avvocato bergamasco Davide Camotti, ha consegnato lo smartphone colpito a Atlan66 per una perizia. Perché all’inizio le banche dicevano: abbiamo tutti i sistemi di sicurezza, quindi se qualcuno è stato in grado di fare quelle operazioni ed è entrato nell’home banking, è perché c’è stata qualche forma di «imperizia» da parte del cliente.
Riflette il legale: «Ci troviamo di fronte a uno strumento criminale finora “sconosciuto”, non mi sembra che al momento esistano sistemi di contrasto per un virus che arriva a livelli così profondi di violazione, e dunque non c’è tutela per le vittime». Perché se un anonimo professionista italiano viene attaccato con lo stesso virus che ha bucato i sistemi di cybersecurity francese per insinuarsi nel telefonino del presidente Emmanuel Macron, vuol dire che il crimine informatico è entrato in un futuro che i sistemi giudiziari europei non sono ancora in grado di definire.
Il virus spia che porta il nome del cavallo alato della mitologia greca appartiene alla tipologia dei «trojan» e ha rivoluzionato il mondo delle intercettazioni informatiche. Sta tutto in una definizione: Pegasus può insinuarsi in un telefono con un’intrusione «zero click», cioè senza la pur minima azione di chi ha in mano lo smartphone. Nella maggior parte dei virus precedenti, il proprietario del telefono doveva «abboccare» a una qualche forma di tranello, come aprire un messaggio, o soltanto toccare un’immagine ricevuta su una chat. Pegasus è invece in grado di fare forcedentry, ingressi forzati. Lo spiega Apple, nella denuncia alla Corte federale del Northern District of California: «Il 7 settembre 2021 abbiamo ricevuto da Citizen Lab (centro investigativo contro lo spionaggio digitale dell’Università di Toronto, ndr) le informazioni tecniche su un tipo di intrusione zero-click denominata forcedentry, scoperta per la prima volta a marzo 2021. Dopo un’intensa attività di ricerca e test, il 13 settembre Apple ha rilasciato la versione iOS 14.8 con alcuni aggiornamenti sulla sicurezza».
Apple aveva studiato anche il sistema BlastDoor, argine informatico che decodifica i messaggi in entrata per verificare che non contengano codici del virus celati all’interno. Ma nella denuncia il colosso di Cupertino racconta che i programmatori di Pegasus «hanno scoperto il modo di aggirare BlastDoor» (che finora sta reggendo nella versione iOS 15). Il documento giudiziario contiene ammissioni che rappresentano un evento di portata epocale per un’azienda che sull’affidabilità fonda la propria storia e il proprio sviluppo: «Apple è sinonimo di sicurezza» e privacy, mentre questi «immorali mercenari del XXI secolo» ne sono «l’antitesi».
Gli Stati Uniti hanno inserito Nso in una lista nera che vieta alle ditte americane di avere rapporti commerciali con quell’azienda. Fino a ieri era stata una guerra tecnologica, con le aziende che investivano centinaia di milioni di dollari per contrastare spionaggio e hackeraggio: oggi diventa anche un conflitto diplomatico e legale, con il gotha dell’industria digitale statunitense che si scontra con la punta più avanzata nello stesso settore dell’alleato Israele. E se al centro di questo scacchiere c’è un allargamento abusivo della sorveglianza informatica, esiste un fronte sotterraneo e trascurato «ma potenzialmente allo stesso modo inquietante e pericoloso», spiegano Izzo e Balzarotti. Quello criminale.
Da una parte ci sono regimi e Paesi che utilizzano Pegasus al di fuori delle regole che firmano sui contratti. Ma in quel caso hanno comunque una licenza legale per l’acquisto e l’uso del prodotto. Fatto impossibile se si parla di truffe bancarie. In questo caso, con tutta evidenza, c’è stato un altro tipo di leak: Pegasus deve essere sfuggito nel dark web, dove è stato acquistato e manipolato per scopi nuovi. Una grande forza del programma è di essere modulare e di avere ampie possibilità di adattamento.
Come è stato possibile che il virus sia sfuggito al «laboratorio» che l’ha creato? Impossibile dirlo. Ma il 5 giugno 2018, in Israele viene arrestato Yechiel Isakov, 38 anni: programmatore senior di Nso, il 29 aprile era stato convocato per essere licenziato, poche ore dopo ha scaricato i codici di Pegasus, poi ha provato a venderli in criptomoneta nel dark web per 50 milioni di dollari. È stato intercettato, bloccato e infine condannato a 5 anni. Nso ha assicurato che nulla era sfuggito dalla propria azienda. Ma è più che probabile che la circolazione nel mercato nero di un «trojan» di Stato come Pegasus si sia innescata attraverso un sentiero analogo. E così gli hacker criminali hanno in mano uno strumento di potenza straordinaria. Alcuni segreti di Pegasus sono svelati nella relazione firmata da Izzo e Balzarotti. Di fatto, dopo avere succhiato le credenziali dall’iPhone del medico, gli hacker hanno creato due nuovi account di home banking su un telefonino Android, un ambiente parallelo e duplicato. In quel momento non avevano più la necessita di rubare i codici Otp, perché li ricevevano loro stessi sulla loro piattaforma-bis, e operavano come se fosse il medico stesso a fare movimenti.
Le due consulenti sono riuscite a dimostrare che questo home banking clone, durante l’attacco, lavorava con l’Ip della connessione telefonica agganciato intorno al lago Trasimeno, fatto decisivo nella richiesta di rimborso alle banche, perché in quel momento il professionista era ricoverato in un reparto Covid in Lombardia. Il suo legale si è rivolto all’arbitrato bancario (ente per la risoluzione delle controversie legato alla Banca d’Italia). La decisione è stata: la banca su cui si appoggiava la carta aveva una carenza nei sistemi di sicurezza e ha restituito i 7.271 euro rubati; la Popolare di Sondrio ha invece insistito sulla scarsa perizia del cliente. L’arbitrato, di fronte a un caso inedito di frode, ha riconosciuto una sorta di concorso di colpa, «condannando» la banca a restituire la metà dei 27 mila euro dei bonifici abusivi. L’istituto da allora si rifiuta di versare la somma e per questo è obbligata a tenere in evidenza sull’homepage del proprio sito l’avviso di «mancato adempimento» rispetto alla decisione dell’arbitrato dello scorso 29 marzo.
Resta un tema. Come è stato inoculato il virus nel telefono del medico? Un’ipotesi è che i codici abbiano viaggiato dentro un’immagine che ha ricevuto su WhatsApp nel 2017 da un numero sconosciuto. Ma non è detto. Perché il sistema più inquietante di infezione è quello descritto dalla denuncia che Facebook (in quanto proprietaria di WhatsApp) ha presentato il 29 ottobre 2019. La multinazionale spiega che tra aprile e maggio 2019 qualcuno ha creato una serie di account sulla piattaforma di messaggistica e con questi ha poi «spedito» Pegasus su 1.400 telefoni di target «politici» tra Bahrein, Emirati e Messico.
L’aspetto sconvolgente è nel metodo di trasmissione: i codici del virus erano annidati nel segnale delle telefonate via WhatsApp. «Quando la telefonata raggiungeva lo smartphone del destinatario, iniettava i codici del virus nella memoria del telefono». E questo accadeva comunque, «anche se la persona non rispondeva a quella telefonata». Sintetizza l’avvocato Camotti: «Allo stato attuale non c’è alcuna possibilità di difendersi da attacchi con questo livello di sofisticatezza».
Nello scacchiere globale ha infine un peso rilevante la testimonianza che Shalev Hulio, Ceo e co-fondatore di Nso, ha reso ai magistrati americani nella causa iniziata da Facebook-WhatsApp: il dirigente ha ribadito di lavorare sotto stretto controllo del governo israeliano, che può revocare le licenze di Pegasus se non vengono rispettati i termini dei contratti. E poi ha aggiunto: «Nel 2017 due rappresentanti di Facebook ci hanno chiesto di acquistare il nostro prodotto perché volevano analisi web più approfondite per un loro servizio. Ne avevano bisogno perché non riuscivano a tracciare a sufficienza gli utenti Apple. Ma Facebook è un’entità privata, e quindi non gli abbiamo venduto Pegasus». Come dire: prima di attaccare noi, guardate cosa accade in casa vostra.