Nell'estate del 2014, il "digilantes", noto come PhineasFisher, ha hackerato i server della Gamma International, la controversa società produttrice dello spyware adottato da svariati governi nazionali: FinFisher.Grazie a quella operazione sono emersi alcuni dettagli significativi circa il funzionamento del programma e sopratutto la lista dei clienti che si sono rivolti all'azienda. Molti prevedevano che la Gamma International ne sarebbe uscita gravemente danneggiata, ma a più di un anno dalla vicenda il programma FinFisher è ancora sul mercato, anzi, ha battezzato una società omonima a lui dedicata con più clienti della precedente secondo quanto risulta da una inchiesta prodotta dal team del Citizen Lab, ovvero i guardiani digitali della Munk School of Global Affairs dell'Università di Toronto.
Pubblicità
FinFisher vende tecnologie di sorveglianza ad enti pubblici per consentirgli di penetrare nei computer o nei telefoni dei loro bersagli e monitorarne le varie attività online, telefonate, mail e messaggi.
"Hanno un gruppo ben nutrito di clienti."
Ad oggi, i clienti attivi di FinFisher sono almeno 32 paesi, secondo il Citizen Lab, che ne ha identificato vari server sparsi per il mondo, nonostante l'azienda si vanti di utilizzare proxy "praticamente impossibili da tracciare". Per riuscirci, i ricercatori hanno scansionato l'intera rete Internet per sei volte, tra la fine di dicembre 2014 e lo scorso settembre."Sembra che abbiamo un gruppo ben nutrito di clienti", ha commentato Marczak a Motherboard.
Alcuni tra i clienti sono paesi che dal punto di vista della tutela dei diritti umani stanno adottando politiche piuttosto controverse, come il Kazakistan, il Bangladesh, l'Etiopia o il Venezuela. In passato si è scoperto che alcuni clienti di FinFisher, tra cui il Bahrain e l'Etiopia, utilizzavano lo spyware per spiare attivisti e gruppi di opposizione."La domanda globale per programmi capaci di 'intrusioni mirate' è in aumento," avverte il rapporto. "Nonostante la fama tutt'altro che positiva, prodotti come FinFisher vengono acquistati e distribuiti da governi di tutto il mondo. E mentre la lista dei clienti cresce, aumentano anche i potenziali abusi perpetuabili attraverso questa tecnologia."
Pubblicità
FinFisher non ha risposto alla richieste di commenti inviate da Motherboard.Il gruppo di ricercatori, guidato da Bill Marczak, ha scoperto i paesi di appartenenza dei server grazie ad alcuni trucchetti e ad un aiuto giunto da una fonte inaspettata: i dati che sono stati diffusi pubblicamente sul concorrente di FinFisher dall'hack della società italiana Hacking Team.Mentre esaminava alcuni dei file pubblicati online anche da PhineasFisher, Marczak ha notato un indirizzo IP in particolare."Uhm, quell'indirizzo è molto, molto, familiare," ha ricordato di aver esclamato lo studioso nel momento in cui aveva individuato qualcosa di interessante.Marczak e i suoi colleghi avevano scoperto quell'indirizzo IP durante la scansione alla ricerca dei server di FinFisher, ma non capivano a chi appartenesse. Così hanno pensato di fare un confronto con i dati dell'Hacking Team, dato che le due società, pur essendo concorrenti, condividono diversi clienti.
Alcune vittime che sono stati spiate dal governo del loro paese attraverso il software FinFisher. (Video: Justice Forum)E, in effetti, hanno trovato delle corrispondenze. Ad esempio: un ex dipendente di Hacking Team, durante l'esecuzione di una demo per un'agenzia militare indonesiana, ha inviato una e-mail utilizzando un indirizzo IP appartenente allo stesso range di indirizzi condiviso con alcuni presunti server di FinFisher. Dato che la mail è stata inviata dopo l'esecuzione concordata del demo, i ricercatori hanno dedotto che fosse partita dalla sede dell'agenzia militare.
Pubblicità
In altri casi, gli esperti hanno dovuto sperimentare stratagemmi più elaborati. Una volta immessi in un browser, molti indirizzi IP dei server proxy di FinFisher rimandavano a Google.com per depistare i tentativi di scoprire la loro reale natura."Stavo solo facendo un po' di tentativi", ha raccontato Marczak al telefono, "quando ho sottoposto la query per conoscere il mio indirizzo IP e mi sono detto 'wow, me ne restituisce uno diverso da quello della mia barra degli indirizzi!'"I ricercatori ritengono che questi indirizzi IP appartengano ai master server di FinFisher, o, in altre parole, ai centri di sorveglianza gestiti direttamente dai clienti della società .
Screenshot di una query che rivela il reale 'indirizzo IP di un master server FinFisher . (Foto: Citizen Lab)
Alcuni server di FinFisher rimandavano a Yahoo.com e con loro il trucchetto per ottenere l'indirizzo IP non funzionava. Ma i ricercatori sono riusciti a risalire alla città in cui erano localizzati i server grazie al widget meteo visualizzato sulla pagina di destinazione di Yahoo. È così che, per esempio, hanno scoperto che un proxy con un indirizzo IP lituano era situato in realtà a Caracas, in Venezuela.Sono stati raccolti un totale di 135 indirizzi IP potenzialmente connessi a FinFisher, purtoppo senza giungere ad identificare quali nazioni li stavano sfruttando. "Ci sono sicuramente più clienti di quelli noti", è la conclusione tratta da Marczak.I ricercatori non sono preoccupati di rivelare i loro metodi di indagine, perché, come dice Marczak, "stiamo giocando come fa il gatto con il topo.""Come ricercatore devo valutare le conseguenze di rendere noti i risultati del nostro lavoro, perché potrebbe complicare le ricerche future", ha aggiunto lo studioso.Ecco perché il team ha pubblicato la maggior parte degli indirizzi IP rilevati: per diffondere più informazioni su FinFisher ad altri ricercatori, giornalisti e funzionari politici. Tuttavia, per non interferire con le indagini ufficiali, gli indirizzi IP dei server vulnerabili agli attacchi non sono stati resi noti."Non vogliamo disturbare o interferire con le indagini", scrivono nel rapporto," bensì, garantire che i cittadini abbiano la possibilità di richiedere trasparenza e maggiore responsabilità ai propri governi."
