© Colin Foo
© Colin Foo

Scandalo "Predator Files" Società civile e personalità prese di mira dallo spyware

Comunicato stampa, 9 ottobre 2023, Londra/Lugano – Contatto media
Alcuni rappresentanti della società civile, giornalisti, politici e accademici dell'Unione europea (UE), degli Stati Uniti e dell'Asia sono stati oggetto di attacchi con Predator, un programma di spionaggio altamente intrusivo. È quanto emerge da una nuova importante indagine condotta da Amnesty International in collaborazione con la rete di giornalismo investigativo European Investigative Collaborations (EIC). L'alleanza Intellexa, che commercializza questo software, comprende aziende con sede in vari Paesi, tra cui la Svizzera.

Tra febbraio e giugno 2023, le piattaforme di social media X (ex Twitter) e Facebook sono state utilizzate per colpire pubblicamente almeno 50 account appartenenti a 27 persone e 23 istituzioni. L'arma di sorveglianza informatica utilizzata per prendere di mira il bersaglio era uno strumento spyware invasivo chiamato Predator, sviluppato e venduto dall'alleanza Intellexa. Questa alleanza, che si è presentata come "basata e regolamentata nell'UE", è un gruppo di aziende complesso e spesso mutevole che sviluppa e vende prodotti di sorveglianza, tra cui lo spyware Predator. 

Predator è un tipo di spyware altamente invasivo. Ciò significa che, una volta infiltratosi in un dispositivo, ha libero accesso al microfono e alla fotocamera e a tutti i suoi dati, come contatti, messaggi, foto e video, mentre l'utente è del tutto ignaro. Tali spyware non possono, al momento, essere controllati in modo indipendente o limitati nelle loro funzionalità solo a quelle necessarie e proporzionate a un uso specifico. 

"Ancora una volta, abbiamo le prove dell'utilizzo di potenti strumenti di sorveglianza in attacchi spudorati.  Questa volta i bersagli sono giornalisti in esilio, personaggi pubblici e funzionari intergovernativi. È chiaro che le vittime siamo tutti noi, le nostre società, il buon governo e i diritti umani di tutti", ha dichiarato Agnès Callamard, segretaria generale di Amnesty International.

"L'alleanza Intellexa, gli sviluppatori europei di Predator e di altri prodotti di sorveglianza, non hanno fatto nulla per limitare chi può usare questo software spia e per quale scopo. Al contrario, si stanno riempiendo le tasche e ignorano le gravi implicazioni in termini di diritti umani. Sulla scia di quest'ultimo scandalo, l'unica risposta efficace è che gli Stati impongano un divieto immediato a livello mondiale sui software spia altamente invasivi".

In un rapporto esaustivo pubblicato oggi dal Security Lab di Amnesty International, tra le persone prese di mira - anche se non necessariamente infettate - figurano la presidente del Parlamento europeo Roberta Metsola, la presidente di Taiwan Tsai Ing-Wen, il deputato statunitense Michael McCaul, il senatore statunitense John Hoeven, l'ambasciatrice tedesca negli Stati Uniti Emily Haber e il deputato francese Pierre Karleskind. Sono stati presi di mira anche numerosi funzionari, accademici e istituzioni. 

Una sfacciata raffica di attacchi   

Il Security Lab di Amnesty International sta indagando da tempo sull'uso del potente e altamente invasivo spyware Predator e sul suo legame con l'alleanza Intellexa. 

Un account X (precedentemente Twitter) controllato dagli aggressori, chiamato "@Joseph_Gordon16", ha condiviso molti dei link di attacco identificati che miravano a infettare gli obiettivi con lo spyware Predator. Uno dei primi obiettivi di questo account è stato il giornalista berlinese Khoa Lê Trung, originario del Vietnam. Khoa è caporedattore di thoibao.de, un sito web di notizie bloccato in Vietnam. Dal 2018 ha subito minacce di morte per i suoi servizi. Il Vietnam ha un panorama mediatico repressivo in cui giornalisti, blogger e attivisti per i diritti umani sono spesso intimiditi e costretti al silenzio. 

L'attacco, sebbene fallito, è particolarmente significativo in quanto il sito web e il giornalista hanno sede nell'UE e tutti gli Stati membri dell'UE hanno l'obbligo di controllare la vendita e il trasferimento di tecnologie di sorveglianza. 

"Non si possono vendere a Paesi come il Vietnam. Questo danneggia anche la libertà di stampa e di espressione dei cittadini tedeschi", ha dichiarato Khoa ad Amnesty International.  

L'indagine ha rilevato che l'account @Joseph_Gordon16 aveva stretti legami con il Vietnam e potrebbe aver agito per conto delle autorità vietnamite o di gruppi di interesse. 

Nell'aprile 2023 il Security Lab di Amnesty International ha iniziato a osservare lo stesso utente "@Joseph_Gordon16" che prendeva di mira diversi accademici e funzionari che lavoravano su temi marittimi, in particolare ricercatori e funzionari responsabili delle politiche dell'Unione europea e delle Nazioni Unite sulla pesca illegale o non documentata. Nel 2017 il Vietnam ha ricevuto un "cartellino giallo" dalla Commissione europea per pesca illegale, non dichiarata e non regolamentata. 

"Abbiamo osservato decine di casi in cui '@Joseph_Gordon16' ha incollato un link malevolo a Predator in post pubblici sui social media. A volte il link sembrava essere una testata giornalistica benigna, come il South China Morning Post, per indurre il lettore a cliccarci sopra", ha dichiarato Donncha Ó Cearbhaill, responsabile del Security Lab di Amnesty International. 

"La nostra analisi ha dimostrato che cliccando sul link il dispositivo del lettore poteva essere infettato da Predator. Non sappiamo se qualche dispositivo sia stato infettato e non possiamo affermare con assoluta certezza che l'autore del reato fosse all'interno del governo del Vietnam stesso, ma gli interessi dell'account e delle autorità vietnamite erano molto allineati". 

L'indagine ha inoltre portato alla luce le prove che un'azienda dell'alleanza Intellexa ha firmato un accordo multimilionario per "soluzioni di infezione" con il Ministero della Pubblica Sicurezza del Vietnam (MOPS) all'inizio del 2020, con il nome in codice "Angler Fish". Documenti e registrazioni delle esportazioni hanno inoltre confermato la vendita di Predator al MOPS attraverso società di intermediazione. 

"Riteniamo che questa infrastruttura di attacco Predator sia associata a un attore governativo in Vietnam", hanno dichiarato ad Amnesty International i ricercatori di sicurezza di Google, che hanno anche analizzato in modo indipendente i link dannosi.  

Lo spyware regolamentato dall'UE è libero di circolare in tutto il mondo    

Predator può essere utilizzato anche in attacchi zero click, ovvero può infiltrarsi in un dispositivo senza che l'utente abbia cliccato su un link. Questo può avvenire, ad esempio, tramite i cosiddetti "attacchi tattici" che possono infettare i dispositivi vicini. Attualmente i software spia altamente invasivi non possono essere controllati in modo indipendente o limitati nelle loro funzionalità. È quindi estremamente difficile indagare sugli abusi legati al suo utilizzo.  

L'indagine ha rilevato la presenza di prodotti dell'alleanza Intellexa in almeno 25 Paesi in Europa, Asia, Medio Oriente e Africa e documenta come siano stati utilizzati per minare i diritti umani, la libertà di stampa e i movimenti sociali in tutto il mondo.  

L'alleanza Intellexa ha entità aziendali in vari Stati, tra cui Francia, Germania, Grecia, Irlanda, Repubblica Ceca, Cipro, Ungheria, Svizzera, Israele, Macedonia del Nord ed Emirati Arabi Uniti (EAU). Amnesty International chiede a tutti questi Stati di revocare immediatamente tutte le licenze di commercializzazione e di esportazione rilasciate all'alleanza Intellexa. Questi Stati devono inoltre condurre un'indagine indipendente, imparziale e trasparente per determinare l'entità dei bersagli illegali. 

"Intellexa afferma di essere un'azienda con sede nell'UE e regolamentata, il che è, di per sé, un'accusa schiacciante di come gli Stati membri e le istituzioni dell'UE non siano riusciti a impedire la portata sempre più ampia di questi prodotti di sorveglianza, nonostante una serie di indagini come il 'Progetto Pegasus' nel 2021. Tanto che, come evidenziato da questa indagine, anche gli stessi funzionari e istituzioni dell'Ue sono rimasti intrappolati nella sua rete", ha dichiarato Agnès Callamard, segretario generale di Amnesty International. 

L'indagine Predator Files ha scoperto che i prodotti dell'alleanza Intellexa sono stati venduti ad almeno 25 Paesi, tra cui Svizzera, Austria e Germania. Tra gli altri clienti figurano Congo, Giordania, Kenya, Oman, Pakistan, Qatar, Singapore, Emirati Arabi Uniti e Vietnam. 

L'Alleanza Intellexa dovrebbe interrompere la produzione e la vendita di Predator e di qualsiasi altro spyware altrettanto invasivo che non includa garanzie tecniche che ne consentano l'uso legittimo in un quadro normativo rispettoso dei diritti umani. Dovrebbe inoltre fornire un adeguato risarcimento o altre forme di riparazione effettiva alle vittime della sorveglianza illegale.   

L'analisi di Amnesty International delle recenti infrastrutture tecniche collegate al sistema spyware Predator indica attività correlate, in una forma o nell'altra, in Angola, Egitto, Mongolia, Kazakistan, Indonesia, Madagascar, Sudan e Vietnam, tra gli altri.  Amnesty International ha pubblicato degli indicatori di compromissione per aiutare i tecnologi della società civile a identificare e rispondere a questo spyware.

Amnesty International ha contattato le entità coinvolte per un commento, ma non ha ricevuto alcuna risposta. Tuttavia, EIC ha ricevuto una risposta dai principali azionisti ed ex dirigenti del gruppo Nexa. Nella loro risposta affermano che l'alleanza Intellexa ha cessato di esistere. In relazione al Vietnam, sostengono che Nexa Group ha rispettato solo una parte del contratto relativo alla sicurezza informatica. Sostengono inoltre che le entità dell'alleanza Intellexa "rispettavano scrupolosamente le normative sulle esportazioni", pur riconoscendo di aver stabilito "relazioni commerciali" con Paesi "tutt'altro che perfetti in termini di stato di diritto", affermando inoltre che spesso ciò era funzione di "scelte politiche" del governo francese.

Amnesty International ha scritto al Ministero della Pubblica Sicurezza del Vietnam per un commento, ma non ha ricevuto risposta.

Clicca qui per il rapporto completo "The Predator Files: Caught in the Net".