Come uno sviluppatore italiano di spyware governativi si è fregato da solo

I cacciatori di malware spesso parlano di quanto sia difficile individuare il vero colpevole dietro un cyberattacco o un determinato pacchetto di software maligno — questa pratica, nella community di cybersicurezza, è conosciuta come "attribuzione." Gli hacker, in particolare se lavorano per un governo, fanno l'impossibile pur di riuscire a celare chi siano e per chi lavorino.

Ma a volte gli hacker fanno degli errori, anche piuttosto lampanti come lasciare un link al sito dell'azienda che ha sviluppato il malware nel codice del malware stesso. È un po' come se un ladro entrasse in casa tua per poi lasciare sul comodino il biglietto da visita.

È ciò che è successo con questo malware Android progettato per spiare le proprie vittime, scoperto in Asia lo scorso anno. Aziende in ambito security come BitDefender hanno trovato lo spyware e al tempo avevano evidenziato come sembrava "essere sviluppato da persone che parlano italiano per colpire determinati dispositivi Android, selezionando le loro vittime sulla base dei codici IMEI dei loro dispositivi," senza però approfondire oltre le specifiche dell'attribuzione.

Come si sospettava, secondo due analisi indipendenti del malware, questo spyware è stato sviluppato da un'azienda chiamata GR Sistemi, un'altra ditta risultata piuttosto maldestra nella sua corsa all'oro degli spyware, nel tentativo di aggiudicarsi una fetta del crescente business — spesso privo di scrupoli — della sorveglianza. (L'azienda non ha risposta alla numerose richieste di commento.)

GR Sistemi è un'altra delle numerose ditte italiane che ha provato ad entrare nell'affollato mercato degli spyware governativi, conosciuto dagli insider come "intercettazioni legali." Hacking Team, a Milano, e la anglo-tedesca FinFisher potrebbero essere due delle più conosciute, ma negli ultimi anni i cacciatori di malware e i ricercatori hanno recuperato campioni e tracce di software creati da diverse altre ditte, come l'italiana Raxir e RCS Lab, l'indiana Wolf Intelligence e Aglaya, e l'israeliana NSO Group.

Ci si aspetta che il mercato per le "intercettazioni legali" generi fino a 1.3 miliardi di dollari entro il 2019, secondo una stima dell'agenzia di consulenza Markets and Markets — In decisa crescita rispetto ai 251 milioni di dollari del 2014. Per alcuni, queste cifra mostrano come stiamo vivendo una vera e propria corsa all'oro per gli spyware. Un periodo in cui molte aziende stanno cercando di entrare nel mercato a tutti i costi, offrendo a governi in tutto il mondo strumenti per monitorare e sorvegliare i propri obiettivi — anche quando non hanno le conoscenze tecniche necessarie per sviluppare strumenti affidabili e non rischiare di essere scoperti.

Leggi di più: L'italiano ostaggio di una vendita di spyware finita male

"La corsa all'oro degli spyware sta diventando tragicomica," ha spiegato Morgan Marquis-Boire, ricercatore e direttore dell'azienda della sicurezza per First Look Media, che ha scoperto che il campione analizzato da BitDefender era stato creato da GR Sistemi.

Marquis-Boire, tra i primi ricercatori a scoprire il malware di Hacking Team circa cinque anni fa, ha spiegato di aver analizzato i campioni di GR Sistemi l'anno scorso, e di aver rapidamente scoperto che uno dei file conteneva un link a un sito che ridirezionava al sito ufficiale di GR Sistemi.

[Uno screenshot della brochure della GR Sistemi per il suo spyware Dark Eagle.]

Secondo Marius Tivadar, ricercatore presso BitDefender, uno dei primi campioni analizzati da Marquis-Boire è stato rinvenuto in Asia. Tivadar ha detto che, però, non c'è modo di sapere se il campione sia stato caricato da un ricercatore che lo testava o da una vera e propria vittima del software.

"Di sicuro, questo non significa che abbiamo infettato i clienti dalla Cina e dal Singapore," ha spiegato Tivadar in una mail.

Secondo quanto riportato sul suo sito, la GR Sistemi è stata fondata nel 2002, ma la società è entrata solo di recente nel mercato degli spyware. In una e-mail trapelata risalente al 2013, lo Chief Technology Officer di Hacking team definiva l'azienda un "nuovo arrivato". All'epoca, la GR Sistemi aveva partecipato ad una serie di eventi parte di ISS World, una serie annuale di conferenze soprannominate informalmente come "Wiretappers' Ball."

La società, tuttavia, non si era fatta notare molto, secondo quanto rivelatoci da un veterano del settore che aveva presenziato allo stesso evento.

"Erano i classici scappati di casa che cercano di saltare su un nuovo carrozzone," ha raccontato la fonte, aggiungendo che i dipendenti della GR Sistemi presenti alla conferenza parlavano a malapena l'inglese.

Un'altra fonte, che a sua volta ci ha chiesto di restare anonima, ha raccontato che durante uno di quegli eventi, la GR Sistemi promuoveva il suo prodotto di spyware, chiamato Dark Eagle, presentando quella che diceva essere una demo live. Ma, ha continuato la fonte, la demo in realtà era solo un file video MPEG mandato in loop.

In un'altra delle mail trapelate, uno dei dirigenti di Hacking team parlava stroncava la GR Sistemi, tra gli altri competitor, perché sosteneva che "pretendeva di offrire di più di quello che in realtà poteva dare" durante una delle conferenze ISS tenutesi a Praga nel 2013.

"E, oltre tutto, sembrano essere ancora molto indietro su tutto il resto," scriveva il dirigente.

Per la maggior parte della sua storia, la GR Sistemi ha venduto tracker GPS e servizi di intercettazioni tradizionali alle forze dell'ordine, ma ha anche fornito un'app per monitorare le flotte dei camion. Secondo una fonte, l'azienda lavora con gli enti pubblici locali della Lombardia.

"Non centrano una mazza con gli spyware," ha riportato la fonte. "Hanno fiutato che quello delle intercettazioni era un buon business, così hanno iniziato ad offrire delle soluzioni che in realtà erano raffazzonate."

In realtà, lo spyware Dark Eagle della GR Sistemi individuato da BitDefender è stato realizzato rielaborando almeno in parte un tool open source per l'accesso remoto o strumento amministrativo (RAT) chiamato AndroRAT, secondo Marquis-Boire e Tim Strazzere, un altro ricercatore di sicurezza. Stazzere ha aggiunto che AndroRAT è stato spesso rielaborato da altri hacker, come ha segnalato in un paper scritto quando lavorava per una ditta di sicurezza per mobile.

Le aziende che vendono ai governi spyware rimaneggiati a partire da programmi preesistenti o che contengono codice riciclato non sono una novità. In una e-mail trapelata, Hacking Team ha accusato il suo concorrente FinFisher di utilizzare un codice molto simile a quello di Flexispy, una società che vendeva spyware per genitori preoccupati e coniugi gelosi. E come rilevato da un'indagine di Forbes, la Wolf Intelligence ha preso in prestito alcuni dei suoi tool da un altro sviluppatore attraverso una partnership ufficiale.

Pratiche simili, così come gli errori che permettono ai ricercatori di beccare i loro malware, mostrano che alcune di queste aziende forse non sono ancora veramente pronte per lavorare sul serio ad alti livelli.

"I loro prodotti in sé valgono di meno rispetto alla cifra a cui sono venduti," ha concluso Marquis-Boire. "Forse sono OK per scrivere software ma sicuramente non sono forti nell'ambito dello spionaggio o della sicurezza operativa."

Iscriviti a pluspluspodcast , il nuovo show di Motherboard sulle persone e le tecnologie che stanno costruendo il nostro futuro.