Amnesty International riferisce che in Serbia attivisti e giornalisti indipendenti vengono spiati sfruttando due strumenti: lo spyware Pegasus (dell’aziende israeliana NSO Group), e un tool sviluppato probabilmente in loco denominato NoviSpy.
Pegasus è uno spyware noto usato per la sorveglianza e il targeting di utenti; sfrutta vulnerabilità zero-day (non non note agli sviluppatori del sistema operativo) per portare a termine attacchi con i quali intercettare messaggi, email, foto e file multimediali, trasformando il telefono in uno strumento di sorveglienza.
NoviSpy è nuovo, forse un software “made in Serbia” o importato dall’estero, e serve per spiare, tra le altre cose, attivisti per l’ambiente e della società civile. Amnesty riferisce che nel febbraio 2024 il giornalista indipendente serbo Slaviša Milanov è stato fermato dalla polizia col pretesto di un controllo del tasso alcolemico. Portato in questura, gli è stato ordinato di consegnare lo smartphone, uno Xiaomi Redmi Note 10S. Poi è iniziato l’interrogatorio da parte di agenti in borghese sul suo lavoro.
Mentre rispondeva alle domande, già stranito perché fermato in quanto sospettato, lui astemio, di guidare in stato di ubriachezza, il sospetto è raddoppiato quando non gli hanno chiesto il PIN.
Al termine degli interrogatori, il sospetto è stato confermato: Milanov si è accorto che lo smartphone restituitogli era stato manomesso e i dati erano scomparsi; si è allora rivolto al Security Lab di Amnesty International chiedendo che l’apparecchio venisse analizzato.
Dall’analisi è emerso che, durante l’interrogatorio, era stato usato un prodotto dell’azienda israeliana Cellebrite per sbloccare lo smartphone ed estrarne i dati e che vi era stato installato uno spyware fino a oggi sconosciuto, NoviSpy, forse made in Serbia o importato dall’estero.
L’accaduto ha spinto Amnesty International a fare ricerhce dalle quali è emerso che la polizia e l’Agenzia per la sicurezza delle informazioni della Serbia (Bezbedonosno-informativna Agencija – Bia) ricorrono regolarmente a NoviSpy per infettare gli smartphone di giornalisti e attivisti. Una volta installato, NoviSpy può attivare da remoto microfono e telecamera e fare molti altri danni.
Cellebrite è invece specializzata nello sblocco dei dispositivi e nell’estrazione dei dati. Come già l’altra azienda israeliana NSO Group, nota per aver venduto in tutto il mondo lo spyware Pegasus, Cellebrite sostiene che i suoi prodotti sono venduti unicamente a governi con l’unico scopo di agevolare il contrasto al terrorismo.
Anche in questo caso, è stata sfruttata una vulnerabilità ignota ai programmatori del sistema Android fino a quando a ottobre vi si è posto rimedio.
La polizia e i servizi della Serbia si sono avvalsi di questi prodotti per spiare anche attivisti per l’ambiente e della società civile. L’inganno è sempre lo stesso: requisire lo smartphone durante gli interrogatori e restituirlo manomesso al termine.
A ottobre un attivista del movimento Krokodil, un’organizzazione che promuove il dialogo e la riconciliazione nei Balcani occidentali, è stato convocato per interrogatori dalla Bia dopo che la loro sede era stata attaccata da sconosciuti con accento russo: Krokodil aveva condannato l’aggressione all’Ucraina.
L’attivista ha consegnato il suo Samsung Galaxy S24+ col risultato che conosciamo. Amnesty International ha condotto un’analisi sull’apparecchio, rilevando che NoviSpy stava copiando dati e facendo screenshot delle mail e dei messaggi su Signal e WhatsApp.
“L’effetto che questa forma di spionaggio ha sull’attivismo è traumatico”, spiega Amnesty. “Le persone si sentono scoraggiate dal parlare le une con le altre, la loro privacy è invasa, si rifugiano nell’isolamento”.
Di particolare interesse la modalità con la quale sarebbero stati attaccati i dispositivi Apple: sfruttando una falla di HomeKit (la piattaforma per la smart home di Cupertino). I dettagli su quest’ultima falla non sono noti, perché – riferisce 9to5 Mac – Apple la starebbe ancora risolvendo il problema.
Nel 2021 Apple ha intentato una causa contro NSO Group e la relativa società madre al fine di accertarne la responsabilità per la sorveglianza e il targeting degli utenti. NSO Group e i suoi clienti dedicano le ingenti risorse e capacità degli Stati nazionali allo svolgimento di cyberattacchi altamente mirati, che consentono loro di accedere al microfono, alla fotocamera e ad altri dati sensibili sui dispositivi Apple e Android.
Apple ha previsto da iOS 16 in poi una “modalità isolamento” che aiuta a proteggere i dispositivi di persone a rischio da attacchi informatici estremamente rari e altamente sofisticati.
Apple spiega che qando la modalità di isolamento è abilitata, il dispositivo non funziona come di consueto. “Per ridurre la superficie di attacco che potenzialmente potrebbe essere sfruttata da uno spyware mercenario altamente mirato, vengono imposti stretti limiti ad alcune app e funzioni e ad alcuni siti web in termini di sicurezza; in più, alcune funzionalità potrebbero non essere disponibili”.
Per attivare la modalità isolamento bisogna aprire Impostazioni, da qui Privacy e sicurezza, scorre verso il basso, toccare Modalità blocco e poi “Attiva la modalità di isolamento”. Apple sottolinea che, quando questa modalità è arriva, alcune app e funzioni hanno un comportamento diverso e limitato: per ridurre la superficie di attacco che potenzialmente potrebbe essere sfruttata da uno spyware mercenario altamente mirato, vengono imposti stretti limiti ad alcune app e funzioni e ad alcuni siti web in termini di sicurezza; in più, alcune funzionalità potrebbero non essere disponibili.
