Pegasus è un malware prodotto dall’NSO Group, un titano dell’industria tecnologica israeliana. Il software prende completamente il controllo degli smartphone: può attivare il microfono a piacere, estrae i dati della vittima e li invia all’attaccante, monitora conversazioni e spostamenti. Può attaccare indistintamente anche gli iPhone, grazia ad una vulnerabilità di iMessage. Le leggi israeliane lo considerano alla stregua di un’arma. Significa che non ci sono differenze tra le regole e i permessi necessari per esportare Pegasus o un carico di Uzi.
Eppure da anni sappiamo che Pegasus è stato usato da alcuni dei peggiori stati autoritari al mondo per spiare oppositori politici e giornalisti. A volte – come nel caso dell’omicidio di Jamal Khashoggi – con conseguenze tragiche.
Un’indagine condotta da 17 diverse testate giornalistiche ha scoperto che Pegasus è stato anche utilizzato per spiare gli smartphone di oltre 180 giornalisti. La lista include collaboratori di alcuni dei media internazionali più autorevoli: Post, CNN, Associated Press, Voice of America, New York Times, Wall Street Journal, Bloomberg News, Le Monde, the Financial Times e Al Jazeera.
I nomi dei giornalisti, con il loro numero di telefono, compaiono in una più ampia lista scoperta da Stories, una non-profit giornalistica francese. La lista completa include oltre 50.000 numeri di telefono cellulare — molti numeri appartengono a persone effettivamente compatibili con gli scopi legittimi del software, e quindi criminali o sospettati di terrorismo. La lista include anche persone che, per quanto bersagliate, non sono state infettate per le ragioni più disparate, ad esempio perché i tentativi di attacco hanno fallito.
Oggi sappiamo con certezza che alcuni degli Stati clienti del NSO Group hanno usato il trojan per spiare i giornalisti e attivisti politici, carpendo ogni aspetto della loro vita privata e professionale.
È l’ennesimo scandalo connesso all’azienda israeliana, che negli scorsi mesi è stata più volte accusata di aver venduto la sua arma informatica a governi senza scrupoli, che l’avrebbero usata per spiare i dissidenti e commettere violazioni dei diritti umani. Ad agosto del 2020, un anno fa, era emersa un’altra lista di persone sotto sorveglianza. Comprendeva altri 36 giornalisti di Al Jazeera. Nel 2020 è anche emersa la notizia che Pegasus era stato usato anche per attaccare, con successo, il fondatore di Amazon Jeff Bezos. A spiarlo era stato il principe saudita Bin Salman.
I clienti della NSO Group, tra Arabia Saudita, India e l’Ungheria di Orbán
L’inchiesta di Forbidden Stories e dei 17 media internazionali ha sollevato un vespaio in diverse nazioni, provocando una forte reazione soprattutto in quei paesi che, pur non avendo una democrazia in piena salute, non sono considerati autoritari, come l’India.
La lista dei principali clienti dell’azienda israeliana include Azerbaijan, Bahrain, Kazakistan, Messico, Marocco, Ruanda, Arabia Saudita, Ungheria, India e Emirati Arabi Uniti.
Trai clienti della NSO Group anche l’Ungheria di Viktor Orbán. La politica europea sta chiedendo con insistenza risposte.
L’indagine internazionale, chiamata Pegasus Project, ha potuto confermare che molti dei telefoni ungheresi comparsi nella lista dei clienti della NSO Group erano effettivamente stati infettati con il trojan israeliano. Tra questi anche Szabolcs Panyi, collaboratore di Direkt36, media specializzato in giornalismo investigativo.
Il telefono di Panyi sarebbe finito ufficialmente sotto osservazione per un periodo di sette mesi, mentre l’attivazione del software – scrive il The Guardian – sarebbe avvenuta con un tempismo sospetto: ossia dopo alcune sue richieste di dichiarazioni ad esponenti del governo ungherese. La prima volta che Pegasus è stato usato contro il giornalista è avvenuta a pochi giorni di distanza da un’intervista che aveva fatto ad un funzionario. Panyi stava lavorando ad una storia su una banca russa in procinto di aprire sede a Budapest. Il sospetto è che fosse un’operazione di facciata dei servizi segreti della Russia. Secondo Direkt36 e il The Guardian, il software sarebbe stato usato per scoprire cosa sapeva il giornalista e – soprattutto – risalire a tutte le sue fonti anonime.
Nel frattempo, la risposta dell’Unione Europea non si è fatta attendere: “la libertà di stampa è uno dei principi cardini dell’UE”, ha detto Ursula von der Leyen, Presidente della Commissione Europea.
The simple question to ask of Israel government is this: Have the EUMA conditions and contractual obligations been violated or note in the manner Pegasus has been deployed against Indian citizens who are neither terrorists nor criminals? Should the license not be revoked?
— Sushant Singh (@SushantSin) July 19, 2021
In India Pegaus è stato usato contro una donna che aveva accusato pubblicamente l’ex capo della corte suprema di avance sessuali. All’epoca aveva perso il suo lavoro, ora sappiamo che è stata anche illegalmente messa sotto sorveglianza. E non solo lei: nella lista di Forbidden Stories compaiono 11 diversi numeri di telefono usati anche a suo marito e altri due parenti.
Nella lista era presente anche il numero di telefono del giornalista messicano Cecilio Pineda Birto, ucciso di recente in circostanze misteriose. La sua sorveglianza era stata ordinata dal Governo.
La difesa dell’NSO Group
Inizialmente l’azienda israeliana ha smentito con forza il contenuto dell’inchiesta di Project Pegasus. “È una ricostruzione completamente campata in aria” e ancora “mettiamo seriamente in dubbio l’integrità e le motivazioni delle fonti usate”. Anche gli oltre 50.000 numeri di telefono contenuti nella lista sarebbero, secondo i portavoce dell’NSO Group, “un’esagerazione”.
In un secondo momento, Shalev Hulio, dirigente e co-fondatore dell’NSO Group, ha detto di ritenere “disturbanti” alcune delle rivelazioni pubblicate dai media, annunciando un processo d’indagine per verificare se alcuni dei clienti dell’azienda abbiano abusato del software per violare i diritti umani.
L’azienda israeliana si è nel frattempo impegnata pubblicamente ad interrompere ogni accordo con gli Stati beccati ad usare l’arma informatica per scopi contrari alle clausole contrattuali.
Prendiamo molto seriamente le accuse di abusi del nostro sistema, sono cose che mi preoccupano personalmente. Sarebbe una violazione della fiducia che riponiamo nei nostri clienti. Se le nostre indagini porteranno ad una conferma, prenderemo misure molto forti
ha detto. Dal 2016 ad oggi le indagini dell’azienda avrebbero già portato a terminare cinque contratti con altrettanti clienti.
Edward Snowden ha definito le rivelazioni del Pegasus Project “la storia dell’anno”, chiedendo che i governi approvino immediatamente una moratoria contro la vendita di software per lo spionaggio informatico. «L’azienda deve essere giudicata legalmente responsabile della tortura e delle uccisioni perpetuate grazie al vettore d’attacco che ha venduto, per cui non esiste un uso legittimo», ha detto.
Le rivelazioni del Pegasus Project non sono terminate. Nei prossimi giorni i media coinvolti riveleranno i nomi contenuti nella lista dei bersagli spiati attraverso il software. Lista che include centinaia di imprenditori, figure religiose, presidenti del consiglio, ministri, attivisti politici, sindacalisti e dipendenti delle onlus.
The Gateway è il magazine settimanale di Lega Nerd che vi parla del mondo della tecnologia e dell’innovazione.
- Revealed: leak uncovers global abuse of cyber-surveillance weapon (theguardian.com)
- Viktor Orbán using NSO spyware in assault on media, data suggests (theguardian.com)
- NSO Group vows to investigate potential spyware abuse following Pegasus Project investigation (washingtonpost.com)