Questo articolo è stato pubblicato da questo sito
Questa settimana la famigerata azienda di spyware Nso group ha dichiarato a una commissione speciale del Parlamento europeo che almeno cinque paesi dell’Unione europea (Ue) hanno utilizzato il potente malware di sorveglianza sviluppato dalla società, Pegasus. Mentre emergono sempre più dettagli sugli abusi dei prodotti di Nso in tutto il mondo, tuttavia, i ricercatori stanno anche cercando di aumentare la consapevolezza sul come l’industria della sorveglianza a pagamento si estenda ben al di là di una singola azienda. Giovedì 23 giugno, Google – nello specifico il Threat Analysis Group (Tag) e Project Zero, il team della società che si occupa di analisi delle vulnerabilità – ha pubblicato due rapporti che riferiscono le scoperte sulla versione per iOS di uno spyware attribuito all’azienda italiana RCS Labs.
I ricercatori di Google riportano di aver individuato diverse vittime dello spyware su dispositivi Android e iOS in Italia e Kazakistan. La scorsa settimana la società di sicurezza Lookout ha pubblicato un resoconto sulla versione per Android dello spyware, che ha ribattezzato “Hermit” e ha a sua volta ricondotto a Rcs Labs. Lookout evidenzia come le autorità italiane abbiano utilizzato una versione dello spyware durante un’indagine anticorruzione del 2019. Oltre alle vittime in Italia e in Kazakistan, Lookout ha trovato anche dati che indicano che un organismo non identificato ha utilizzato lo spyware nella Siria nord-orientale.
“Google segue da anni le attività delle aziende che vendono spyware commerciali. In questo periodo abbiamo visto il settore espandersi rapidamente, passando da pochi fornitori a un intero ecosistema – spiega a Wired US l’ingegnere di cybersicurezza del Tag Clement Lecigne –. Queste aziende consentono la proliferazione di pericolosi strumenti di hacking, armando i governi che non sarebbero in grado di sviluppare queste capacità internamente. In questo settore c’è però scarsa o nessuna trasparenza, ecco perché è fondamentale condividere le informazioni su queste aziende e sulle loro capacità“.
Il Tag riporta che attualmente monitora oltre trenta produttori di spyware, che offrono un’ampia gamma di capacità tecniche ed elevati livelli di sofisticazione a clienti sostenuti dai governi.
Gli attacchi
Nell’analisi della versione per iOS, i ricercatori di Google hanno scoperto che gli aggressori hanno distribuito lo spyware utilizzando un’applicazione falsa che hanno spacciato per My Vodafone, l’app del popolare operatore mobile. Sia negli attacchi ad Android che in quelli verso iOS, gli aggressori potrebbero aver semplicemente indotto gli obiettivi a scaricare quella che all’apparenza era un’app di messaggistica, distribuendo un link dannoso su cui le vittime dovevano cliccare. Ma in alcuni casi particolarmente gravi di attacchi a iOS, Google ha scoperto che gli aggressori potrebbero aver collaborato con gli internet provider locali per interrompere la connessione dati di un determinato utente, inviargli un link malevolo tramite sms e convincerlo a installare la falsa app My Vodafone tramite wi-fi, con la promessa che così facendo avrebbe ripristinato il servizio cellulare.
Gli aggressori sono riusciti a distribuire l’app fittizia in quanto Rcs Labs si era registrata all’Enterprise Developer Program di Apple, apparentemente attraverso una società di comodo chiamata 3-1 Mobile Srl, ottenendo un certificato che le ha consentito di caricare le proprie app senza passare attraverso il normale processo di revisione dell’AppStore.
Apple ha riferito a Wired US di aver revocato tutti gli account e i certificati conosciuti associati alla campagna di attacchi spyware.
