Mentre lo spyware Pegasus di NSO Group è forse l'arma di sorveglianza di più alto profilo utilizzata dai governi repressivi contro la società civile, è venuto alla luce un potente malware di ricognizione mobile chiamato Hermit, scoperto di recente, pubblicizzato da uno sviluppatore italiano come uno strumento di "intercettazione legale".
Alla prossima Conferenza Settore 2022 a Toronto, Christoph Hebeisen, direttore della ricerca sull'intelligence sulla sicurezza presso Lookout, e Paul Shunk, ricercatore sulla sicurezza presso l'azienda, illustreranno le capacità di sorveglianza di Hermit, sullo sfondo del crescente mercato nazionale e dell'uso di queste applicazioni oscure.
Finora Lookout ha osservato lo spyware Hermit utilizzato dal governo del Kazakistan dopo la violenta repressione delle proteste con l'aiuto delle forze armate russe; applicati dalle forze dell'ordine italiane; e di essere schierato contro la minoranza curda nella regione siriana nord-orientale del Rojava, piagata dal conflitto.
Eremita: nascondersi 1 livello sotto Pegaso
I ricercatori inizieranno la loro sessione il 5 ottobre, intitolata “Un eremita fuori dal suo guscio", con una discussione su dove Hermit si inserisce nel quadro dello spyware mobile. È stato sviluppato da un fornitore italiano chiamato RCS Lab e da una società collegata chiamata Tykelab Srl, secondo Hebeisen, e viene solitamente distribuito su entrambe le piattaforme Android e iOS mascherandosi da app mobili legittime piuttosto che da attacchi che sfruttano le vulnerabilità del software.
“C'è un mercato vario per questi; NSO Group si colloca sicuramente ai vertici del settore e tutti riconoscono il nome, perché lo utilizzano exploit a zero clic per inserire il malware di sorveglianza nel dispositivo senza che l’utente se ne accorga”, dice Hebeisen a Dark Reading. “Ma poi c'è un livello di queste armi appena al di sotto di questo, che sono distribuite come app, e sono molto efficaci anche se richiedono un po' di ingegneria sociale per entrare nel dispositivo di un bersaglio. È lì che suona Hermit.
In termini di capacità, aggiunge che Hermit racchiude un pugno in termini di aspirazione delle informazioni. Oltre alle funzionalità spyware "standard" come il tracciamento della posizione degli utenti, l'accesso ai microfoni e alle fotocamere dei dispositivi, l'intercettazione di chiamate e messaggi e il furto di file multimediali, offre anche la possibilità di scovare ogni frammento di contenuto e dati ospitato in uno qualsiasi degli spyware app installate dagli utenti, comprese le app di messaggistica crittografate.
"Si tratta di uno strumento di sorveglianza molto sofisticato", afferma Hebeisen. “Si impossessa completamente del sistema operativo e può spiare letteralmente tutto. Considerando quanto i telefoni siano profondamente radicati nelle nostre vite oggigiorno e soprattutto in tutte le nostre attività private, questo è praticamente uno strumento perfetto per scoprire tutto ciò che un utente malintenzionato abbia mai voluto sapere su qualcuno.
Aggiunge che dietro le quinte il malware è progettato per essere agile e flessibile.
"Hermit è costruito in modo molto aziendale in quanto è modulare", spiega Hebeisen. "Quindi sospettiamo che ciò potrebbe effettivamente far parte del modello di business, in cui possono vendere diversi livelli di questo kit di sorveglianza includendo o escludendo determinati moduli."
Da una prospettiva più ampia, Hermit mostra una realtà scomoda quando si tratta di malware mobile di prossima generazione: "Nonostante i sistemi operativi mobili siano molto più moderni di molti sistemi desktop e abbiano già molti più controlli di sicurezza in atto, è ancora possibile per gli aggressori per superarli e quindi utilizzare effettivamente la funzionalità legittima del sistema operativo contro obiettivi”, afferma Hebeisen.
Spyware nazionale: una minaccia crescente
Da notare che le aziende che operano in questo spazio grigio, tra cui RCS Labs, NSO Group, Il creatore di FinFisher Gamma Group, la società israeliana Candiru e la russa Positive Technologies sostengono di vendere solo ad agenzie di intelligence e di controllo legittime. Questa però è un’affermazione che molti respingono, compreso il governo degli Stati Uniti, che recentemente sanzionato molte di queste organizzazioni hanno contribuito ad abusi dei diritti umani e a prendere di mira giornalisti, difensori dei diritti umani, dissidenti, politici dell’opposizione, leader aziendali e altri.
Ciononostante, Hebeisen osserva che ci sono sempre più strumenti spyware mobili in fase di sviluppo per il fiorente mercato della cosiddetta “intercettazione legale”, indicando una domanda in corso. Quando una viene colpita, “ci sono molte altre aziende che stanno dietro le quinte aspettando solo di subentrare”, dice.
La richiesta ha senso dal punto di vista geopolitico mentre le nazioni si allontanano dal conflitto cinetico.
"A differenza delle armi fisiche, per le quali devi affrontare tutti i tipi di controlli sulle esportazioni se vuoi venderle a regimi noti per violazioni dei diritti umani, sembra molto più facile aggirare il problema quando hai a che fare con la sorveglianza strumenti, che essenzialmente sono solo un diverso set di armi nella lotta”, spiega Hebeisen.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
