Gli spyware sono tipicamente utilizzati per monitorare e raccogliere dati da utenti ad alto rischio come giornalisti, difensori dei diritti umani e dissidenti politici. Queste capacità hanno fatto crescere la domanda di spyware, dando vita a un’industria lucrativa utilizzata per vendere a governi e cybercriminali la capacità di sfruttare le vulnerabilità dei dispositivi consumer. Sebbene l’uso di spyware colpisca in genere solo un piccolo numero di bersagli umani alla volta, il suo impatto più ampio si ripercuote su tutta la società, contribuendo alle crescenti minacce alla libertà di parola, alla libertà di stampa e all’integrità delle elezioni in tutto il mondo. Per fare luce sull’industria dello spyware, il Threat Analysis Group (TAG) di Google ha pubblicato Buying Spying, un report che comprende analisi approfondite sui Commercial Surveillance Vendors (CSV).

TAG segue attivamente circa 40 CSV con diversi livelli di sofisticazione e di esposizione pubblica. Lo studio riporta chi è coinvolto nello sviluppo, nella vendita e nella distribuzione di spyware, come operano i CSV, i tipi di prodotti che sviluppano e vendono e l’analisi di Google delle attività recenti.

Questi i principali risultati del report:

  • Mentre i CSV più importanti attirano l’attenzione dell’opinione pubblica e i titoli dei giornali, ce ne sono decine di altri che sono meno noti, ma che svolgono un ruolo importante nello sviluppo di spyware.
  • La proliferazione di spyware da parte dei CSV causa danni reali. Nello studio Google ha evidenziato le storie di tre utenti ad alto rischio che hanno testimoniato la paura provata quando questi strumenti sono stati usati contro di loro, l’effetto agghiacciante sulle loro relazioni professionali e la loro determinazione a continuare il loro importante lavoro.
  • Se i governi hanno mai preteso di avere il monopolio delle capacità informatiche più avanzate, quell’epoca è finita. Il settore privato è ora responsabile di una parte significativa degli strumenti più sofisticati rilevati da Google.
  • I CSV rappresentano una minaccia per gli utenti di Google e sono all’origine della metà degli exploit 0-day noti che colpiscono i prodotti Google e i dispositivi dell’ecosistema Android.

NIS 2 cyber security

Il business degli 0-day e la catena di distribuzione degli spyware

Da molti anni le aziende del settore privato si occupano della scoperta e della vendita di exploit, ma si assiste a un aumento delle soluzioni di spionaggio “chiavi in mano”. I CSV offrono strumenti pay-to-play che raggruppano una catena di exploit progettati per superare le misure di sicurezza, insieme allo spyware e all’infrastruttura necessaria, al fine di raccogliere i dati desiderati dall’utente preso di mira. I quattro gruppi sottostanti hanno trovato proficuo lavorare insieme, dando così ulteriore impulso a questa industria:

  • Ricercatori di vulnerabilità e sviluppatori di exploit: Mentre alcuni ricercatori di vulnerabilità scelgono di monetizzare il proprio lavoro migliorando la sicurezza dei prodotti (ad esempio, contribuendo a programmi di bug bounty o lavorando come difensori), altri utilizzano le proprie conoscenze per sviluppare e vendere exploit ai broker o direttamente ai CSV.
  • Broker e fornitori di exploit: Individui o aziende situati in tutto il mondo, specializzati nella vendita di exploit a clienti che spesso, ma non sempre, sono governi.
  • Commercial Surveillance Vendors (CSV) o Private Sector Offensive Actors (PSOA): Aziende che si concentrano sullo sviluppo e sulla vendita di spyware come prodotto, compresi i meccanismi di consegna iniziale, gli exploit, l’infrastruttura di comando e controllo (C2) e gli strumenti per organizzare i dati raccolti
  • Clienti governativi: Governi che acquistano spyware dai CSV e selezionano obiettivi specifici, realizzano campagne che forniscono lo spyware, quindi monitorano l’impianto dello spyware per raccogliere e ricevere dati dal dispositivo dell’obiettivo.

Sforzi internazionali per combattere lo spyware

Gli sforzi comunitari di sensibilizzazione hanno dato impulso a una risposta politica internazionale. Google si è unita ai rappresentanti dell’industria, dei governi e della società civile alla conferenza The Pall Mall Process: Tackling the Proliferation and Irresponsible Use of Commercial Cyber Intrusion Capabilities. L’evento è stato ospitato dai governi di Francia e Regno Unito ed è stato concepito per creare consenso verso la limitazione dei danni di questo settore. Questi sforzi si basano su precedenti azioni governative, tra cui alcuni passi compiuti l’anno scorso dal governo statunitense per limitare l’uso governativo di spyware e una dichiarazione congiunta di undici governi che si impegnano a compiere sforzi simili.