Predator: il software spia utilizzato contro Ahmed Tantawi come paradigma di nuove sfide per la sicurezza nazionale

Tra i mesi di maggio e settembre 2023, lo smartphone iPhone di Ahmed Tantawi, politico e giornalista egiziano, è stato più volte obiettivo di attacchi hacker da parte di soggetti non identificati. Di diversa natura e tipologia sono stati gli attacchi registrati: messaggi esca attraverso sia la rete SMS che l’applicazione di messaggistica Whatsapp, ma anche operazioni più strutturate, messe in atto sfruttando la connessione mobile su rete Vodafone Egypt di Tantawi.

Il dispositivo dell’ex-parlamentare è stato ripetutamente vittima di tentativi di network injection: quando Tantawi ha visitato determinati siti web che non utilizzavano il protocollo HTTPS (che garantisce la crittografia delle informazioni trasmesse), un’infrastruttura installata sul perimetro della rete di Vodafone Egypt lo ha reindirizzato in modo trasparente – nonché fraudolento – verso indirizzi malevoli.

In tutti i casi considerati, la finalità ultima degli attacchi era infettare il telefono con lo spyware Predator dell’azienda Cytrox.

Un gruppo di analisi di Citizen Lab (gruppo di ricerca interdisciplinare dell’università di Toronto), in collaborazione con il Threat Analysis Group (TAG) di Google, è riuscito ad identificare una catena di exploit zero-day per iPhone (CVE-2023-41991, CVE-2023-41992, CVE-2023-41993) progettata per installare Predator sulle versioni iOS fino alla 16.6.1.

I ricercatori sono entrati in possesso anche del primo stadio dello spyware utilizzato per infettare il dispositivo di Tantawi: dallo studio del codice sono emerse notevoli somiglianze con un campione dello spyware Predator di Cytrox risalente al 2021 e ciò sembrerebbe confermare con buona attendibilità che lo spyware utilizzato sia effettivamente un’evoluzione recente di Predator. Citizen Lab ha affermato, poi, di avere le prove che Predator sia stato trasmesso tramite network injection da un dispositivo situato fisicamente all’interno del territorio egiziano.

Analisi del contagio

Ahmed Tantawi, ex membro del Parlamento egiziano e già anche presidente del partito al-Karama, nel marzo 2023 ha annunciato la sua intenzione di candidarsi alle prossime elezioni presidenziali egiziane, dichiarando di “voler offrire un’alternativa democratica all’attuale presidente”^[1]https://www.africanews.com/2023/06/11/egypt-national-dialogue-marred-by-wave-of-arrests/.

Tantawi, sempre più sospettoso circa la sicurezza del suo telefono, ha infine contattato Citizen Lab, che ha sottoposto il suo dispositivo ad un’analisi forense dalla quale sono emersi i numerosi tentativi di colpire il candidato premier con il software spia Predator di Cytrox.

Cytrox è una società con con sede legale nella Macedonia del Nord (controllata da una holding ungherese) ed è soggetto noto nel panorama internazionale in qualità di produttrice di software e tecnologia di sorveglianza: le attività dell’azienda non sono passate inosservate, tanto da essere recentemente stata inserita nella blacklist del governo americano per traffico di cyber exploit^[2]https://www.state.gov/the-united-states-adds-foreign-companies-to-entity-list-for-malicious-cyber-activities-2/.

Non è poi, questo, il primo caso documentato che riguarda Cytrox ed il suo software Predator, impiegato a fini di controllo delle attività di cittadini egiziani politicamente esposti: sussistono, infatti, i precedenti del politico in esilio Ayman Nour e del conduttore di un popolare programma di notizie (che ha scelto di rimanere anonimo).

Catena di exploit Zero-Day su iOS

Una catena di exploit zero-day, ossia una sequenza di vulnerabilità non pubblicamente note (spesso neanche al produttore) che consente di “scalare” i privilegi di un sistema fino ad acquisirne il controllo, è ad oggi – soprattutto se riguarda dispositivi mobili e ancor più iPhone, grazie all’estrema diffusione del brand – valutata sul mercato nero anche milioni di dollari. Tali vulnerabilità sono quasi sempre il fulcro intorno al quale vengono progettati i più pericolosi malware utilizzati per finalità di sorveglianza.

Il primo passo, dunque, per il reverse engineering di un software spia – al fine di contrastarne diffusione e impiego – è quello di comprenderne le basi “tecnologiche” e dunque gli exploit sui quali sia stato costruito, ripercorrendone a ritroso la catena di infezione fino all’origine.

Collaborando con Tantawi, Citizen Lab e il Threat Analysis Group (TAG) di Google hanno scoperto una catena di exploit per iOS specificamente sfruttata per l’occasione. Una volta messa a conoscenza dei dettagli anche Apple, l’azienda (proprietaria del sistema operativo iOS) ha assegnato le seguenti CVE^[3]Common Vulnerabilities and Exposures alle vulnerabilità associate alla catena:

• CVE-2023-41991 (Sicurezza): Un’applicazione dannosa potrebbe essere in grado di aggirare la convalida della firma.
• CVE-2023-41992 (Kernel): Un attaccante locale potrebbe essere in grado di elevare i propri privilegi.
• CVE-2023-41993 (WebKit): L’elaborazione di contenuti web potrebbe portare all’esecuzione di codice arbitrario.

Il 21 settembre 2023, la società di Cupertino ha rilasciato dei security updates per diversi prodotti, per correggere specificamente le vulnerabilità sfruttate da questa catena di exploit.

Tracciamento della catena di contagio

La catena zero-day è stata ospitata su sec-flare[.]com e ha coinvolto anche verifyurl[.]me. Sono state rilevate le impronte digitali^[4]L’impronta digitale, o device fingerprint in informatica è l’informazione raccolta su di un dispositivo di elaborazione remoto a scopo di identificazione. di questi due siti web (impronta F1 per sec-flare[.]com e F2 per verifyurl[.]me).

Utilizzando metodologie di internet scanning è stato quindi verificato che un ingente numero di IP era riconducibile a tali impronte. È dunque probabile che tali IP (e i nomi di dominio restituiti nei certificati TLS corrispondenti) fossero in qualche modo connessi allo spyware Predator stesso.

Al momento, i nomi di dominio o gli indirizzi IP in oggetto non sono stati resi pubblici, tuttavia Citizen Lab riferisce che alcuni dei domini identificati avevano nomi che suggerivano un collegamento con paesi o regioni specifiche, tra cui il Golfo Arabico, il Sud-Est asiatico, l’Angola, la Repubblica Democratica del Congo, l’Egitto, la Grecia, l’Indonesia, il Kazakistan, il Madagascar, la Mongolia, gli Emirati Arabi Uniti e il Sudan (quest’ultimo cliente di Cytrox).

Imputazione dell’attribution

La fase finale della catena di exploit iOS è un payload iOS. Dalle analisi effettuate mediante confronto del payload del malware in oggetto con il campione del 2021 di Predator già in possesso di Citizen Lab, sono risultate evidenze incontrovertibili di una parentela tra i due codici: i due file binari hanno, infatti, diversi punti chiave in comune (che non sono stati resi pubblici, onde evitare di concedere un vantaggio strategico ai creatori del malware).

In conseguenza di questa somiglianza tra i due codici, l’attribution del payload utilizzato nel caso di Tantawi è considerata imputabile con alta probabilità ad una versione sì più recente ma sempre della medesima famiglia di Predator (tesi avvalorata, inoltre, dal fatto che alcuni dei nomi di dominio identificati nel codice sembrano mostrare una qualche connessione con obiettivi situati in paesi già precedentemente identificati come clienti di Cytrox, come lo stesso Egitto, la Grecia e il Madagascar).

Network Injection: veicolazione del contagio attraverso il controllo delle infrastrutture di rete

Tra i mesi di agosto e settembre 2023, quando Tantawi ha visitato alcuni siti web tramite cellulare – senza utilizzare il protocollo HTTPS – attraverso la connessione dati del gestore mobile Vodafone Egypt, è stato silentemente reindirizzato verso un sito web (c.betly[.]me) tramite tecniche di network injection. L’analisi ha mostrato la corrispondenza tra il dominio betly[.]me e l’impronta digitale F1 per lo spyware Predator di Cytrox.

Localizzazione geografica dell’infrastruttura

Attraverso test volti a capire la posizione del nodo di rete attraverso il quale è avvenuta l’infezione, si è riusciti localizzare il punto di contagio in un collegamento tra Telecom Egypt e Vodafone Egypt. I dati tecnici non hanno permesso di stabilire con esattezza quale dei due gestori ospitasse la middlebox, tuttavia, vi sono sospetti che questa fosse collocata all’interno della rete di Vodafone Egypt, dato che un’injection mirata a uno specifico utente avrebbe presupposto la pregressa disponibilità del database degli abbonati di Vodafone, di cui Tantawi era cliente.

Origine della middlebox

Secondo gli analisti, la middlebox^[5]Categoria di dispositivi, cui appartengono tra gli altri firewall e NAT, il cui compito è gestire le priorità dei pacchetti di rete, nonché bloccare, modificare e registrare varie tipologie di traffico internet utilizzata sarebbe uno specifico dispositivo prodotto dall’azienda Sandvine, identificato in quanto l’impronta corrisponde a quella nota di dispositivi utilizzati fino al 2023 dal gestore telefonico turco Turk Telekom.

Veicolazione dell’infezione tramite SMS

Oltre alla manipolazione del traffico di rete per re-direzionare il traffico della vittima, sono state messe in atto tecniche aggiuntive per aumentare le probabilità di installazione del malware.

Tantawi ha infatti ricevuto diversi SMS nel tempo (nel settembre 2021, nel maggio 2023 e nel settembre 2023), com i quali il sedicente autore – la società Whatsapp – lo avvisava di presunti tentativi di accesso al sistema: i messaggi fraudolenti invitavano a visitare il link fornito per “terminare” quelli che si voleva far credere fossero tentativi non autorizzati di accesso all’account WhatsApp di Tantawi.

In realtà, con molta probabilità i link aprivano invece la strada all’installazione dello spyware Predator.

È interessante notare come i nomi di dominio nei link non corrispondano all’impronta digitale di Predator F1 o F2. Tuttavia, circa 2 minuti e 30 secondi dopo che Tantawi aveva letto il messaggio del 15 settembre 2021, il software spia Predator risultava installato sul suo telefono. Il lecito sospetto è che il politico egiziano abbia aperto il link contenuto nel messaggio, innescando -almeno in questo caso – l’infezione.

Dal momento che i messaggi del 2023 contengono esche simili, si ritiene di conseguenza che anche questi messaggi siano stati tentativi di installare lo spyware Predator sul suo telefono.

Veicolazione tramite Whatsapp

Un ulteriore tentativo di infiltrazione del dispositivo cellulare di Tantawi è stato compiuto sfruttando l’applicazione di messaggistica Whatsapp.

Un soggetto non identificato, presentatosi con il nome di Angie Raouf per conto della Federazione Internazionale per i Diritti Umani (FIDH), ha contattato Tantawi e gli ha inviato due link a siti ospitanti il malware Predator (identificati con impronta digitale F1) il 24 giugno e poi il 12 luglio 2023. La conversazione non è stata aperta da Tantawi, scongiurando così l’infezione.

Riportiamo la traduzione dei messaggi.

Messaggio del 24 giugno

«Buonasera, signor Ahmed Tantawy. Sono Angie Raouf dell’organizzazione FIDH per i diritti umani. Stavo lavorando a un caso di studio sulle elezioni in Medio Oriente e volevo chiederle di [[ LINK ]] e se ci fossero molestie da parte del governo nei confronti del candidato Ahmed Tantawi. Grazie mille»

Messaggio del 12 luglio

«Sono Angie Raouf. Lavoro alla Federazione Internazionale per i Diritti Umani FIDH, stavo conducendo uno studio sulle elezioni in Medio Oriente e volevo prendere l’Egitto come caso di studio. Ci sono elezioni in Egitto o è solo una farsa? Se me lo permettete, vorrei conoscere il punto di vista di coloro che si oppongono al regime egiziano. Per cominciare, vorrei partire da un articolo scritto da Wael Qandeel, e cosa ne pensate [[ LINK ]] Come pensa che si debbano svolgere le elezioni, per evitare che diventino una farsa. Volevo le elezioni anche se non erano eque o giuste, ma purtroppo non riesco nemmeno a vederle come elezioni. So che siete molto impegnato, ma vi sarei grato se poteste aiutarmi nella mia ricerca.»

Aggiornamenti di sicurezza urgenti sui dispositivi Apple

Dato quanto fin qui riportato, è prioritario (nonché sempre buona prassi) per tutti i possessori di dispositivi Apple aggiornare immediatamente tali dispositivi alle ultime versioni disponibili dei sistemi operativi.

Le versioni patchate e pertanto protette dalla catena di contagio sfruttata da Predator sono:

• macOS Ventura 13.6
• macOS Monterey 12.7
• watchOS 9.6.3
• watchOS 10.0.1
• iOS 16.7 e iPadOS 16.7
• iOS 17.0.1 e iPadOS 17.0.1

Come per l’exploit BLASTPASS zero-click recentemente scoperto, che veniva sfruttato dal famigerato spyware Pegasus di NSOGroup (di cui ci siamo già occupati anche anche noi in passato), la Modalità Isolamento^[6]Maggiori informazioni sul supporto ufficiale Apple (in inglese, Lockdown Mode) introdotta recentemente da Apple sui suoi dispositivi pare bloccare efficacemente questo particolare attacco (al netto, ovviamente, della limitazione nell’uso di determinate funzionalità dei device).

Pertanto, si consiglia a tutti gli utenti – ma ancor più ai soggetti politicamente esposti o che operano in contesti sensibili – di Mac, iPhone e iPad di attivare la Lockdown Mode.

Preminenza dell’interesse nazionale

L’uso di software di sorveglianza prodotti da società private, al di là dell’ovvio dibattito etico sul tema della tutela delle libertà individuali, impone doverosamente anche una riflessione sulla questione della sicurezza nazionale.

In effetti, la natura stessa di soggetto privato delle aziende produttrici di questi software finisce per collocare le stesse in una sorta di ‘zona grigia’. La ricerca della massimizzazione degli utili, propria di ogni società commerciale, che l’ordinamento generale riconosce come legittimo se perseguito nel rispetto del quadro normativo di riferimento, può comunque entrare in rotta di collisione con la salvaguardia del più alto valore della sicurezza nazionale.

Per chiarire il punto, mi si lasci citare un caso emblematico, che pure qualcuno ricorderà. Alcuni anni fa, il gruppo italiano Hacking Team (specializzato di software di controllo remoto), molto quotato nel panorama internazionale, è rimasto vittima di un attacco hacker finalizzato a rendere pubblici i nomi dell’intero – o quasi – portafoglio clienti dell’azienda. Portafoglio clienti che annoverava anche non pochi Stati (o apparati di Stati) scarsamente, o per niente, rispettosi dei valori democratici. All’epoca, è stato quest’ultimo dato a catalizzare l’interesse mediatico e a produrre gravi danni reputazionali al gruppo.

Ma l’aspetto del caso che più qui interessa è quanto emerso da una porzione dei dati hackerati (alcune mail scambiate tra le parti) circa una trattativa (poi non andata a buon fine per mancato accordo sul prezzo) per la vendita di una quota azionaria di maggioranza all’Arabia Saudita, che avrebbe così dato a un governo straniero il controllo della società (oltre che permesso di aggirare, in un certo qual modo, i limiti imposti dall’Accordo di Wassenaar).

Ora, essendo il gruppo fornitore di servizi anche per le forze di polizia e di sicurezza italiane, si vede bene come lasciare in mano straniera la possibilità di ingerirsi in settori così vitali per il Paese (sia pure, in via di mera possibilità, con forme, più o meno penetranti, di controllo, manipolazione o intercettazione di informazioni sensibili e riservate) richiede tuttora, crediamo, una qualche approfondita riflessione.

È prioritario, pertanto, coltivare una sempre maggiore consapevolezza della necessità che lo Stato mantenga pieno controllo e cognizione delle attività svolte da aziende che – benché soggetti di diritto privato – operano in settori critici.

Se non si può pensare di prescindere, per tenere il passo delle nuove sfide tecnologiche, dall’uso di mezzi avanzati di sorveglianza e controllo (indispensabili nella lotta alla criminalità organizzata così come per contrastare fenomeni quali il terrorismo endogeno ed esogeno), non possiamo però ignorare il rischio di “ritorno di fiamma” di una tecnologia pur d’eccellenza – magari sviluppata anche su suolo italiano, come nel caso di Hacking Team – ma potenzialmente utilizzabile come arma anche volta contro istituzioni e cittadini della nostra nazione (le finalità, è facile immaginare, possono essere molteplici: dall’utilizzo per scopi estorsivi o ricattatori all’industrial espionage, dall’infiltrazione nei sistemi informatici governativi alla violazione dei dati di rappresentati delle istituzioni e personalità di rilievo del panorama politico ed economico del paese).

Si tratta, a onor del vero, di un problema che investe – specificamente – tutto il mondo occidentale e che non può – e non deve – essere considerato come questione ristretta all’ambito della sola sicurezza nazionale. Infatti, non ne sono immuni i singoli stati, ma non lo sono neanche le istituzioni sovrannazionali (emblematico è ad esempio il caso dell’eurodeputato greco Nikos Androulakis, vittima anch’egli lo scorso anno di un attacco perpetrato sempre mediante lo stesso spyware Predator).

Sono necessari, e lo saranno sempre più negli anni a venire, quadri normativi e infrastrutture condivisi per un’efficace difesa, sia che si voglia declinare la questione della protezione dei dati come tutela della privacy personale che come sicurezza delle informazioni.