Politica
video suggerito
video suggerito
Caso Paragon

Come è stato spiato il telefono di Cancellato: i file eliminati e le analogie con Caccia e Casarini

Secondo le Procure che indagano sul caso Paragon gli attacchi ai telefoni di Luca Casarini, Giuseppe Caccia (spiati dai servizi italiani) e Francesco Cancellato (spiato da ignoti, al momento) sono avvenuti nelle stesse ore e con le stesse modalità. Prima una “intrusione a mezzo Whatsapp”, poi la cancellazione di alcuni file critici e, da quel momento, un controllo completo del dispositivo.
Accedi a contenuti speciali, newsletter e podcast: gratis per 14 giorni.
A cura di Luca Pons
0 CONDIVISIONI
Immagine
Attiva le notifiche per ricevere gli aggiornamenti su
Caso Paragon

Le indagini sul caso Paragon portano alla luce nuove verità. Certo, le analisi tecniche e gli approfondimenti degli inquirenti finora non hanno ancora spiegato chi abbia messo sotto sorveglianza il direttore di Fanpage.it Francesco Cancellato. Ma nel frattempo la perizia informatica disposta dalle Procure di Roma e Napoli permette di ricostruire come è avvenuto, passo dopo passo, l'attacco informatico ai cellulari di Cancellato, Luca Casarini e Giuseppe Caccia.

Questi ultimi due, va ricordato, sono stati spiati dall'Aisi, l'agenzia italiana di intelligence interna. Per Cancellato invece non ci sono prove che dimostrino un coinvolgimento delle autorità italiane. È utile anche ricordare che il software utilizzato, Graphite, prodotto da Paragon Solutions, è venduto solamente a governi e agenzie governative di Paesi alleati di Usa e Israele.

I tre attacchi nella notte con "modalità identiche"

L'attacco ai telefoni dei due attivisti e del giornalista è avvenuto nelle stesse ore. La perizia, che Fanpage.it ha consultato, afferma che per i tre ci sono "le stesse evidenze di intrusione a mezzo Whatsapp", con "identiche modalità di intrusione e modifiche anomale". Il documento riporta anche che, in mancanza di una collaborazione tecnica di Paragon, non si può garantire che si tratti di Graphite (cosa però confermata da altri riscontri nel corso delle indagini).

Leggi anche
Paragon, dopo le Procure arrivano le analisi del Citizen Lab: "Entrarono nel telefono di Cancellato all'alba"

Gli attacchi sono avvenuti "in rapida successione nella notte del 14 dicembre". Il primo è stato Cancellato, all'1:17. Poi Caccia alle 2:02 e infine Casarini alle 3:43. Il documento sottolinea che c'è la "ragionevole certezza di una compromissione tramite malware" per Casarini, e che ci sono moltissimi elementi comuni tra ciò che si è trovato sul telefono del capomissione di Mediterranea Saving Humans e quelli di Caccia e Cancellato.

Su tutti e tre, infatti, nelle prime ore del 14 dicembre è stata prima aggiunta un'identità Whatsapp con un numero nascosto. Poi, c'è stata l'interazione con una community. E infine alcuni file di sistema sono stati modificati.

L'intrusione con Whatsapp e i file eliminati

I tecnici hanno osservato che, nel momento in cui presumibilmente avveniva l'attacco, i telefoni di Casarini, Caccia e Cancellato hanno interagito con una community Whatsapp. Un dato anomalo, e che si spiega probabilmente perché in quel periodo un bug permetteva di sfruttare le community di Whatsapp per aggirare alcuni filtri anti spam (un problema poi risolto dall'azienda pochi giorni dopo, quando però l'infezione era già avvenuta).

Sul telefono di Cancellato per tre volte una chat con un gruppo o una community è stata fissata e poi non fissata, e infine eliminata. Il tutto è successo in "meno di tre decimi di secondo". L'utente sconosciuto che aveva inviato i messaggi nei gruppi in questione era collegato a un numero di telefono dei Paesi Bassi.

Nelle stesse ore c'è stata una "cancellazione di un numero simile ed insolitamente alto di chat" e di "un numero simile ed insolitamente alto di messaggi". Una coincidenza difficile da spiegare, sui telefoni di tre persone diverse, se non come un intervento esterno: "Una rapida eliminazione in blocco prima dell'arrivo di altri messaggi, che può suggerire una pulizia di tracce".

Avvenuto l'attacco e cancellate le tracce, lo spyware avrebbe poi iniziato a manipolare i cellulari. Qui risultano delle modifiche solo indirette, proprio perché si tratta di uno spyware molto sofisticato. Alcuni file di sistema sono stati modificati in quegli stessi minuti: "È altamente insolito osservare modifiche temporalmente ravvicinate in comune fra dispositivi diversi, di produttori diversi, con versioni di software diverse", sottolineano gli esperti.

Altri file sono stati rimossi del tutto. Dal cellulare di Cancellato risultavano assenti nove file di sistema, tutti ‘strategici' per un attacco. In parte si tratta di documenti che non possono davvero essere eliminati, perché il telefono smetterebbe di funzionare, ma che non sono stati trovati dagli analisti. L'ipotesi è che "sul dispositivo sia attivo un software malevolo che nasconde questi file, magari perché modificati". Guarda caso, gli altri file mancanti sono quelli che, se infettati, permetterebbero di avere accesso a tutto il telefono.

L'agente Anderdog

Una curiosità emersa dalla perizia riguarda, in particolare, il telefono di Luca Casarini. Su quel dispositivo i tecnici hanno rilevato diversi crash informatici, e analizzando un file che permette di capire cosa c'è dietro un crash hanno trovato "alcune stringhe di testo di particolare interesse".

Hanno trovato, con tutta probabilità, un "agent", cioè il programma che ha operato nel telefono per causare quei crash e prendere il controllo dei processi informatici. Anche se non è certo, "le stringhe suggeriscono che l'agent si potrebbe chiamare ‘anderdog‘". Parola simile a "underdog", o "sfavorito", il termine che Giorgia Meloni usò per descrivere se stessa nel primo discorso alla Camera. Sembra piuttosto evidente, comunque, che si tratti di una coincidenza.

Politica Italiana
0 CONDIVISIONI
autopromo immagine
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni
Notifiche
Effettua il Login
Politica
api url views