Centinaia di gigabyte di dati sottratti e almeno cinquecento telefoni Android hackerati: una campagna di attacchi informatici ha tenuto sotto controllo giornalisti, militari e membri della società civile per sei anni.
E gli indizi lasciati nei ventuno paesi interessati dai misteriosi hacker fanno risalire a un edificio del Direttorato libanese della sicurezza, secondo quanto denunciato dall’azienda di sicurezza informatica Lookout congiuntamente con la Electronic Frontier Foundation.
Il gruppo di hacker, soprannominato Dark Caracal, ha sfruttato le vulnerabilità ormai note di Android per sottrarre dai telefoni infettati Sms, registri delle chiamate e file multimediali. Secondo quanto riportato in un comunicato, Dark Caracal sarebbe stato addirittura in grado di attivare le fotocamere dei dispositivi. "Abbiamo le prove di numerose campagne condotte da Dark Caracal, e sappiamo che i dati che abbiamo osservato sono solo una piccola parte dell'attività totale", hanno dichiarato Lookout ed Eff.
Tracciando l’attività del software malevolo, i ricercatori ritengono che i dispositivi utilizzati per testare l’attacco siano raggruppati in un edificio di Beirut, appartenente ai servizi di sicurezza libanesi. "Sulla base delle prove disponibili, è probabile che il Direttorato libanese per la sicurezza, una delle agenzie di intelligence del Paese, sia associato a Dark Caracal o direttamente coinvolto nelle operazioni di spionaggio”.
Nonostante l’estensione dell’attacco e la quantità di dispositivi e dati coinvolti, gli hacker sembrano aver sottovalutato l’importanza di nascondere le proprie tracce. Il materiale ottenuto attraverso gli attacchi infatti è stato archiviato su server non protetti e potenzialmente alla portata di chiunque. "È quasi come se i ladri che rapinano una banca si dimenticassero di chiudere la porta dove hanno nascosto i soldi", ha dichiarato all’Associated Press Mike Murray, il capo dell'intelligence di Lookout.
Il malware di Dark Caracal è un software malevolo personalizzato, capace di infettare i dispositivi Android quando si installano alcune versioni non ufficiali di app di messaggistica come Whatsapp o Signal. Oltre a questo, il gruppo di hacker si è servito anche di altri strumenti di sorveglianza come il malware Finfisher, notoriamente utilizzato come strumento di controllo da parte delle forze di sicurezza nazionali di molti Paesi.
"Dark Caracal ha condotto con successo numerose campagne parallele e sappiamo che i dati che abbiamo osservato sono solo una piccola parte dell'attività totale", hanno detto Eff e Lookout nel loro rapporto. Secondo l’analisi dell’attività di Dark Caracal, si ritiene che gli hacker abbiamo condotto sei diverse campagne d’attacco, di cui la prima potrebbe risalire al 2012.
La Electronic Frontier Foundation afferma di aver identificato per la prima volta le impronte di Dark Caracal nell'agosto del 2016. In un rapporto erano descritti attacchi indirizzati a giornalisti e attivisti politici critici del governo autoritario del Kazakistan. Grazie allo studio di alcuni dispositivi infettati, Lookout ha potuto successivamente ricondurre i malware a una famiglia di software malevoli chiamata Pallas.
"L’elemento più interessante è che che questo attacco non richiede strumenti sofisticati o costosi.Tutto ciò di cui Dark Caracal aveva bisogno erano i permessi delle applicazioni, che gli utenti stessi concedono quando scaricano le app, senza sapere che contengono un malware”, ha detto in una nota Cooper Quintin, esperto di sicurezza informatica di Eff. "Questa ricerca dimostra che non è difficile creare una strategia che consenta a persone e governi di spiare obiettivi in tutto il mondo".
La notizia dell’operazione di spionaggio arriva a pochi giorni dalla scoperta di Skygofree, software spia in grado di attivare i microfoni e le camere degli smartphone Android e probabilmente realizzato da un’azienda italiana per finalità di spionaggio da parte delle forze dell’ordine o dei servizi segreti.
Leggi anche: Skygofree - il malware che consente di spiare gli smartphone Android