La violazione di un dispositivo mobile appartenente a un legislatore incaricato di indagare sulla sorveglianza illegale è uno scenario che sembra uscito da un romanzo di spionaggio, ma per Stelios Kouloglou è stata una realtà forense. Mentre prestava servizio nella commissione PEGA del Parlamento europeo, Kouloglou è stato bersaglio di ripetute infezioni dallo spyware Pegasus. Questa commissione è stata istituita specificamente per indagare sull'abuso di strumenti di sorveglianza commerciale in tutta l'Unione Europea. L'ironia della situazione è forte, eppure la meccanica tecnica dell'attacco rivela una realtà molto più preoccupante sulla moderna sicurezza mobile. Questo incidente non è stato causato da un utente che ha cliccato su un link sospetto o scaricato un allegato malevolo. Si è trattato di un'intrusione silenziosa, "zero-click", che ha bypassato i controlli di sicurezza standard di uno dei dispositivi di consumo più sicuri sul mercato.
Recentemente ho trascorso un pomeriggio a esaminare i reperti forensi comuni nelle infezioni da Pegasus con un collega specializzato nella risposta agli incidenti mobili. Spesso notiamo un modello in cui gli aggressori più sofisticati evitano del tutto l'interazione. Preferiscono la via di minor resistenza che, nel mondo degli spyware mercenari di alto livello, comporta spesso il targeting di processi di sistema che l'utente non vede mai. Nel caso di Kouloglou, gli aggressori hanno sfruttato una specifica vulnerabilità nel framework HomeKit di Apple. Questa metodologia consente a un aggressore di compromettere un dispositivo senza alcuna notifica o azione da parte del proprietario. Quando il tuo modello di sicurezza si basa sulla scelta corretta dell'utente, un exploit zero-click rende effettivamente obsoleto quel modello.
I ricercatori di Citizen Lab hanno identificato che le infezioni sull'iPhone di Kouloglou sono avvenute attraverso un exploit denominato PWNYOURHOME. Questa specifica catena di attacco prende di mira il demone HomeKit su iOS. Il 21 ottobre 2022, i log forensi hanno mostrato una ricerca per uno specifico indirizzo email relativo a HomeKit: rauharepo888[@]gmail.com. Due minuti dopo, un processo Pegasus era attivo sul dispositivo, consumando dati mobili. Questa sequenza di eventi è un segno classico di un exploit zero-click all'opera. L'aggressore invia una richiesta appositamente confezionata attraverso un servizio come iMessage o HomeKit, che il telefono elabora automaticamente in background. Se la richiesta contiene codice malevolo che sfrutta un difetto di gestione della memoria, l'aggressore ottiene la capacità di eseguire codice con i privilegi del servizio mirato.
Al momento della prima infezione, Kouloglou utilizzava iOS 15.5. Apple ha infine risolto questa vulnerabilità in iOS 16.3.1, ma per mesi il dispositivo è rimasto esposto a questo specifico punto di ingresso. Da una prospettiva architettonica, questo exploit evidenzia una debolezza sistemica nel modo in cui i sistemi operativi mobili gestiscono servizi complessi e interconnessi. HomeKit è progettato per facilitare la vita automatizzando i dispositivi domestici intelligenti, ma la sua profonda integrazione nel cuore del sistema operativo fornisce una superficie di attacco massiccia. Pensatela come a una porta sul retro lasciata aperta in un edificio ad alta sicurezza perché i residenti volevano la comodità di un sistema di ingresso telecomandato.
La tempistica di queste infezioni suggerisce un obiettivo altamente strategico. La prima compromissione riuscita è avvenuta nell'ottobre 2022, mentre Kouloglou era in ospedale per un intervento chirurgico. Durante questo periodo, ha ricevuto la visita di Thanasis Koukakis, un giornalista greco precedentemente preso di mira con lo spyware Predator. La seconda serie di infezioni è avvenuta nel marzo 2023. Questo periodo è stato critico per la commissione PEGA, poiché i membri erano impegnati in intense discussioni riguardanti la stesura finale del loro rapporto investigativo. Gli aggressori hanno avuto accesso al dispositivo proprio nelle settimane in cui le deliberazioni riservate e le testimonianze dei testimoni erano più sensibili.
Citizen Lab ha scoperto che lo spyware era attivo il 6 e 7 marzo 2023, sfruttando lo stesso exploit PWNYOURHOME utilizzato mesi prima. Questa persistenza è un segno distintivo delle operazioni Pegasus. Lo spyware è progettato per essere invisibile, ma è anche resiliente. Se un dispositivo si riavvia, l'operatore spesso deve infettarlo di nuovo. Il fatto che gli aggressori abbiano ricompromesso con successo il dispositivo utilizzando lo stesso vettore suggerisce che fossero fiduciosi nella continua efficacia dell'exploit contro la versione iOS non aggiornata. Per progettazione, Pegasus consente all'operatore di registrare chiamate, leggere messaggi crittografati e persino attivare il microfono o la telecamera da remoto. Per un membro di una commissione che indaga su questi stessi strumenti, l'esposizione di tali dati rappresenta un fallimento catastrofico della riservatezza.
Una delle scoperte più significative del rapporto di Citizen Lab è la sovrapposizione tra il caso Kouloglou e altre campagne. Lo specifico indirizzo Gmail utilizzato nella ricerca HomeKit, rauharepo888[@]gmail.com, è stato visto anche in attacchi contro giornalisti russi e bielorussi che vivono in esilio in Europa. L'analisi forense dell'infrastruttura Pegasus suggerisce che questi indirizzi email siano spesso unici per specifici operatori o clienti di NSO Group. Questa scoperta punta verso un cliente Pegasus con una licenza che permette operazioni in più giurisdizioni europee.
Questo collegamento trasforma la narrazione da un incidente isolato a parte di un modello pervasivo di sorveglianza transfrontaliera. Quando un singolo operatore prende di mira sia giornalisti dell'opposizione che legislatori europei di alto livello, la distinzione tra sicurezza nazionale e spionaggio politico svanisce. In termini di integrità dei dati, la presenza di tali strumenti sul dispositivo di un legislatore mette in discussione la sicurezza di ogni comunicazione avuta con informatori e attivisti. Questi individui spesso rischiano la vita per fornire informazioni alle commissioni investigative, e lo fanno presupponendo che la loro identità sia protetta dalla sicurezza digitale del legislatore.
Sebbene il caso Kouloglou si sia concentrato sulla sorveglianza basata su malware, è importante riconoscere che Pegasus è solo una parte di un kit di strumenti più ampio. Recenti indagini di Citizen Lab hanno anche rivelato l'uso del tracciamento a livello di telecomunicazioni. Queste campagne sfruttano le debolezze nei protocolli Signaling System No. 7 (SS7) e Diameter, che costituiscono la spina dorsale del roaming mobile globale. Gli aggressori possono tracciare la posizione di una persona senza mai installare malware sul suo dispositivo. Lo fanno camuffando l'identità dell'operatore e inviando comandi di segnalazione malevoli attraverso fornitori di telecomunicazioni fidati.
Questo tipo di sorveglianza è ancora più difficile da rilevare rispetto a un'infezione da Pegasus. Non ci sono reperti forensi sul telefono perché l'attacco avviene all'interno dell'infrastruttura di rete. Parlando proattivamente, ciò rende l'ecosistema delle telecomunicazioni un punto critico di fallimento per gli individui ad alto rischio. Alcuni fornitori nel Regno Unito e a Jersey sono stati identificati come punti di transito per questo traffico di segnalazione malevolo. Questi fornitori hanno funzionato efficacemente come un ponte segreto per i venditori di sorveglianza per tracciare bersagli a livello globale. Ciò rivela che anche se si possiede il telefono più sicuro al mondo, la rete stessa rimane un percorso sfruttabile per attori sponsorizzati dagli stati.
Il tema ricorrente in questi rapporti forensi è che le misure di sicurezza tradizionali sono insufficienti contro gli spyware mercenari. Se sei un bersaglio ad alto rischio, l'aggiornamento è solo il primo passo. Aggiornare è come tappare i buchi nello scafo di una nave; ti tiene a galla, ma non impedisce al nemico di sparare altri colpi. Per gli utenti che affrontano minacce sponsorizzate dagli stati, Apple ha introdotto la Modalità isolamento (Lockdown Mode). Questa funzione riduce drasticamente la superficie di attacco disabilitando tecnologie web complesse, bloccando certi tipi di allegati e limitando le richieste di servizio in entrata come gli inviti HomeKit da utenti sconosciuti.
Dal punto di vista del rischio, il caso Kouloglou ricorda che la sicurezza digitale è una componente critica per la missione di supervisione democratica. Quando gli investigatori stessi vengono compromessi, l'integrità dell'intera indagine è a rischio. Dobbiamo muoverci verso un modello zero-trust per i dispositivi mobili, in cui non presumiamo più che un dispositivo sia sicuro solo perché è aggiornato. Per coloro che ricoprono ruoli sensibili, le chiavi di sicurezza hardware e la comunicazione crittografata end-to-end tramite piattaforme come Signal non sono più opzionali. Sono la base per la sopravvivenza in un ambiente digitale dove i muri hanno le orecchie.
L'implementazione di una strategia difensiva richiede un approccio granulare al rafforzamento del dispositivo. Se il tuo lavoro comporta la gestione di dati sensibili o l'indagine su entità potenti, considera i seguenti passaggi:
Fonti:
Dichiarazione di non responsabilità: questo articolo è solo a scopo informativo ed educativo e non sostituisce un audit professionale di cybersicurezza o un servizio di risposta agli incidenti.



La nostra soluzione di archiviazione e-mail crittografata end-to-end fornisce i mezzi più potenti per lo scambio sicuro dei dati, garantendo la sicurezza e la privacy dei tuoi dati.
/ Creare un account gratuito