Fastweb

Hackerata l'azienda di intercettazioni Hacking Team

NSO Group Smartphone & Gadget #whatsapp #sicurezza Spyware su WhatsApp, aggiornate l'app! Una vulnerabilità di WhatsApp, ora risolta, permetteva agli hacker di installare spyware sui telefoni
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Hackerata l'azienda di intercettazioni Hacking Team FASTWEB S.p.A.
Web & Digital
Il 6 luglio 2015 gli hacker hanno pubblicato un file torrent da 400GB con documenti riservati, codici sorgente, e comunicazioni di posta elettronica. L'azienda: terroristi e organizzazioni criminali gli autori più probabili

Hacker contro hacker. Hacking Team, l'azienda milanese specializzata nello sviluppo e gestione di software per intercettare computer e smartphone, ha subito un attacco hacker non rivendicato la notte tra il 5 e il 6 luglio 2015. Gli hacker hanno pubblicato un file torrent da 400GB con documenti riservati, password, codici sorgente, software spia e comunicazioni di posta elettronica. Inoltre, gli aggressori hanno modificato l'account Twitter di Hacking Team ribattezzandolo Hacked Team e pubblicando immagini con dati riservati. Una violazione di grosse dimensioni, vista l'importanza sia dell'azienda sia dei suoi clienti. Il 3 novembre la Procura di Milano ipotizza che due ex collaboratori di Hacking Team possano aver venduto spyware, sistemi informatici di spionaggio, che potrebbero essere finiti in mano anche a jihadisti. 

La Procura di Milano ha aperto un'inchiesta: si occupa dell'episodio il procuratore aggiunto Maurizio Romanelli, che coordina il pool competente per i reati informatici. La Procura attende una relazione dell'azienda. L'ipotesi di reato, al momento, è di accesso abusivo a sistema informatico, al quale potrebbero aggiungersi anche reati legati all'eventuale danneggiamento o furto di materiale riservato. Gli inquirenti cercheranno quindi di risalire agli autori dell'attacco, che già secondo le prime ipotesi non sembrerebbe essere stato commesso con modalità tipiche di assalti di attivisti stile Anonymous

La reazione dell'azienda

Dopo giorni di silenzio il 9 luglio Hacking Team ammette: "Abbiamo perso la capacità di controllare chi utilizza la nostra tecnologia. Terroristi, estorsori ed altri possono implementarla a volontà. Crediamo sia una situazione estremamente pericolosa, è oramai evidente che esiste una grave minaccia". E ancora: "Prima dell'attacco potevamo controllare chi aveva accesso alla nostra tecnologia. Ora, a causa del lavoro di criminali, abbiamo perso la capacità di controllare chi la utilizza". "Stiamo valutando se è possibile contenere i danni, i nostri ingegneri lavorano a ritmo serrato per aggiornare il nostro software Remote Control System che permette ai clienti di avere informazioni di intelligence e su criminali. I nostri clienti hanno sospeso l'uso di questo sistema che è stato compromesso dall'attacco. E' un passo importante per proteggere informazioni investigative e di polizia". Secondo Erik Rabe, un manager della società "chiunque abbia realizzato questo furto non è un dilettante. Governi stranieri potrebbero avere le capacità di portare a termine un'operazione simile ma non saprei per quale motivo. Terroristi e organizzazioni criminali hanno invece tutta la convenienza e per noi sono gli autori più probabili. Adesso ciò che ci è stato rubato è a disposizione di tutti''.

In un comunicato rilasciato il 13 luglio, il Ceo di Hacking Team, David Vincenzetti annuncia: "Siamo impegnati a costruire una infrastruttura interna completamente nuova per mantenere i nostri dati al sicuro. La priorità è sviluppare un aggiornamento che consenta in fretta ai nostri clienti di assicurare la loro infrastruttura di sorveglianza attuale". "Contiamo di consegnare l'aggiornamento nell'immediato. Consentirà di mettere al sicuro nuovamente la versione 'Galileo' del nostro software Remote Control System - aggiunge Vincenzetti - In autunno rilasceremo una versione completamente nuova del nostro software Remote Control System, la numero 10. Sostituirà totalmente il sistema Galileo esistente, non sarà un semplice aggiornamento. Conterrà elementi nuovi per proteggere i sistemi e i dati, alla luce dell'impatto dell'attacco a Hacking Team".

Il 14 luglio Vincenzetti ha sostenuto che l'attacco hacker ha "risparmiato" sistemi "in grado di combattere il fenomeno del terrorismo apprezzati da tutti i governi occidentali". Salvo anche un sistema che "permette di violare i forum nascosti su Internet che l'Isis e altri estremisti utilizzano per la propria operatività". Forum dove, ha spiegato Vincenzetti, "compaiono ad esempio gli ingredienti e le istruzioni per realizzare le bombe".

Come mai l'attacco?

Hacking Team, fondata nel 2003 da David Vincenzetti e Valeriano Bedeschi, lavora per governi, forze dell'ordine e agenzie di intelligence di tutto il mondo. I suoi strumenti di intercettazione legale sono stati però collegati a diversi casi di invasione della privacy da parte dei ricercatori e dei media. Reporter senza frontiere ha indicato l'azienda tra i suoi nemici nell'indice Internet principalmente a causa delle loro pratiche commerciali e del loro strumento di sorveglianza primaria Da Vinci. Nel 2011 anche Julian Assange aveva inserito HT tra le società che operano nel campo dello spionaggio. Il quotidiano di Istanbul Hurriyet, ad esempio, sostiene che le forze di polizia turche abbiano pagato negli ultimi 4 anni almeno 440mila euro ad Hacking Team, citando alcuni documenti esclusivi di cui sarebbe entrato in possesso. Tra agosto 2011 e febbraio 2015 la polizia di Ankara avrebbe spiato almeno 50 obiettivi attraverso software noti come il già citato Remote Control System, noto anche come Galileo, che consente di tracciare le azioni del dispositivo posto sotto sorveglianza, incluse registrazioni audio e video. La Turchia avrebbe anche acquistato alcuni virus destinati a colpire i dispositivi di utenti di siti Internet. 

A inizio novembre 2013 la sede italiana in via della Moscova 13 a Milano fu attaccata da un gruppo di antagonisti che scrisse sulla facciata del palazzo questa frase: "Ci controllano le vite, ci rubano il futuro!". Accanto alla frase scritta con vernice rossa fu disegnata una "V" all'interno di un cerchio, che si ricollega al film "V per vendetta", simbolo degli antagonisti. L'azione avvenne in seguito alla pubblicazione in quei giorni del rapporto della Ong "Privacy International"  da parte del quotidiano britannico The Guardian. Nel documento la società figurava tra le 337 aziende che avrebbero venduto sistemi di spionaggio a 35 Paesi. Anche alcune associazioni per i diritti digitali, come "Electronic Frontier Foundation" e il "Citizen Lab" di Toronto, l'hanno accusata di vendere i loro prodotti anche in Paesi come Etiopia, Emirati Arabi Uniti, Marocco e Sudan. Questo dato sarebbe confermato proprio dal dossier pubblicato dal Guardian, secondo cui l'azienda avrebbe fornito software al governo marocchino. Tuttavia Hacking Team ha sempre sostenuto di fornire prodotti per combattere il crimine e negato di vendere a Paesi che rientrano nella blacklist della Nato.

Documenti scottanti

Tra i documenti trapelati una fattura da 58.000 euro dall'Egitto per l'RCS Exploit Portal di Hacking Team. È stata pubblicata anche una mail in cui l'azienda forniva un massiccio supporto all'Etiopia per 1 milione di dollari. Resa nota anche la lista dei Paesi clienti e una fattura da 480.000 euro da parte del Sudan che smentisce l'affermazione dell'azienda di non aver mai fatto affari con quello Stato e in generale con governi oppressivi. Pare che un cliente europeo sia il National Intelligence Centre (CNI) di Spagna con un contratto attivo fino al 31 gennaio 2016. 

Backdoor

A temere quindi sono governi, aziende e servizi segreti (anche l'Fbi è nella presunta lista dei clienti). In rete sono finiti i codici sorgenti e quei software usati dalle stesse autorità governative che ora possono essere utilizzati da criminali che hanno le capacità per farlo. Inoltre, da uno dei documenti trapelati in rete a seguito dell'attacco, si evincerebbe che il software venduto da Hacking Team ai suoi clienti contenga una "backdoor", cioè una porta d'accesso nascosta che consente alla stessa società di arrivare al software da remoto e di "spegnerlo", nonché di accedere ai dati dei clienti. Insomma un software spia dentro un software spia. John McAfee, fondatore dell'omonima società di antivirus poi ceduta a Intel, scrive sull'International Business Time che l'esistenza della "backdoor" (ufficialmente negata da Hacking Team) "minaccia la sicurezza e l'integrità di tutti i clienti della compagnia".  Se queste porte esistessero, chi ha avuto accesso ai file della società potrebbe aver ottenuto anche i dati di governi e agenzie che facevano uso del sistema. Esiste poi un altro problema: il codice spia, una volta immesso in rete, può essere utilizzato da tutti. Certo, sarebbe neutralizzato ma potrebbe costituire un'ottima base per sviluppare qualcos'altro. 

I servizi segreti italiani e Hacking Team

Anche gli 007 italiani hanno utilizzato i software spia di Hacking Team. L'Aise, l'Agenzia informazioni e sicurezza esterna, ha smesso di usarli una volta diffusa la notizia dell'attacco. Dai primi monitoraggi non risulterebbe che dati in possesso dell'Agenzia siano stati violati. Tutt'al più, fanno sapere i servizi segreti, gli hacker potrebbero trovare dati amministrativi, fatture, contratti per l'acquisto del servizio della società. Sono state comunque prese contromisure per innalzare la sicurezza, aggiornando i firewall e gli antivirus.

Dietro l'attacco anche un bug di Adobe Flash Player

L'attacco ha fatto emergere anche pericolose vulnerabilità informatiche. In particolare una delle falle sfruttate dal software Galileo per penetrare nei computer riguardava. Tra queste due nuove gravi falle individuate in  Flash di Adobe, il popolare programma che serve per visualizzare video ed elementi multimediali sul web. Adobe le definisce "critiche" ed è al lavoro per porvi rimedio. Le falle "potrebbe causare il 'crash'" dei sistemi e "potenzialmente permettere ad un aggressore di prendere controllo dei sistemi colpiti". Gli aggiornamenti, precisa la società, "saranno disponibili questa settimana". Le due falle, che seguono le altre due scoperte la settimana scorsa alle quali Adobe ha già posto rimedio, sono state scoperte da due società di sicurezza, FireEye e Trend Micro. Inoltre, secondo il sito The Register, pare che cybercriminali stiano già sfruttando almeno una di queste due falle per "infettare" i dispositivi. Anche Microsoft, secondo il sito, sta lavorando a una patch.

Wikileaks pubblica le mail aziendali rubate

"Sono oltre 1 milione di messaggi - spiega Wikileaks sul suo sito ricordando che Hacking Team è finita nel loro mirino già in passato - Queste mail mostrano il lavoro interno della controversa azienda di sorveglianza mondiale". Nelle mail pubblicate sul sito dell'organizzazione centinaia di nomi, di politici, di istituzioni, dai servizi segreti alla polizia, dalla Guardia di finanza ai Carabinieri. Dalla documentazione emergono anche scambi su visite in Sudan: "L'attività da svolgere sarà: dare un follow up al training fatto qui (che praticamente era basic), dare continuitá alle tecniche di attacco e infine verificare anche lo stato del sistema alla luce delle migrazioni che stavamo facendo e al check del livello di sicurezza (firewall, etc.)". In una mail dello scorso 25 maggio gli uomini dell'HT parlano invece della possibilità di business in Libia. "Per la Libia - scrive un dipendente dell'azienda - sono scettico, è un failed state, possiamo chiedere l'autorizzazione ma davvero non so se e' un paese in back list. Magari cominci a informarlo sulla documentazione che dev'essere fermata dal CLIENTE GOVERNATIVO per una nostra vendita? Poi possiamo procedere, al massimo la Libia è in black list e non vendiamo. Il Governo Italiano decide, il Governo Italiano ha la migliore intelligence a cui possiamo e dobbiamo attingere per un'autorizzazione, è la legge". 
Da uno scambio di email del 6 aprile scorso emerge che Hacking Team stava trattando con Insitu, sussidiaria di Boeing specializzata in droni tra cui gli ScanEagle e i Blackjack usati dalla marina militare Usa, per dotare un drone di un dispositivo capace di diffondere software spia in pc e cellulari via wifi. Nelle mail, diffuse da WikiLeaks, le aziende parlano di "un potenziale nell'integrazione della capacità di hackeraggio via wifi in un sistema aereo". Le trattative, in fase iniziale, sembrano bloccarsi nei mesi seguenti per mancanza di un'intesa sugli accordi di non divulgazione aziendale.

Anche l'Fbi sfruttava i servizi di Hacking Team

Il 17 luglio 2015 arrivano nuove rivelazioni allarmanti. Secondo il sito The Hacker News, che ha passato in rassegna l'archivio di documenti trafugato alla società milanese, l'Fbi monitorava le comunicazioni su Tor tramite gli strumenti di Hacking Team. Negli scambi di messaggi emerge che un agente aveva chiesto a HT di aiutarlo a identificare un utente di Tor, la rete criptata che consente navigazioni online anonime. E gli hacker milanesi hanno fornito una soluzione ad hoc. Gli analisti della società di sicurezza TrendMicro hanno individuato un'applicazione attraverso la quale la società infettava i telefonini: BeNews, un'app di news fasulla, che gli utenti potevano scaricare sul Play store di Google, quindi per dispositivi Android. BeNews, spiegano gli esperti, era studiata per schivare i controlli di Google sulle applicazioni rese disponibili sul negozio online. L'app è stata rimossa il 7 luglio ma era già stata scaricata 50 volte.

Il 31 luglio Wikileaks ha pubblicato sul suo sito, nel file "Target Tokyo", nuovi documenti tra cui quattro rapporti della National Security Agency, segnati "top-secret", su discussioni interne relative a commercio internazionale e climate change. Wikileaks dà una lista di 35 obiettivi "sensibili" della Nsa per le intercettazioni telefoniche tra cui ufficio di Gabinetto, Bank of Japan, ministeri di Finanze e Commercio e dirigenti di colossi del trading come Mitsubishi e Mitsui.

Trovato morto uno 007 sudcoreano

Hacking Team si lega anche all'apparente caso di suicidio di uno agente della National Intelligence Service, l'agenzia di spionaggio sudcoreana. Come riportato dall'AP e dal New York Times, il 46enne è stato trovato morto sabato 4 luglio nella sua auto, vicino Seoul. Accanto al corpo, ha rivelato la polizia locale, è stato rinvenuto un biglietto in cui l'uomo nega che il suo team avesse usato software di HT per spiare cittadini e politici. Dopo lo scoppio del caso, Nis aveva ammesso di aver comprato software da Hacking Team nel 2012, sottolineando però di averlo usato solo per monitorare gli 007 della Corea del Nord e per attività di ricerca.

Hacker cinesi all'opera?

Secondo il sito South China Morning Post, due gruppi di hacker legati alla Cina avrebbero usato i codici messi in rete dopo l'attacco sfruttando le falle di Flash. I target sarebbero settori come quello aerospaziale, la difesa, le tlc e l'energia. 

I timori del Garante della Privacy

Intanto, dalle pagine del quotidiano La Repubblica, il Garante della privacy Antonello Soro esprime " grande preoccupazione" sul software spia di Hacking team, "vittima" a sua volta di hackeraggio. Intervistato da Repubblica, Soro spiega di temere che "un sistema simile si ponga al di fuori del perimetro costituzionale" perché, in un colpo solo, può entrare nei telefoni e nei pc, copiare tutto e creare nuovi file, attivare una telecamera e un microfono per spiare la vita della "vittima". "Premesso che nei 400 giga pubblicati, cioè l'equivalente di 400 film in alta definizione della durata di un'ora e mezzo - spiega Soro - ci possono essere molte cose interessanti, già ora abbiamo elementi per più di un allarme. Non solo perché sono evidenti carenze rilevanti nelle misure di sicurezza usate dalla società. Ma soprattutto per le caratteristiche di Galileo che, se 'inoculato' in uno smartphone, in un'unica soluzione consente operazioni possibili con sistemi diversi". "Invece qui - prosegue il Garante della Privacy - si fanno insieme intercettazioni telefoniche, ambientali e del traffico dati, "cattura" dei documenti memorizzati, pedinamento elettronico". "Le normali intercettazioni devono essere autorizzate - ricorda - e sono limitate nel tempo". "Servono regole - avverte quindi - per un'arma così potente che la tengano nel perimetro della Costituzione".

L'allarme del Copasir

La Polizia postale, che dal 2004 utilizzava il software-spia creato dalla HT, ha parlato di un grave danno alle inchieste in corso, specie a quelle sul terrorismo, molte delle quali sono state fermate in modo duraturo. Al momento nessuna azienda italiana è in grado di fornire un servizio simile a quello che la Ht metteva a disposizione della polizia e delle altre forze dell'ordine. 
Il 22 settembre il ministro della Giustizia, Andrea Orlando, al termine della sua audizione al Copasir ha dichiarato che "Non abbiamo evidenze di compromissioni significative dell'attività di indagine delle procure, una decina".

L'ombra dei terroristi islamici

Le perquisizioni del 3 novembre alla società Mala srl con sede a Torino riconducibili a due degli indagati, gli ex dipendenti usciti dall'azienda nel 2014 Guido Landi e il cittadino libanese Mostapha Maanna, hanno portato alla scoperta di un versamento di circa 300 mila euro del 20 novembre 2014 sul conto della società da parte della società saudita Saudi Technology Development con base in Arabia Saudita. La causale indica "prestazioni di formazione professionale". Il sospetto alla base delle nuove perquisizioni è che i due ex collaboratori di HT abbiano venduto a quel prezzo il cosiddetto "codice sorgente" dello spyware Galileo alla società saudita, probabilmente mediatrice per conto di un altro committente ancora da individuare. Codice utile, secondo gli investigatori, per "neutralizzare" o "riprodurre" il software di spionaggio che, è l'ipotesi degli inquirenti, potrebbe anche essere finito in mano ai jihadisti. Tra i possibili committenti anche militari stranieri o governi esteri. 
La società Mala srl ufficialmente si occupa di formazione professionale. Non risulta però "verosimile - come si legge nel decreto - che la somma corrisposta sia in relazione ad attività di formazione professionale". Secondo l'ipotesi accusatoria, invece, la società saudita, sulla quale sono in corso accertamenti, avrebbe acquistato da Mala uno spyware "simile o alternativo" a quello prodotto da Ht. Landi e Maanna, si legge nel decreto, come gli altri tre indagati dell'inchiesta (questi ultimi, però, non sono coinvolti in questo nuovo 'capitolo') sono accusati di accesso abusivo a sistema informatico e rivelazione di segreto industriale. In particolare, stando al decreto, i due devono rispondere di essersi "introdotti abusivamente nel sistema informatico di Hacking Team", sistema "di interesse pubblico", "al fine di estrarre dati aziendali e informazioni riservate in modo da causare un danneggiamento o una interruzione parziale del funzionamento" del server di HT. Inoltre, secondo il pm, avrebbero "utilizzato o rivelato a terzi il codice sorgente del software Rcs Galileo, nonché altri dati riservati di pertinenza di Ht". "Siamo tranquilli e certi che le indagini dimostreranno che le accuse che ci vengono mosse sono 'bufale' diffuse da Hacking Team", afferma l'avvocato Sandro Clementi, legale dei due ex dipendenti. 

Gli strumenti per scoprire se il proprio computer è infettato

Oltre a Detekt, che funziona sui computer con OS Windows, ci sono altri due strumenti per capire se i propri pc sono stati infettati dal software di Hacking Team. Il primo, Osquery, è stato messo a punto da Facebook e funziona sui computer di Apple. Il secondo, Milano, messo a disposizione gratis dalla società Rook Security, va in cerca dei file associati ad Hacking team. Sarà aggiornato man mano che saranno vagliati gli oltre 400 GB di dati rubati alla società milanese.

6 luglio 2015 (aggiornato il 3 novembre)

La Redazione

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #hacking team #hacker #sicurezza #wikileaks #flash player

© Fastweb SpA 2019 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.