La società NSO Group, famosa per aver inventato il noto spyware Pegasus, potrebbe presto subire un’importante svolta. L’appaltatore della difesa statunitense L3 Harris è in trattative per rilevare l’azienda israeliana attraverso un accordo che, se dovesse giungere a compimento, darebbe a L3 Harris il controllo su uno degli strumenti di hacking più avanzati al mondo.
Malgrado la crisi che ha interessato NSO Group, tra le altre cose questo dimostra che la domanda da parte di vari attori per tali servizi di spyware è in continua crescita e appare improbabile che il comparto possa subire contrazioni.
AAA hacker cercasi: ecco perché un’azienda Usa vuole NSO (e lo spyware Pegasus)
NSO Group: le sanzioni Usa e Israele, la causa di Apple, i report di Amnesty
Per il momento, l’intesa è solo un’ipotesi, vista anche la reticenza da parte dell’amministrazione statunitense, che teme come tale collaborazione possa rappresentare un serio problema per la sicurezza dei dati e delle informazioni sensibili.
Sullo sfondo vi sono poi le sanzioni inferte da Washington. Nel novembre 2021, NSO Group è stata aggiunta all’”entity list“, una lista nera federale che vieta alle aziende presenti di ricevere tecnologie da qualsiasi società o individuo americano.
La decisione è arrivata dopo aver accertato che gli strumenti di NSO siano stati utilizzati in maniera malevola da governi stranieri contro alcuni leader mondiali. Fra i soggetti colpiti, vi sono stati anche utenti dell’azienda Apple, che, per porre un freno all’abuso dello spyware, ha fatto causa a NSO Group.
L’uso ostile di Pegasus è stato oggetto di lunghe indagini e ricerche realizzate da Amnesty International, Citizen Lab e un consorzio globale noto come Pegasus Project. Quest’ultimo, che include il Washington Post e altre 16 testate giornalistiche in tutto il mondo, ha pubblicato dozzine di articoli che descrivono in dettaglio come i clienti di NSO abbiano abusato del potente spyware.
Il gruppo NSO non avrebbe quindi intrapreso azioni volte a contingentare l’uso dei propri strumenti tecnologici, nonostante la consapevolezza del rischio potenziale che questi erano in grado di arrecare.
Sulla scia delle sanzioni americane, si è mosso anche il Governo di Tel Aviv. Nel giro di pochi giorni, il Ministero della Difesa israeliano ha imposto alcune restrizioni all’esportazione dei suoi strumenti, il che ha fatto sì che l’industria statale dell’hacking perdesse in pochissimo tempo gran parte dei suoi clienti.
Crisi NSO Group: il precedente italiano di Hacking Team
In passato, anche l’italiana Hacking Team ha dovuto affrontare un caso simile. Nel 2013, l’impresa è stata accusata di aver venduto i suoi prodotti alla Turchia al fine di spiare una professoressa di Harvard (rimasta anonima) che aveva espresso il suo dissenso riguardo alle charter school turche negli Stati Uniti, le quali erano gestite da sostenitori del Movimento Gülen.
L’anno successivo, il giornalista dissidente etiope Mesay Mekonnen ha dichiarato di essere stato hackerato mentre si trovava in North Carolina.
Secondo Citizen Lab, HackingTeam avrebbe venduto il malware al Governo etiope. A seguito del blocco delle esportazioni dei suoi prodotti da parte del Governo italiano e alla rivelazione di alcune mail dei suoi dirigenti, l’azienda ha subito ingenti perdite finanziarie ed è stata rilevata da InTheCyber Group nel 2019 per dar vita a Memento Labs.
Crisi NSO Group: l’ascesa di Intellexa e RCS Labs
La situazione odierna ha spinto vari analisti a interrogarsi su come il mercato possa evolversi. Sebbene il futuro di NSO Group sia incerto, i governi sono sempre più propensi ad acquistare capacità informatiche dal settore che i creatori di Pegasus hanno contribuito a definire.
Le sanzioni statunitensi prima e le restrizioni israeliane poi hanno lasciato scoperta una frazione importante del mercato di queste tecnologie, creando così un vuoto che alcune imprese europee, come Intellexa e RCS Labs, stanno tentando di colmare.
Intellexa è un’alleanza di società, operanti in Europa e in Asia, che si occupano di raccolta e analisi di dati per la lotta alla criminalità digitale. Queste imprese hanno instaurato legami con aziende che non possono più acquistare prodotti di hacking israeliani.
A far parte del “consorzio” vi è Cytrox, un’azienda fondata nel 2017 nella Macedonia del Nord. Una ricerca del 2021 di Citizen Lab ha rilevato come uno spyware creato e venduto da Cytrox, denominato Predator, sia stato utilizzato per hackerare due soggetti egiziani. Uno dei due sarebbe stato inoltre hackerato contemporaneamente sia da Predator che da Pegasus, senza una evidente correlazione.
C’è poi l’italiana RCS Labs, azienda operante nel mercato dei servizi a supporto dell’attività investigativa, il cui spyware Hermit è stato recentemente individuato in Kazakistan, il cui Governo è stato precedentemente cliente di NSO.
A far emergere la vicenda è stata Lookout (società di Threat Intelligence), attraverso la pubblicazione di due rapporti che hanno evidenziato la presenza di uno spyware attribuito ad RCS Labs su dispositivi Android e iOS in Kazakistan. Il Governo del paese avrebbe utilizzato lo spyware all’interno dei confini nazionali. RCS Labs è tuttavia intervenuta condannando qualsiasi uso improprio dei suoi prodotti, in quanto realizzati con l’intento di agire a supporto alle attività di lotta e prevenzione della criminalità informatica.
Hacking e geopolitica: cosa è cambiato nel settore
Come sostenuto da James Shires, assistant professor presso l’Institute of Security and Global Affairs dell’Università di Leiden, la scomparsa di alcune imprese non ha impedito la creazione di nuove e un’espansione del mercato. I primi clienti erano un piccolo gruppo di paesi desiderosi di proiettare il loro potere attraverso Internet. Oggi la situazione è molto più complessa: molti più Stati pagano per avere la capacità istantanea di hackerare gli avversari sia a livello internazionale che all’interno dei propri confini.
Se da un lato è cresciuto il controllo pubblico sulle aziende che forniscono questi servizi, dall’altro è aumentata la domanda globale di capacità informatiche offensive. Nel XXI secolo, gli obiettivi di maggior valore sono sempre di più sulla rete e l’hacking è il modo più efficace per raggiungerli.
Il risultato è una folla crescente di Paesi disposti a spendere ingenti somme per condurre sofisticate operazioni di spionaggio informatico. Si tratta in modo relativamente economico per competere con le potenze rivali e sviluppare robusti strumenti di sorveglianza interna. A ciò si aggiunge che un numero sempre maggiore di Stati sta cercando aiuto da società estere.
In un rapporto pubblicato dall’Atlantic Council, viene sottolineato che il commercio di spyware è sempre più globale e che il 75% delle aziende vende i loro prodotti al di fuori del proprio continente. In particolare, si riporta che cinque imprese ubicate in paesi alleati dell’Occidente, le israeliane Cellebrite e Verint, la turca BTT, la svedese Micro Systemation AB e la sudafricana Vastech, hanno commercializzato negli ultimi dieci anni con governi ostili agli Stati Uniti, come Cina e Russia.
In particolare, Cellebrite è stata citata in giudizio da attivisti israeliani nel luglio 2020 per aver venduto i suoi spyware al Governo di Hong Kong al fine di spiare circa 4.000 cellulari di privati cittadini, tra cui l’attivista Joshua Wong. Sebbene nell’ottobre 2020 l’impresa abbia dichiarato di aver sospeso le sue vendite a Hong Kong, molte fonti riportano che la Cina avrebbe continuato ad intrattenere rapporti con Cellebrite. L’azienda è stata altresì accusata di aver fornito i suoi software alla Bielorussia e al Bangladesh.
Questi elementi, uniti alla presenza di rivenditori e società fittizie, rendono la regolamentazione del settore alquanto complessa. Il mercato è cresciuto esponenzialmente e comprende centinaia di aziende che vendono tecnologie a livello globale, spesso eludendo le normative dei rispettivi governi nazionali. Gli appelli per disciplinare il settore a livello internazionale sono in gran parte rimasti inascoltati.
