Non solo CIA & friends: anche i cyber-spioni italiani all’avanguardia nel controllo dei loro concittadini

619
Siamo di fronte a quello che è probabilmente il più sofisticato spyware mai realizzato, un software invisibile capace di intercettare conversazioni, inviare foto e dati dei bersagli ai server di controllo. La novità, però, è che ci troviamo di fronte ad un software scritto in Italia da qualche azienda di cyber security (per conto di qualche Servizio dì intelligence?) pensato per sorvegliare utenti italiani e usato solo ed esclusivamente in Italia.  Ripetiamolo: non ci si trova davanti ad un malware creato dai classici cybercriminali che cercando di rubare identità e carte di credito per frodare gli utenti ma ad un sistema nato per sorvegliare, raccogliere spostamenti, documenti e dati. Insomma, usato proprio contro di te che stai leggendo in questo momento.

di Roberto Pezzali

(dday.it) – 17.01.2018 – Lo ha scoperto Karspersky e lo ha battezzato Skygofree: siamo di fronte a quello che è probabilmente il più sofisticato spyware mai realizzato, un software invisibile capace di intercettare conversazioni, inviare foto e dati dei bersagli ai server di controllo. La novità, però, è che ci troviamo di fronte ad un software scritto in Italia da qualche azienda di cyber security, pensato per sorvegliare utenti italiani e usato solo ed esclusivamente in Italia.Un caso che ricorda quello di Hacking Team, con la differenza che mentre i server di Hacking Team sono stati violati ed è stato scaricato il codice sorgente l’organizzazione che gestisce Skygofree è tutt’ora attiva. Solo nei prossimi giorni, quando gli antivirus aggiorneranno la lista delle definizioni, gli utenti che sono sotto “sorveglianza” capiranno di avere Skygofree installato e che quindi parte delle loro conversazioni e dei messaggi è finito nelle mani di qualcuno. Ma di chi?

La domanda è lecita, ed è la stessa Karspersky ad affermare che non ci si trova davanti ad un malware creato dai classici cybercriminali che cercando di rubare identità e carte di credito per frodare gli utenti ma ad un sistema nato per sorvegliare, raccogliere spostamenti, documenti e dati. Si può pensare a sorveglianza privata, poco probabile, o ad un sistema usato da agenzie governative e forze dell’ordine per sorvegliare soggetti mirati. La scoperta di Skygofree potrebbe rappresentare un enorme problema in quest’ultimo caso, mandando all’aria diverse indagini in corso.

Chi c’è dietro Skygofree? Le ipotesi lasciano pensare che ci sia una azienda di cybersecurity italiana, la Negg Security, società di Cosenza recentemente trasferitasi a Roma. Nel codice ci sono diverse indicazioni che riguardano “negg”, dai certificati ai server ai quali lo spyware invia le informazioni.

Ovviamente si tratta di supposizioni, non esiste la certezza. La Negg Security ha in ogni caso partecipato a diversi convegni sulla cybersicurezza promossa anche da enti legati al Governo italiano, e questo lascia pensare che lo strumento sia uno dei tanti che viene prodotto e venduto per indagini autorizzate.

Android e Windows nel mirino. L’iPhone pare sicuro

Il sistema operativo più colpito è Android: le prime tracce dello spyware sono state scoperte nel 2014 e in questi anni lo spyware si è evoluto continuando ad attaccare il sistema operativo di Google, ampliando le sue possibilità operative e diventando ancora più difficile da rimuovere. In un lungo post sul suo blog Karspersky elenca nel dettaglio cosa possono fare le varie versioni e i trucchi usati per renderlo invisibile e sempre operativo.

Le evoluzioni dello spyware nel corso degli anni

Un lavoro enorme e certosino, che ha richiesto anche diverse modifiche del codice per andare a colpire alcune marche di smartphone in particolare.

Huawei, ad esempio, ha un sistema particolare che inserisce le app che devono essere sempre attive in una lista di app protette: quelle che non sono nella lista vengono disattivate quando lo schermo è spento per preservare la batteria.

Chi ha scritto lo spyware si è preoccupato anche di questo: ha fatto in modo che se nel caso di smartphone Huawei lo spyware stesso è in grado di aggiungersi alla lista delle app protette in modo tale da restare perennemente attivo.

C’è anche una versione per Windows: scritta in Phyton, linguaggio molto comune, questa versione è meno sofisticata di quella per Android ma è comunque in grado di registrare ogni tasto premuto sulla tastiera, di inviare screenshot dello schermo e di registrare l’audio.

Anche in questo caso sono molti i riferimenti a “Ngg/Negg”. Tra i moduli, l’unico scritto in linguaggio .Net e non in Phyton è quello denominato “skype_sync2.exe”: il suo obiettivo è registrare le telefonate Voip via Skype.

Cosa può fare lo spyware una volta installato

Nel documento redatto da Karspersky sono ben 46 le azioni che l’ultima versione del trojan, perché funziona proprio come un cavallo di troia, è in grado di gestire su comando del sorvegliante.

Tra quelle più interessanti “geofence”, che stabilisce una sorta di recinto di coordinate GPS all’interno delle quali lo smartphone inizia a registrare audio per poi inviarlo a chi è in ascolto e “social”, il grado di inviare i database con conversazioni e contatti di Whatsapp, di Messenger, di Facebook, di Gmail e di ogni altra applicazione installata

Non manca la funzione “camera”, che registra foto allo sblocco del telefono e quando desiderato e la funzione Wi-fi, che forza la connessione ad una specifica rete. L’elenco dei comandi è comunque lunghissimo: volendo si può anche attivare una reverse shell, ovvero forzare lo smartphone a connettersi ad una rete prestabilita fornendo quindi un accesso “shell”, ovvero un accesso completo al sistema per scavare a mano all’interno dei file dei dispositivo. Molte di queste funzioni sono state create sfruttando molti strumenti open-source disponibili in rete, e opportunamente modificati per espletare le funzioni richieste.

Finti siti Vodafone e Tre per infettare i dispositivi

Come ogni malware o spyware è necessario il consenso da parte dell’utente per l’installazione. Nel caso di Skygofree gli sviluppatori hanno pensato di servirsi di una serie di pagine modificate che fanno pensare ai sorvegliati di trovarsi su una pagina del sito Tre o Vodafone. Il riferimento a Skygofree lascia pensare che probabilmente, una futura versione, era pensata per sfruttare il nome di Sky e la sua app Skygo per caricare l’exploit.

Inutile dire che di fronte ad una schermata simile una persona su due probabilmente cade nel tranello. L’utente preme “scarica adesso”, il malware si installa, invia ai server di chi controlla la richiesta di payload e viene caricata sullo smartphone l’ultima versione del trojan disponibile. Lo spyware sfrutta alcune vulnerabilità note di Android per fare escalation dei privilegi: gli stessi metodi utilizzati per effettuare il root dei dispositivi Android sono stati usati per abilitare di nascosto tutti i permessi e agevolare quindi il lavoro di sorveglianza e accesso ai file, solitamente protetti da Android.

Non tutte le versioni di Android sono (erano) vulnerabili, ma come è noto gli aggiornamenti, soprattutto quelli legati alla sicurezza, non sempre sono disponibili per tutti i dispositivi.

La presenza di una serie di commenti in italiano nel codice del “virus” è la prova evidente che tutto il sistema è stato sviluppato da italiani.

Qualcuno potrebbe chiedersi a questo punto come un utente può finire su un finto sito di Vodafone o di Tre e venire quindi ingannato dal sistema di spionaggio. In realtà non è difficile: basta per esempio creare una rete wi-fi aperta, anche con un hotspot portatile, e servire quella pagina. Un tema quello delle reti aperte molto sensibile: una rete creata ad hoc in piazza duomo con nome “Duomo Wi-fi Pubblica” è un’esca alla quale sicuramente centinaia di persone abboccano. Ci sono anche altri metodi, ma questo è il più semplice e immediato.

Il più sofisticato spyware mai scoperto

C’è una cosa di cui possiamo andare fieri: secondo Karspersky Skygofree con il suo sistema di infiltrazione sugli smartphone Android è uno dei più potenti sistemi di spionaggio che l’azienda abbia mai scoperto per Android. Codice scritto bene, struttura complessa e funzionalità inedite mai viste prima in uno strumento di sorveglianza, come la possibilità di registrare audio solo in determinale località.

Restano a questo punto aperti molti interrogativi: è davvero la Negg Security l’azienda che lo ha creato o le similitudini nei nomi sono solo una casualità? Chi lo sta usando e perché?

Karspersky è sicura che è stato usato solo in Italia e solo su soggetti italiani e che molti sono ancora attivi. Inoltre, nella giornata di ieri, i server che fornivano la pagina dei gestori telefonici “finta” creata per forzare le persone a scaricare il virus sono stati ripuliti.

Una bella spy-story, in pieno stile Hacking Team. Ma qui, confrontando codici e possibilità, sembra di trovarsi di fronte a qualcuno davvero bravo.