Il 4 giugno 2025 il COPASIR ha approvato all’unanimità la relazione sull’utilizzo dello spyware “Graphite” da parte dei Servizi di informazione per la sicurezza della Repubblica. La relazione è pubblica ed analizza in 5 paragrafi la vicenda relativa ad un centinaio di soggetti, tra cui anche giornalisti e attivisti politici, che sarebbero stati spiati attraverso uno spyware prodotto dalla società israeliana Paragon Solutions, con un approfondimento sul suo funzionamento tecnico, sulle attività dei servizi di informazione per la sicurezza ed, in particolare, sulla disciplina delle intercettazioni preventive.
Il COPASIR ha approvato, nella seduta del 4 giugno 2025, un approfondimento sull’attività svolta dai servizi di intelligence e dall’Agenzia per la cybersicurezza nazionale con riferimento alla vicenda relativa ad alcuni soggetti che sarebbero stati spiati attraverso uno spyware prodotto dalla società israeliana Paragon Solutions. Le prime informazioni su tale vicenda sono apparse sul sito Fanpage.it nella serata di venerdì 31 gennaio 2025, rilanciando una notizia già pubblicata sul sito del quotidiano britannico The Guardian secondo la quale i soggetti erano circa un centinaio, tra giornalisti e attivisti politici. Tra il 4 febbraio 2025 e la data di approvazione della relazione, il Comitato ha approfondito la tematica anche per mezzo di una serie di audizioni sia a livello istituzionale sia con soggetti privati coinvolti come i rappresentanti della società Paragon Solutions e del laboratorio The CitizenLab dell’Università di Toronto.
Prima di esaminare gli aspetti tecnici relativi alle modalità di funzionamento dello spyware, chiariti ampiamente durante le audizioni svolte, occorre premettere che, nel suo esito finale, la relazione del Comitato ha confermato che l’attività dei servizi di informazione per la sicurezza si sia svolta nel quadro delle garanzie e dei limiti imposti dalla legge 3 agosto 2007 n. 124.
Per vie generali, il Comitato ha ricordato che con tali spyware l’oggetto della violazione è il singolo dispositivo dell’utente target, quindi questi agiscono nel momento in cui i dati sono decrittati sul dispositivo in quanto i contenuti delle comunicazioni sono normalmente protetti da sistemi di crittografia end to end. Per tale ragione occorre ricorrere allo spyware, in quanto nemmeno la società che gestisce i servizi di messaggistica e VoIP potrebbe avere accesso a tali dati.
Con particolare riferimento allo spyware Graphite prodotto dalla società Paragon Solutions, sulla base delle notizie acquisite dal Comitato, tale società rende disponibili alla vendita i suoi servizi solo a “soggetti pubblici” appartenenti a Stati che possano garantire il rispetto dei diritti umani e delle libertà civili, con particolare riferimento ad alcuni parametri relativi al controllo sui clienti e ad un controllo di tipo legale, nonché alle garanzie di tipo tecnologico.
Come riportato da fonti aperte, Paragon Solutions è stata fondata come startup nel 2019 su iniziativa dell’ex comandante dell’Unità 8200 delle Forze di difesa israeliane Ehud Schneorson insieme a Idan Nurick, Igor Bogudlov, Lior Avraham, Liran Alkobi e all’ex Primo ministro israeliano Ehud Barak. Nel dicembre 2024 il fondo statunitense di private equity AE Industrial Partners ha acquistato l’azienda per un importo iniziale di 500 milioni di dollari, sebbene il Ministero della difesa israeliano abbia negato di aver approvato tale accordo. Per le sue caratteristiche lo spyware commercializzato dalla Paragon Solutions è stato paragonato a Pegasus, sviluppato dall’azienda israeliana NSO Group. Questo paragone non è a caso, in quanto l’Unità 8200 è l’unità militare incaricata dello spionaggio di segnali elettromagnetici (SIGINT, comprendente lo spionaggio di segnali elettronici, ELINT), OSINT, decrittazione di informazioni e codici cifrati e guerra cibernetica. Nel 2010 l’Unità 8200 ha fondato l’azienda NSO Group.
Con riferimento alle modalità tecniche con cui si è realizzato specificamente l’intrusione attraverso lo spyware Graphite, è emerso come il soggetto attaccante abbia proceduto ad aggiungere l’utenza target ad un gruppo WhatsApp senza la sua volontà, sfruttando una vulnerabilità dell’App presente dal 17 marzo 2023 (risolta poi con l’aggiornamento del 17 dicembre 2024), ed abbia inviato all’utenza un file con estensione Portable Document Format (.pdf), senza essere bloccato dai filtri di sicurezza dell’applicazione.
Tale file, appena recapitato sul dispositivo, genera un’anteprima senza bisogno di alcuna interazione da parte dell’utente, causando l’esecuzione del codice malevolo e quindi installando lo spyware. Su tale aspetto non sono state fornite ulteriori precisazione tecniche, quindi si può ritenere che esso, analogamente ad altri software dello stesso tipo, proceda alla raccolta di dati sensibili e alla esecuzione in background, cioè senza alcuna evidenza da parte dell’utente. I dati raccolti sarebbero quindi trasmessi a server remoti controllati dal soggetto attaccante: il database è ubicato presso la sede del cliente, raccoglie le informazioni acquisite sul target di un’operazione e non risulta accessibile alla società Paragon.
Sotto il profilo del controllo dell’operato del software, è emerso che ad ogni utilizzo dello spyware Graphite, l’operatore che lo comanda da remoto deve identificarsi con username e password, lasciando una traccia in un log delle acquisizioni e nel registro di audit. Nel registro di audit conservato sul server presso il cliente, viene tenuta traccia delle operazioni effettuate e di tutti gli accessi al sistema, ivi inclusi eventuali accessi tecnici per manutenzioni o aggiornamenti da parte della società Paragon (a tal proposito i rappresentanti di Paragon hanno sostenuto che la società non avrebbe alcun ruolo nell’utilizzo che il cliente fa del sistema e, in particolare, non avrebbe accesso e non sarebbe a conoscenza dell’identità dei soggetti a cui viene inoculato lo spyware). I dati acquisiti possono essere cancellati dal database direttamente da parte del cliente, che invece non può cancellare le informazioni presenti nel registro di audit.
L’approfondimento tecnico si è poi soffermato sulle misure adottate dalla società Meta in quanto il team di sicurezza di WhatsApp aveva già notato, per la prima volta nell’ottobre del 2024, un’attività sospetta e ha conseguentemente avviato le necessarie procedure di verifica e di indagine. La vulnerabilità di WhatsApp, è stata definitivamente risolta il 17 dicembre 2024, impedendo così ogni ulteriore utilizzo da parte di Paragon o dei suoi clienti. Il data 31 gennaio 2025 la società Meta ha contattato direttamente gli utenti potenzialmente interessati tramite una chat all’interno di WhatsApp.
Anche il laboratorio canadese The CitizenLab era giunto alle medesime conclusioni, seppure in modo diverso, analizzando le tracce informatiche che rimandano ai certificati dello spyware, lasciate nei registri contenuti nei sistemi operativi (Android, iOS) dei dispositivi interessati. La presenza di tali tracce sarebbe stata poi verificata attraverso l’analisi forense.
È utile richiamare, in ultimo, la questione relativa alle interazioni tra le autorità di Governo o giudiziarie e le società che erogano applicazioni di messaggistica come WhatsApp. Anche tale tema è stato affrontato nel corso delle audizioni, durante le quali è emerso che Meta (per WhatsApp) risponde alle richieste legali delle autorità fornendo i dati degli utenti (ndr, attraverso un proprio portale), in conformità con le leggi vigenti, secondo termini di servizio, politiche e procedure pubblicati sul sito web della medesima piattaforma. Il sito contiene, tra l’altro, anche le linee guida operative dedicate alle forze dell’ordine, che indicano la tipologia di informazioni disponibili rilasciabili nel rispetto delle norme vigenti e delle policy del gruppo. ©
Articolo disponibile in originale su EDICOLeA https://www.edicolea.com/seg-ii-del-mmxxv/
