Spyware Pegasus: cos’è, come trovarlo e come rimuoverlo

Pegasus è uno spyware creato dall’azienda israeliana NSO Group e venduto esclusivamente ad agenzie governative. Si infiltra negli smartphone tramite app di messaggistica e notifiche di sistema, sfruttando vulnerabilità che non richiedono alcuna azione da parte dell’utente (i cosiddetti attacchi zero-click).

Da varie indagini è emerso che Pegasus è stato utilizzato per spiare giornalisti, attivisti e politici in oltre 50 Paesi. Capire come funziona Pegasus e in che modo è stato usato ci aiuta a comprendere perché è diventato uno degli strumenti di sorveglianza più controversi mai creati.

Come funziona lo spyware Pegasus?

Per infiltrarsi nei dispositivi, estrarre dati ed evitare il rilevamento, Pegasus utilizza principalmente tre meccanismi:

Installazione zero-click

A differenza della maggior parte dei malware, Pegasus si installa senza richiedere alcuna interazione da parte dell’utente. Sfrutta le falle di sicurezza nei sistemi operativi e nelle app di messaggistica come WhatsApp e iMessage, infettando i dispositivi nel momento in cui l’utente riceve semplicemente un messaggio o una notifica. Spesso, Pegasus approfitta di vulnerabilità zero-day, ovvero falle di sicurezza sconosciute e non ancora corrette, rendendo quasi impossibile difendersi in tempo reale.

Funzioni di sorveglianza 

Una volta installato, Pegasus opera a livello di sistema con accesso root. Legge i messaggi crittografati delle app, ascolta le chiamate, registra audio tramite il microfono, scatta foto usando la fotocamera, ruba le password e traccia la posizione in tempo reale. Pegasus colpisce sia gli iPhone sia i dispositivi Android, adattandosi alle misure di sicurezza di ciascun sistema operativo; questa è una delle caratteristiche principali che lo distinguono dalla maggior parte degli spyware commerciali.

Si autodistrugge

Pegasus cancella i registri, elimina i file temporanei e interrompe la comunicazione con i server di comando quando rileva un’analisi forense o lunghi periodi offline. Questa capacità di autodistruggersi lo rende invisibile persino agli strumenti di sicurezza più avanzati, permettendogli di sparire prima che gli investigatori possano raccogliere prove.

Uso e abuso da parte dei governi

Pegasus non è in vendita ai privati: viene concesso in licenza alle agenzie governative per attività di antiterrorismo e indagini criminali. Tuttavia, alcune ricerche hanno dimostrato che è stato utilizzato anche contro giornalisti, attivisti e figure politiche, motivo per cui ha sollevato serie preoccupazioni a livello globale sul suo uso improprio. Questa incongruenza tra gli obiettivi dichiarati da NSO e gli abusi documentati è al centro delle polemiche su Pegasus.

NSO Group e la controversia su Pegasus

Pegasus è stato sviluppato da NSO Group, un’azienda israeliana di cybersicurezza fondata nel 2010 con l’obiettivo dichiarato di aiutare i governi a combattere il terrorismo e la criminalità grave. L’azienda si presenta come un fornitore di tecnologie di intercettazione legale, e vende strumenti che consentono ai servizi di spionaggio e alle forze dell’ordine di accedere ai dati di sospetti criminali quando i metodi tradizionali non sono efficaci. Secondo NSO, i suoi prodotti salvano vite, perché aiutano a smantellare reti criminali, rintracciare rapitori e prevenire attacchi terroristici.

D’altro canto, il settore degli spyware opera in gran parte lontano dai riflettori, in un contesto in cui il confine tra sorveglianza legittima e spionaggio politico è piuttosto sfumato. NSO guadagna vendendo software a enti governativi di tutto il mondo¹, ma secondo i suoi detrattori il processo di selezione dei clienti è poco trasparente e finisce per privilegiare contratti redditizi rispetto alla tutela dei diritti umani. Una volta venduto Pegasus, NSO ha poche informazioni su come e contro chi viene utilizzato, e l’azienda risponde solo in misura minima di eventuali usi illeciti.

Nel 2021 il Pegasus Project – un’indagine internazionale guidata da Forbidden Stories e Amnesty International con il supporto di 17 testate giornalistiche, tra cui The Guardian, The Washington Post e Le Monde – ha rivelato che Pegasus è stato usato per colpire giornalisti, attivisti, avvocati e politici in oltre 50 Paesi.²

Conseguenze e reazioni a livello mondiale

Da quando è emerso, il caso Pegasus ha innescato una reazione immediata a livello internazionale. Diversi Paesi, tra cui Francia, India e Ungheria, hanno avviato indagini ufficiali sul possibile uso improprio di questo spyware.³ ⁴ Il Parlamento europeo ha istituito una commissione speciale per esaminare l’impatto di Pegasus sulla democrazia e sui diritti civili all’interno dell’UE.⁵ Allo stesso tempo vari governi, tra cui quello degli Stati Uniti, hanno imposto restrizioni commerciali o diplomatiche a NSO Group, mentre alcune organizzazioni internazionali hanno chiesto un controllo più rigoroso sull’intero settore della sorveglianza.⁶

Il clamore di questa vicenda ha anche colpito duramente la reputazione e la stabilità finanziaria di NSO. Secondo alcune ricostruzioni, l’azienda si è trovata ad affrontare un indebitamento crescente, licenziamenti e la perdita di clienti importanti, mentre gli investitori prendevano le distanze dalla società.⁷ Pegasus è diventato il simbolo non solo di una sorveglianza invasiva, ma anche della crescente mancanza di responsabilità nel mercato globale degli spyware, dove gli interessi di governi, aziende private e politica si intrecciano sempre di più.

Questo, però, non significa che oggi il mondo sia al sicuro dagli spyware come Pegasus. Di fatto, nel tempo sono emersi altri strumenti simili, come Predator, sviluppato in Macedonia del Nord, che è stato utilizzato per colpire giornalisti e rappresentanti dell’opposizione in Paesi come Grecia ed Egitto.⁸ Se da un lato la controversia su Pegasus ha attirato l’attenzione su un’azienda in particolare, dall’altro ha puntato i riflettori su un settore in crescita: quello delle tecniche di sorveglianza digitale avanzata.

Legami con il governo israeliano

NSO Group opera all’interno del sistema israeliano di controllo delle esportazioni, che classifica Pegasus come tecnologia di livello militare e richiede che ogni vendita venga approvata dal Ministero della Difesa. Questo tipo di regolamentazione non è un’eccezione: anche gli Stati Uniti, l’Unione europea e altri 43 Paesi applicano controlli simili agli strumenti di sorveglianza.

Ciò che distingue l’approccio israeliano è il modo in cui queste autorizzazioni si sono allineate agli obiettivi diplomatici del governo. Un’inchiesta del New York Times del 2022 ha evidenziato che Israele ha trattato NSO come una sorta di estensione dello Stato, approvando la vendita di Pegasus ad Azerbaigian, Marocco, Emirati Arabi Uniti e Arabia Saudita nell’ambito della propria strategia per costruire un’alleanza contro l’Iran.⁹ Il New York Times ha anche riferito che Israele ha bloccato le vendite a Estonia e Ucraina per mantenere un buon rapporto con la Russia.

Il governo israeliano nega di aver utilizzato Pegasus come strumento diplomatico. Tuttavia, il processo di approvazione obbligatoria fa sì che sia Israele a decidere quali governi possono accedere a questo spyware, sollevando interrogativi sulla responsabilità, quando la tecnologia viene poi usata contro giornalisti, attivisti e dissidenti politici.

Pegasus minaccia la privacy e i diritti umani

Pegasus si infiltra nei dispositivi in modo silenzioso ed estrae dati estremamente sensibili, come messaggi, chiamate, posizione e foto, senza che l’utente se ne renda conto ed esprima il suo consenso. Questa capacità cancella il confine tra vita privata e sfera pubblica, mettendo direttamente a rischio la privacy, la libertà di espressione e le tutele dei diritti umani.

Violazione della libertà di parola

Le indagini forensi hanno trovato Pegasus sui dispositivi di giornalisti, difensori dei diritti umani e dissidenti politici, e non su quelli di criminali o terroristi, che NSO dichiarava di voler colpire. Ad esempio, tracce di Pegasus sono state individuate sui telefoni di persone vicine al giornalista saudita Jamal Khashoggi, morto assassinato, così come sui dispositivi di giornalisti di El País e The Washington Post.¹⁰

In Marocco, il reporter investigativo Omar Radi sarebbe stato preso di mira con Pegasus dopo aver pubblicato inchieste critiche nei confronti del suo governo.¹¹ Il caso Pegasus ha mostrato quanto facilmente la sorveglianza governativa possa essere usata per mettere a tacere voci dissenzienti, intimidire i giornalisti e ostacolare la libertà di informazione e di espressione.

Erosione delle libertà civili

La portata degli spyware non si limita ai singoli individui, ma finisce per indebolire interi sistemi democratici. In diversi Paesi, tra cui Ungheria e Spagna, Pegasus è stato utilizzato per prendere di mira direttamente politici dell’opposizione e attivisti.¹²

La possibilità di monitorare a piacimento cittadini, giornalisti e legislatori scoraggia il dissenso e mina la fiducia nelle istituzioni pubbliche. Questo scenario crea quello che gli esperti definiscono un clima di sorveglianza: una società in cui la paura di essere osservati soffoca il pensiero indipendente, il confronto e le proteste.

Come scoprire se hai lo spyware Pegasus sul telefono e come risolvere il problema

Pegasus non lascia tracce visibili: niente pop-up, nessun consumo anomalo della batteria e nessun rallentamento evidente. Più che osservare cambiamenti nel comportamento del dispositivo, per individuarlo è necessario sapere dove cercare le sue tracce digitali.

1. Cosa non fare

Evita app o servizi online di rimozione che promettono il rilevamento immediato. Gli spyware sono difficili da gestire e molti di questi servizi sono solo truffe che approfittano di una situazione già delicata.

Per lo stesso motivo, non consegnare il telefono a chi si presenta come un esperto indipendente di Pegasus, a meno che non appartenga a un’organizzazione riconosciuta e affidabile (vedi punto 4). Agire in modo affrettato può causare la perdita di dati, la distruzione di prove forensi e perfino far sapere a un eventuale aggressore che ti sei accorto dell’intrusione.

2. Usa il Mobile Verification Toolkit

Il metodo più affidabile per controllare se hai Pegasus sul telefono è utilizzare MVT (Mobile Verification Toolkit), un software forense open source sviluppato dal Security Lab di Amnesty International.¹³ MVT analizza i file di backup del telefono alla ricerca di segnali di compromissione, come domini sospetti, registri di sistema alterati o frammenti di codice riconducibili alle operazioni di Pegasus.

Sugli iPhone, MVT esamina i registri di iMessage e i dati delle notifiche push di Apple, in cui spesso è stata individuata l’attività di Pegasus.

Sui dispositivi Android, invece, MVT analizza i backup del sistema e i dati di rete, ma bisogna dire che su questo sistema operativo Pegasus è più difficile da individuare, perché può cancellare ogni traccia della propria attività. In alcuni casi verificati, laboratori forensi come Citizen Lab sono riusciti a trovare prove solo tramite analisi di rete approfondite e manuali.¹⁴

Inoltre, l’uso di MVT richiede competenze tecniche di livello medio e un computer con macOS o Linux. Anche se non rimuove effettivamente Pegasus, può confermare la presenza di segnali di compromissione sul dispositivo, che è il primo passo per risolvere il problema, nonché quello più importante.

3. Isola subito il dispositivo

Se sospetti un’infezione, disconnetti subito il telefono da Wi-Fi, dati mobili e Bluetooth: Pegasus utilizza queste connessioni per comunicare con chi lo controlla. Evita di effettuare chiamate e di accedere ai tuoi account dal dispositivo: qualunque azione da parte tua potrebbe fornire nuove informazioni all’attaccante.

4. Chiedi aiuto a un’organizzazione di sicurezza affidabile

Pegasus funziona a livello di sistema, quindi per rimuoverlo hai bisogno dell’aiuto di uno specialista. Ti consigliamo di rivolgerti a dei professionisti di sicurezza digitale, come la Digital Security Helpline di Access Now o il Security Lab di Amnesty International. Queste organizzazioni possono analizzare il dispositivo in modo sicuro, capire se è infetto e indicarti cosa devi fare dopo, per limitare i danni e conservare eventuali prove.

5. Conserva le prove e metti da parte il dispositivo

Se vengono trovate tracce di Pegasus, non formattare subito il telefono. Crea un backup completo e crittografato e conservalo in modo sicuro: questi dati possono aiutare gli esperti a confermare l’infezione. Nei casi confermati, le vittime spesso smettono del tutto di usare il dispositivo, poiché le infezioni da Pegasus possono persistere anche dopo un ripristino o la reinstallazione del sistema.

Come proteggersi dagli spyware simili a Pegasus

Probabilmente non avrai mai a che fare direttamente con Pegasus, ma il suo funzionamento ha ispirato molti attacchi di phishing, spyware commerciali e strumenti di raccolta dati che oggi vengono usati anche contro utenti comuni. Per proteggerti efficacemente, devi prendere delle buone abitudini digitali, che ti aiuteranno a difenderti sia dalla sorveglianza di livello governativo sia dalle minacce online più diffuse.

1. Mantieni i dispositivi aggiornati

Pegasus sfrutta vulnerabilità non ancora corrette per infiltrarsi nei telefoni. Installa gli aggiornamenti software e di sicurezza non appena sono disponibili: Apple, Google e gli altri sviluppatori tappano queste falle tramite correzioni urgenti.

2. Controlla le autorizzazioni delle app

Verifica regolarmente quali app possono accedere a microfono, fotocamera, contatti e posizione. Se un’app non ha bisogno di una determinata autorizzazione, revocala. Se non riconosci un’app, rimuovila. Ridurre gli accessi non necessari limita l’esposizione a potenziali exploit.

3. Fai attenzione a link e download

Anche se Pegasus può colpire i dispositivi senza alcuna azione da parte dell’utente, la maggior parte degli spyware continua a fare affidamento sul phishing. Non aprire allegati inattesi e scarica le app solo dagli store ufficiali. I cybercriminali tendono a camuffare il malware da aggiornamenti autentici o all’interno di messaggi falsi.

4. Rafforza la tua protezione online

Costruisci una difesa a più livelli: usa una VPN per crittografare la connessione, un antivirus per cercare il malware sul sistema e i servizi di monitoraggio delle fughe di dati per sapere se le tue informazioni personali rimangono esposte online. Le soluzioni di sicurezza come Surfshark One riuniscono tutti questi strumenti in un’unica piattaforma. Anche se nessuna soluzione garantisce una protezione completa contro gli spyware avanzati, una sicurezza basata su più livelli riduce in modo significativo la vulnerabilità alle minacce più comuni.

5. Proteggi le comunicazioni

Usa app con crittografia end-to-end come Signal o Wire per le comunicazioni sensibili e, se necessario, attiva i messaggi effimeri. Evita di collegare account personali e professionali su più dispositivi, perché questo può aiutare i criminali informatici a ricostruire la tua identità online.

Conclusione: è possibile proteggersi dagli spyware di livello governativo?

Pegasus ha dimostrato che qualsiasi dispositivo può essere compromesso quando diventa il bersaglio di attacchi che hanno a disposizione risorse governative. Vulnerabilità simili rendono possibili anche forme più comuni di tracciamento, phishing e sfruttamento dei dati. Per rafforzare la tua protezione, installa gli aggiornamenti non appena vengono rilasciati, fai attenzione ai link inattesi e utilizza soluzioni di sicurezza a più livelli, con crittografia VPN, scansioni antivirus e monitoraggio delle fughe di dati.

Fonti

¹https://www.nsogroup.com/
²https://forbiddenstories.org/pegasus-project/
³https://www.reuters.com/world/europe/france-investigates-pegasus-spyware-claims-2021-07-20/
⁴https://www.bbc.com/news/world-asia-india-57898194
⁵https://www.europarl.europa.eu/news/en/headlines/society/20220401STO26373/pegasus-spyware-meps-condemn-use-of-spyware-against-citizens
⁶https://www.ohchr.org/en/statements/2021/07/un-experts-call-moratorium-sale-and-transfer-surveillance-technology
⁷https://www.ft.com/content/9f74c640-46d7-4b71-982b-49ff0f7dcdd7
⁸https://citizenlab.ca/2023/05/predator-spyware-targets-egypt-greece/
⁹https://www.nytimes.com/2022/01/28/world/middleeast/israel-pegasus-nso.html
¹⁰https://www.washingtonpost.com/investigations/interactive/2021/jamal-khashoggi-wife-fiancee-cellphone-hack/
¹¹https://www.amnesty.org/en/latest/research/2020/06/moroccan-journalist-targeted-with-network-injection-attacks-using-nso-groups-tools/
¹²https://www.theguardian.com/world/2022/apr/18/catalan-independence-politicians-targeted-pegasus-spyware-report
¹³https://github.com/mvt-project/mvt
¹⁴https://citizenlab.ca/2021/07/amnesty-peer-review/

Non puoi fermare gli spyware, ma puoi controllare la tua connessione

Proteggi i tuoi dati con Surfshark VPN e naviga senza farti spiare

Prova Surfshark