Pegasus: un altro spyware contro i giornalisti

Pegasus è uno spyware creato per dispositivi mobili che trasforma un cellulare in una stazione di sorveglianza mobile. I ricercatori hanno documentato che viene utilizzato per spiare i giornalisti. Ciò comporta implicazioni significative per la sicurezza dei giornalisti e per quella delle loro fonti.

Nel 2018, Citizen Lab – laboratorio interdisciplinare con sede presso la Munk School of Global Affairs dell’Università di Toronto, in Canada – ha dichiarato di aver rilevato Pegasus in oltre 45 paesi. Pegasus, secondo il rapporto, avrebbe potuto essere schierato contro giornalisti e personalità della società civile in Messico, Arabia Saudita, Bahrain, Marocco, Togo, Israele, Stati Uniti e negli Emirati Arabi Uniti.

Nel maggio 2019, è stata identificata una vulnerabilità nell’app di messaggistica WhatsApp che, prima che fosse patchata, infettava alcuni telefoni dei suoi utenti con spyware, tra i quali oltre cento difensori dei diritti umani e giornalisti in almeno venti paesi, secondo Citizen Lab. WhatsApp, di proprietà di Facebook, ha successivamente identificato lo spyware come Pegasus o una sua variante prodotta dal gruppo israeliano NSO, che commercializza strumenti per indagare il crimine e il terrorismo presso le agenzie governative.

Lo spyware offre all’autore dell’attacco la possibilità di monitorare, registrare e raccogliere dati esistenti e futuri dal telefono. Ciò include chiamate e informazioni da applicazioni di messaggistica e dati sulla posizione in tempo reale. Lo spyware è in grado di attivare da remoto la videocamera e il microfono per sorvegliare il suo target, il giornalista o la personalità quindi, e l’ambiente circostante.

Pegasus è progettato per essere installato su telefoni con Android, BlackBerry OS e iOS senza avvisare il target della sua presenza. I giornalisti probabilmente sapranno se il loro telefono è stato infettato solo se il dispositivo sarà verificato da un esperto di tecnologia.

Se hai motivo di credere di essere stato preso di mira e di avere spyware sul tuo dispositivo:

  • Interrompi immediatamente l’utilizzo del dispositivo.
  • Posiziona il dispositivo in un luogo che non comprometta te o l’ambiente circostante.
  • Disconnettiti da tutti gli account e scollegali dal dispositivo.
  • Da un dispositivo diverso, cambia tutte le password dei tuoi account.

Cerca un esperto di sicurezza digitale. Se sei un giornalista freelance o non hai accesso al supporto tecnico, puoi contattare la Helpline di Access Now, che è un gruppo internazionale senza scopo di lucro, di attivisti per i diritti umani, per le politiche pubbliche e per la difesa dedicato a un Internet aperto e gratuito.

Pegasus può essere installato in diversi modi. I giornalisti dovrebbero tenersi aggiornati su questi metodi e adottare le misure appropriate per proteggere se stessi e le loro fonti.

Attacchi zero-day

Gli attacchi zero-day sfruttano il software vulnerabile, senza alcuna attività umana, delle persone. Non richiedono cioèalcuna interazione da parte dell’utente.

I rapporti dell’hacking di WhatsApp affermano che un attacco di questo tipo aveva assunto la forma di chiamate da numeri sconosciuti agli utenti, provocando l’arresto anomalo dell’app. I numeri sono scomparsi dal registro delle chiamate, senza lasciare traccia di una chiamata persa o di chi l’aveva effettuata.

Proteggersi da un attacco zero-day è difficile. I giornalisti che potrebbero essere presi di mira da un avversario sofisticato e prepotente come un Governo dovrebbero prendere in considerazione la possibilità di sostituire i telefoni con apparati a buon mercato sostituendoli ogni pochi mesi come precauzione.

Attacchi di spear-phishing

In questo caso gli aggressori creano messaggi personalizzati inviati a un giornalista specifico. Questi messaggi trasmettono una sensazione di urgenza e contengono un collegamento o un documento su cui il giornalista è invitato a fare clic. I messaggi sono disponibili in una varietà di forme, tra cui SMS, e-mail, tramite app di messaggistica come WhatsApp o tramite messaggi su piattaforme di social media. Una volta che il giornalista ha fatto clic sul collegamento, lo spyware viene installato sul proprio telefono.

La ricerca di Citizen Lab e Amnesty International ha scoperto che i messaggi tendono ad assumere le seguenti forme:

  • Messaggi che pretendono di provenire da un’organizzazione nota come un’ambasciata o un’organizzazione giornalistica locale.
  • Messaggi che avvisano il bersaglio potrebbero trovarsi di fronte a una minaccia immediata alla sicurezza.
  • Messaggi che sollevano problemi legati al lavoro, come ad esempio la copertura di un evento su cui il giornalista target di solito riporta.
  • Messaggi che fanno appello su questioni personali, come quelli relativi a fotografie compromettenti dei partner.
  • Messaggi finanziari che fanno riferimento ad acquisti, carte di credito o dettagli bancari.

I messaggi sospetti possono anche arrivare da numeri sconosciuti.

Gli aggressori possono prendere di mira telefoni personali e da lavoro. Per proteggere meglio se stessi e le loro fonti, i giornalisti dovrebbero:

  • Verificare il collegamento con il mittente attraverso un diverso canale di comunicazione. Questo dovrebbe preferibilmente avvenire tramite video o voce.
  • Se il mittente non ti è noto in precedenza, i canali secondari potrebbero non fornire una verifica corretta dei collegamenti, in quanto i canali secondari potrebbero essere creati dall’avversario come parte di un’identità di copertura elaborata.
  • Se il collegamento utilizza un servizio di accorciamento URL come TinyURL o Bitly, inserire il collegamento in un servizio di espansione URL come Link Expander o URLEX. Se il collegamento espanso sembra sospetto, ad esempio imitando un sito Web di notizie locale ma non essendo lo stesso, non fare clic sul collegamento.

Se ritieni di dover aprire comunque il collegamento, non utilizzare il dispositivo principale. Apri il collegamento su un dispositivo secondario separato che non ha informazioni sensibili o dettagli di contatto e viene utilizzato esclusivamente per visualizzare i collegamenti. Esegui regolarmente un ripristino delle impostazioni di fabbrica sul dispositivo, tenendo comunque presente che ciò potrebbe non rimuovere lo spyware. Tieni il dispositivo secondario spento, con la batteria rimossa, quando non in uso.

Utilizza un browser non predefinito per il telefono. Si sospetta che Pegasus abbia come target i browser predefiniti. Il browser predefinito per Android è Chrome e il browser predefinito per iOS è Safari. Utilizzare un browser alternativo come Firefox Focus e aprire il collegamento in questo potrebbe essere opportuno. Tuttavia, non esiste alcuna garanzia che Pegasus non abbia o non abbia già preso di mira altri browser.

Installazione fisica da parte di un avversario

Pegasus può anche essere installato sul tuo telefono se un avversario ottiene l’accesso fisico al dispositivo. Per ridurre il rischio:

  • Non lasciare il dispositivo incustodito ed evita di consegnare il telefono ad altri.
  • Quando si attraversa un confine o un checkpoint, assicurati di poter sempre vedere il telefono. Spegni il telefono prima di arrivare al checkpoint e usa una passphrase complessa composta da lettere e numeri. Tieni presente che se si utilizza il telefono, il dispositivo potrebbe essere compromesso.