Ex agenti dell’intelligence statunitense al servizio degli Emirati arabi uniti (Eau) sono entrati negli iPhone di politici, diplomatici e attivisti grazie a un software di cyber-spionaggio chiamato Karma. Lo svela un’esclusiva pubblicata oggi dall’agenzia di stampa Reuters sulla base di documenti e dichiarazioni ottenute da cinque agenti che lavoravano per i servizi segreti americani.
Il software-spia Karma è stato usato come arma di offesa cyber da una squadra operativa ad Abu Dhabi composta sia da agenti di sicurezza degli Eau che da ex agenti dell’intelligence Usa che lavoravano come consulenti per i servizi di spionaggio degli Emirati. L’unita di hacking americana si chiamava Project Raven ed era composta da veterani della National security agency.
L’hackeraggio degli iPhone è stato condotto nel 2016 e nel 2017 e ha fatto leva su una vulnerabilità dell’applicazione iMessage di Apple ora ampiamente superata con i modelli di iPhone più recenti. Tra i personaggi presi di mira ci sono l’emiro del Qatar, Sheikh Tamim bin Hamad al-Thani, l’ex primo ministro della Turchia Mehmet Şimşek, il capo degli Affari esteri dell’Oman, Yusuf bin Alawi bin Abdullah e il premio Nobel per la pace Tawakkol Karman, attivista yemenita per i diritti umani. Il sistema ha preso di mira diversi avversari politici degli Eau, tra cui funzionari del Qatar e rappresentanti del movimento Fratelli musulmani.
Gli agenti Usa hanno descritto Karma come uno strumento capace di garantire accesso da remoto agli iPhone semplicemente caricando i numeri di telefono o gli indirizzi email in un sistema automatico di targeting. Il sistema non intercettava le telefonate e funzionava solo sugli smartphone di Apple, non gli Android, ma era molto efficace: poteva hackerare centinaia di iPhone simultaneamente e non richiedeva che la vittima cliccasse su alcun link; bastava inviare al cellulare un messaggio su iMessage, anche se l’utente non lo apriva; anzi non doveva nemmeno usare l’applicazione. In questo modo gli agenti hanno potuto catturare foto, email, sms, dati sulla posizione geografica e anche password delle persone spiate.
Alla fine del 2017 Karma è diventato molto meno efficiente per via degli aggiornamenti degli iPhone ma, chiarisce Reuters, non è detto che il suo utilizzo sia stato del tutto abbandonato.
Le cyber-armi come Karma sono particolarmente ricercate dalle forze di intelligence. Solo una decina di nazioni al mondo, ovvero Russia, Cina, Stati Uniti e i loro vicini alleati, sono ritenuti attualmente capaci di sviluppare strumenti del genere, ha indicato Michael Daniel, ex coordinatore della cyber-security della Casa Bianca durante la presidenza Obama.
L’unità operativa di Abu Dhabi del Progetto Raven si avvaleva soprattutto di veterani dell’intelligence Usa, pagati tramite una società di cyber-sicurezza degli Emirati, la DarkMatter. Il governo degli Eau avrebbe invece acquistato il software Karma da un fornitore esterno al paese.
Secondo Reuters molti paesi del Medio Oriente stanno cercando di mettere insieme un arsenale di cyber-armi e alcuni ex agenti dei servizi segreti americani sono pronti a fornire a questi paesi, come “contractor”, competenze e strumenti derivati dal lavoro presso la Nsa. Nessuna delle parti citate dall’articolo (Emirati Arabi Uniti, Apple, DarkMatter, Nsa) ha per ora commentato la notizia, ma l’Fbi ha fatto sapere che sta indagando per verificare che non siano state consegnate ad attori esteri anche informazioni riservate delle forze di sicurezza degli Stati Uniti.
