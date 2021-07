Negli ultimi giorni si è molto discusso della minaccia rappresentata dai software spia a seguito delle sconcertanti rivelazioni sugli abusi dello spyware Pegasus. Ma cosa distingue Pegasus da altri software spia? Ve ne sono altri con le medesime caratteristiche? Esistono software con funzionalità affini reperibili online da malintenzionati? Queste sono solo alcune delle domande che mi sono state poste da curiosi e giornalisti negli scorsi giorni, per questo motivo credo che le risposte possano aiutarci a comprendere quanto siamo realmente esposti a queste minacce.

Pegasus è un software spia estremamente complesso sviluppato dall’azienda israeliana NSO group. Come altri spyware consente di trasformare il dispositivo della vittima in uno strumento di spionaggio estremamente potente, il tutto senza che la vittima debba interagire con l’attaccante. Quest’ultima caratteristica è frutto dell’utilizzo di zero-click exploit, di codici in grado di sfruttare falle senza che la vittima compia alcuna azione, come cliccare su un link in un messaggio ricevuto o visitare un sito web compromesso. Software come Pegasus sfruttano numeroso zero-day, ovvero falle non note al tempo dell’attacco, per massimizzare l’efficacia dell’attacco. Zero-day e zero-click exploit sono ingredienti costosi per coloro che sviluppano software spia, necessitano di complesse e costose attività di ricerca di vulnerabilità zero-day, oppure dell’acquisto delle stesse nell’hacking underground.

In Italia esistono diverse aziende che sviluppano software spia, molte tra esse purtroppo non hanno accesso a risorse e capacità di spesa che possano rendere i loro prodotti concorrenziali rispetto a Pegasus. I ricavi di queste aziende dalla vendita dei loro servizi alle nostre Procure spesso non sono sufficienti a garantire prodotti di qualità comparabile a quella di prodotti dell’NSO. Trovare spyware italiani con capacità zero-click, soprattutto per dispositivi iPhone di ultima generazione, è tutt’altro che semplice.

Qual è l’alternativa? Rivolgersi ad aziende straniere, con ovvia esposizione del sistema delle investigazioni in cui essi sono utilizzati.

NSO group non è l’unica azienda di sorveglianza in grado di fornire sistemi tanto sofisticati, nelle scorse settimane è apparsa dal nulla un’altra azienda Israeliana di sorveglianza dal nome Candiru (nota anche come Sourgum) produttrice di un software spia che sarebbe stato utilizzato per spiare almeno 100 tra attivisti, giornalisti e dissidenti in almeno 10 stati. Anche in questo caso il software spia potrebbe contare sulla disponibilità di zero-day exploit per l’infezione silente dei sistemi delle vittime. Il ritrovamento di Candiru è la prova di quanto sia prolifico il crescente e miliardario mercato della sorveglianza, un business internazionale governato da deboli regole raggirabili in nome del profitto.

Possiamo difenderci da software come Candiru e Pegasus?

La risposta è negativa, i sistemi di difesa comuni non sono in grado di rivelare la presenza di questi software, solo una accurata indagine forense potrebbe determinare la compromissione di un dispositivo. La sorveglianza, tuttavia, non è una prerogativa delle grandi aziende, molti software a buon mercato possono consentire di spiare una persona con un investimento estremamente modesto. Nelle scorse settimane, gli esperti di Check Point Research (CPR) hanno trovato una nuova variante dello spyware XLoader, che è stato aggiornato per infettare sia PC Windows che macOS. XLoader è uno spyware molto economico che si basa sul popolare malware Windows Formbook. XLoader è apparso per la prima volta a febbraio quando è stato messo in vendita in alcuni forum utilizzati da cyber criminali.

Il software evidentemente non è sofisticato come i software spia israeliani citati e richiede una iterazione da parte delle vittime per avviare il processo di infezione. Il vettore di attacco è rappresentato da messaggi di phishing che utilizzano documenti Microsoft Office come allegati e concepiti per avviare il processo di infezione una volta aperti ed abilitate le macro in essi contenute. XLoader viene offerto ai clienti secondo un modello Malware-as-a-Service, il venditore lo offre quindi in affitto per periodi di tempo prestabiliti a prezzo modici, come evidente dalla tabella riportata di seguito.

Pacchetto Prezzo Windows, eseguibile, 1 mese $ 59 Windows, eseguibile, 3 mesi $129 macOS, Mach-O, 1 mese $49 macOS, Mach-O, 3 mesi $ 99

Con soli 129 dollari è possibile porre sotto controllo un sistema Windows per 3 mesi, mentre per sistemi macOS ne bastano 99 dollari. Per comprendere quanto sia diffusa questo tipo di minaccia, basti pensare che tra il 1° dicembre 2020 e il 1° giugno 2021, i ricercatori di CheckPoint hanno osservato richieste Formbook/XLoader da ben 69 paesi.

Ho citato XLoader solo a titolo di esempio, esistono numerosi software con funzionalità simili che sono offerti nei veri forum del dark web per cifre che oscillano dai cento dollari fino ad oltre 2500 dollari per prodotti che includono il codice sorgente ed un servizio di assistenza dedicato da parte degli autori dello spyware.

La grande disponibilità di questa specifica categoria di malware dimostra, ove mai ve ne fosse bisogno, che la relativa richiesta è alta. Quello che maggiormente preoccupa è tuttavia il crescente livello di complessità di questi software che sono offerti a un prezzo molto contenuto, molti tra essi sono in grado di eludere la maggior parte degli attuali sistemi anti malware e sono costantemente aggiornati dai propri autori.