Un’inchiesta del New York Times rivela in che modo Israele ha usato il software di spionaggio Pegasus per ottenere vantaggi diplomatici. E perché gli Stati Uniti prima lo hanno comprato e poi hanno cercato di vietarlo
Ronen Bergman e Mark Mazzetti, The New York Times Magazine, Stati Uniti
Questo numero si può acquistare a 4 euro in tutte le edicole oppure online per la lettura immediata in formato PDF Compra questo numero
Nel giugno 2019 tre ingegneri informatici israeliani si sono presentati in un edificio del New Jersey usato dall’Fbi e hanno preso dagli scatoloni decine di server. Dopo averli sistemati in una stanza isolata, li hanno accesi e hanno fatto una serie di telefonate ai loro capi a Herzliya, un quartiere nella periferia di Tel Aviv in cui si trova la sede dell’Nso Group, l’azienda più conosciuta al mondo tra quelle che producono spyware, software che permettono di spiare telefoni e computer per rubare dati e informazioni. Poi, una volta sistemate le apparecchiature, hanno cominciato i test.
L’Fbi (Federal bureau of investigation, l’agenzia statunitense per la sicurezza interna) aveva appena comprato una versione di Pegasus, il principale strumento di spionaggio dell’Nso. Già da una decina d’anni l’azienda israeliana vendeva il suo sistema di sorveglianza ai servizi di sicurezza di tutto il mondo, promettendo risultati che nessun altro era in grado di garantire: intercettare le comunicazioni cifrate di tutti gli smartphone iPhone e Android in modo sistematico e affidabile. Sembrava che i prodotti dell’Nso fossero la soluzione a uno dei più grandi problemi dei servizi di sicurezza nel ventunesimo secolo: e cioè che criminali e terroristi usavano tecnologie di cifratura migliori di quelle a disposizione degli investigatori per decifrarle. Il mondo del crimine era riuscito a restare nell’oscurità anche mentre diventava sempre più globale.
Nel 2019, però, anche i numerosi abusi di Pegasus erano ormai ben documentati. Il governo messicano aveva usato il software non solo contro i criminali, ma anche contro giornalisti e oppositori. Gli Emirati Arabi Uniti se n’erano serviti per accedere al telefono di un attivista per i diritti civili, poi incarcerato. L’Arabia Saudita l’aveva usato contro le militanti per i diritti delle donne e, secondo la denuncia di un dissidente saudita, per spiare le comunicazioni di Jamal Khashoggi, editorialista del Washington Post ucciso e fatto a pezzi da agenti sauditi a Istanbul nel 2018.
Nulla di tutto questo, però, aveva impedito ai nuovi potenziali clienti, Stati Uniti compresi, di contattare l’Nso. I particolari dell’acquisto e della sperimentazione di Pegasus da parte dell’Fbi non sono mai stati resi pubblici. Inoltre, lo stesso anno in cui Khashoggi è stato ucciso, la Cia (Central intelligence agency, l’agenzia statunitense per la sicurezza esterna) aveva organizzato e finanziato la vendita di Pegasus al governo di Gibuti per aiutare l’alleato statunitense nella lotta al terrorismo, nonostante le preoccupazioni sulle violazioni dei diritti umani nel paese africano, tra cui la persecuzione dei giornalisti e il ricorso alla tortura contro gli oppositori. La Dea, l’agenzia impegnata nella lotta contro il traffico di droga, il Secret service, incaricato della sicurezza del presidente e della sua famiglia, e l’Africa command dell’esercito statunitense avevano già parlato con l’Nso. Ora era il turno dell’Fbi.
Durante i corsi di formazione, ad alcuni agenti dell’Fbi è stato chiesto di comprare degli smartphone e registrarli con account fittizi, usando schede sim di altri paesi (Pegasus è stato progettato in modo da non attaccare numeri statunitensi). A quel punto gli ingegneri, come già in altre dimostrazioni in giro per il mondo, hanno aperto l’interfaccia e, dopo aver inserito i numeri di telefono, hanno fatto partire l’attacco informatico.
La versione di Pegasus era “zero clic” – a differenza dei software di hackeraggio più comuni non richiedeva che l’utente cliccasse su un allegato o un link dannoso – perciò gli agenti statunitensi non hanno visto tracce di violazioni in corso sui telefoni. E non si sono accorti che i computer di Pegasus si collegavano a una rete di server in tutto il mondo, entravano nei telefoni e poi si ricollegavano alle attrezzature in New Jersey. Ma pochi minuti dopo hanno visto tutti i dati conservati nei dispositivi usati per la simulazione comparire sui grandi monitor dei computer di Pegasus: le email, le foto, i messaggi, i contatti personali. Si poteva risalire alla posizione di ogni dispositivo e perfino prendere il controllo della videocamera e del microfono. Grazie a Pegasus gli agenti dell’Fbi erano in grado di trasformare all’istante i telefoni di tutto il mondo in potenti strumenti di sorveglianza. Ovunque, tranne che negli Stati Uniti. Israele non voleva farli arrabbiare consentendo le attività di spionaggio di altri paesi sul loro territorio. Impedire all’Nso di programmare Pegasus per attaccare utenze statunitensi evitava ai clienti stranieri dell’azienda di spiare gli americani; ma impediva anche agli statunitensi di spiare altri statunitensi.
Miniera d’oro
Negli ultimi tempi l’Nso ha proposto all’Fbi una soluzione per aggirare il problema. Durante una dimostrazione alle autorità a Washington, l’azienda ha presentato un nuovo sistema, chiamato Phantom, capace di violare qualsiasi numero l’Fbi decida di mettere sotto sorveglianza negli Stati Uniti. In pratica, Israele ha concesso all’Nso una licenza speciale che permette a Phantom di attaccare anche utenze statunitensi. La licenza è disponibile solo per un unico tipo di clienti: 52 Internazionale 1458 | 29 aprile 2022 le agenzie governative degli Stati Uniti. In un elegante volantino, stampato dalla sede statunitense dell’Nso e pubblicato per la prima volta dal sito d’informazione Vice, si legge che grazie a Phantom i servizi di sicurezza statunitensi possono raccogliere dati “estraendo e monitorando informazioni cruciali sui dispositivi mobili”. È una “soluzione indipendente” che non richiede la collaborazione delle aziende di telecomunicazioni At&t e Verizon, né della Apple o di Google. Il sistema, si legge, “trasformerà il telefono del vostro bersaglio in una miniera d’oro d’informazioni”.
La presentazione di Phanton ha scatenato una discussione durata due anni tra i legali del dipartimento di giustizia e l’Fbi, a cavallo tra due amministrazioni presidenziali. La questione fondamentale era se l’uso di Phantom negli Stati Uniti fosse in contrasto con le leggi sulle intercettazioni. Il dibattito è continuato fino all’estate 2021, quando l’Fbi ha deciso di non usare gli strumenti dell’Nso. È stato più o meno allora che un consorzio di mezzi d’informazione chiamato Forbidden Stories ha pubblicato nuove rivelazioni sulle armi informatiche dell’Nso e sul loro uso contro giornalisti e dissidenti. Oggi il sistema Pegasus si trova, spento, nell’edificio del New Jersey. A novembre del 2021 gli Stati Uniti hanno annunciato quello che è sembrato – almeno a chi era a conoscenza dei rapporti precedenti – un voltafaccia nei confronti dell’Nso. Il dipartimento del commercio ha inserito l’azienda israeliana nella sua lista nera per attività “contrarie alla sicurezza nazionale o agli interessi di politica estera degli Stati Uniti”. Nella lista, chiamata entity list e creata per impedire alle aziende statunitensi di avere rapporti commerciali con nazioni o altri soggetti potenzialmente impegnati a fabbricare armi di distruzione di massa, negli ultimi anni sono finiti vari produttori di armi informatiche. L’Nso non poteva più comprare dagli statunitensi componenti fondamentali per i suoi sistemi.
È stato uno schiaffo pubblico a un’azienda che sotto molti aspetti è il fiore all’occhiello dell’industria della difesa israeliana. Senza più accesso alle tecnologie statunitensi – tra cui i computer Dell e i server online di Amazon – l’Nso rischia di non riuscire ad andare avanti. Gli Stati Uniti hanno comunicato la notizia al ministro della difesa israeliano meno di un’ora prima che fosse resa pubblica. I funzionari israeliani erano furiosi. Molti titoli di giornale si sono concentrati sullo spauracchio di un’azienda privata fuori controllo, che ha sede in Israele ma è finanziata quasi completamente all’estero. Le autorità israeliane, però, hanno reagito come se si trattasse di un attacco allo stato. “Chi si lancia contro l’Nso in realtà punta alla bandiera bianca e azzurra che sventola alle sue spalle”, ha detto Yigal Unna, fino al 5 gennaio di quest’anno direttore generale della direzione nazionale informatica di Israele.
La rabbia degli israeliani era in parte motivata dall’ipocrisia statunitense: il divieto è arrivato dopo anni di sperimentazioni segrete dei prodotti dell’Nso all’interno dei confini statunitensi e dopo che la Cia li ha messi in mano ad almeno un paese, il Gibuti, con precedenti per violazioni dei diritti umani. Ma Israele aveva anche i suoi interessi da tutelare. Grazie al sistema di concessione delle licenze per l’esportazione, il governo ha l’ultima parola sui soggetti a cui l’Nso può vendere il suo spyware. Da anni, quindi, l’azienda è un elemento centrale della strategia di sicurezza nazionale israeliana, che l’ha usata, insieme ad altre imprese del settore, per promuovere i suoi interessi nel mondo. La combinazione tra il desiderio di Israele di far valere la sua influenza e la fame di profitti dell’Nso ha avuto anche l’effetto di mettere Pegasus nelle mani di una nuova generazione di leader nazionalisti in tutto il mondo. Anche se la supervisione del governo israeliano avrebbe dovuto impedire che fosse usato dai governi contro dissidenti e oppositori, Pegasus è stato venduto a Polonia, Ungheria e India, nonostante i loro precedenti discutibili sui diritti umani.