Gli esperti di Citizen Lab (Università di Toronto) hanno pubblicato i dettagli della campagna di spionaggio effettuata contro il giornalista Francesco Cancellato (direttore di Fanpage), Luca Casarini (co-fondatore di Mediterranea Saving Humans) e Beppe Caccia (armatore della nave di Mediterranea Saving Humans). WhatsApp ha rilevato la presenza dello spyware Graphite sui dispositivi di circa 90 persone.
Dettagli dell’attacco italiano
Paragon afferma che Graphite viene venduto solo ai governi che rispettano le leggi internazionali e i diritti fondamentali. L’azienda israeliana (acquisita da AE Industrial Partners a fine 2024) non vende lo spyware a regimi autoritari e non democratici. I ricercatori di Citizen Lab hanno mappato l’infrastruttura dei server attraverso l’identificazione dei nomi di dominio e i relativi certificati.
Ciò ha permesso di scoprire anche alcuni possibili clienti, ovvero i governi di Canada, Australia, Israele, Singapore, Danimarca e Cipro. Diversi indirizzi IP erano di server gestiti da operatori telefonici che operano in questi paesi. Citizen Lab ha collaborato con Meta per consentire di risolvere una vulnerabilità zero-click di WhatsApp sfruttata per colpire oltre 90 persone, tra cui gli italiani Francesco Cancellato, Luca Casarini e Beppe Caccia.
Sui loro smartphone Android sono state trovate tracce di Graphite (WhatsApp ha inviato una notifica che segnalava il pericolo). Attraverso l’analisi forense è stata scoperta la catena di infezione. Qualcuno (non sono noti gli autori delle attività di spionaggio) ha aggiunto le vittime ad un gruppo WhatsApp. È stato quindi inviato un file PDF che ha sfruttato automaticamente (senza clic) la vulnerabilità e installato Graphite. Lo spyware poteva anche aggirare la sandbox di Android e infettare altre app.
Mediterranea Saving Humans è un’organizzazione umanitaria che si occupa di migranti, in particolare quelli provenienti dalla Libia. Citizen Lab ipotizza che Cesarini e Caccia siano stati scelti come bersaglio per le loro critiche al governo italiano. Il Ministro per i Rapporti con il Parlamento (Luca Ciriani) ha confermato che l’Italia è un cliente di Paragon.
Il governo ha smentito ogni coinvolgimento nell’attività di spionaggio, ma il contratto con l’azienda israeliana è stato sospeso a metà febbraio. Alcuni giorni prima era stato pubblicato un avvertimento del Garante della privacy.
John Fleming, Presidente di Paragon, ha dichiarato che il report contiene numerose inesattezze. Citizen Lab ha sottolineato che questa è la stessa “scusa” usata da NSO Group per proteggere l’identità dei clienti e negare la propria responsabilità.
Ti potrebbe interessare
19 mar 2025