Exodus, il software che spia i cellulari e l’ombra del dossieraggio

Arrestati amministratore e direttore tecnico della E-Surv. Le intercettazioni illegali avvenivano sfruttando un "bug" in Windows e Android. L'azienda infettava applicazioni di largo uso come Spotify o Google Chrome. E nella storia spuntano i servizi segreti

Infettavano con un virus i cellulari di persone comuni oltre a quelli degli indagati. E intercettavano così tutte le loro conversazioni che poi finivano su un cloud negli Stati Uniti. Diego Fasano, amministratore della srl E-Surv, società proprietaria della piattaforma Exodus, e Salvatore Ansani, direttore tecnico della srl, sono stati posti agli arresti domiciliari per i reati – continuati e in concorso – di accesso abusivo a sistemi informatici, intercettazioni illecite, trattamento illecito di dati e frode in pubbliche forniture.

Exodus: come finire intercettati grazie a un’App

Uno degli indagati ha ammesso davanti ai magistrati di aver creato e inserito in rete una serie di app mascherate sul Google Play Store che contenevano virus che consentivano il funzionamento al captatore informatico, “con la conseguenza che chiunque abbia scaricato (o continui oggi a scaricare) l’app” si vedeva infettato il telefono. Ma c’è di più: tutti i dati, sia quelli necessari alle indagini delle Procure, e quindi segreti, o quelli frutto di attività mai autorizzate, e quindi illecite, finivano nei cloud di Amazon.

A vuotare il sacco su Fasano e Ansani è stato un dipendente dell’azienda, il quale ha raccontato che lo stesso Ansani gli aveva confermato le intercettazioni illegali su soggetti che lui chiamava “volontari” e più volte lo ha sorpreso ad ascoltarle sia con le cuffie che con le casse del pc accese in ufficio. In più, uno dei due indagati aveva sul suo monitor le fotografie di un santone arabo che praticava uno strano rito di purificazione del proprio sangue. E diceva che il loro lavoro era combattere il terrorismo e dovevano esserne orgogliosi, oltre ad avere “garanzie funzionali” per operare in questo modo.

app ruba conversazioni cellulare

Le intercettazioni illegali avvenivano sfruttando un “bug” (una falla, ndr) individuata dal team di E-Surv nei sistemi operativi, tra cui Windows e Android. L’azienda aveva acquistato un programma che consentiva di infettare applicazioni di largo uso come Spotify o Google Chrome.

I servizi segreti e le intercettazioni della E-Surv

Ma perché la E-Surv intercettava illegalmente? L’Espresso ha scritto che anche i servizi segreti italiani hanno acquistato il software Exodus da E-Surv senza mai utilizzarlo. La procura di Napoli ha chiesto all’Aisi e ha ricevuto conferma del mancato utilizzo, ufficialmente perché difettoso. Il Corriere scrive che una delle ipotesi esplorate è che dietro questa raccolta di dati segreti ci sia un’attività di dossieraggio.

Ricatti che potrebbero aver coinvolto politici, funzionari pubblici, imprenditori, personalità delle istituzioni. Le inchieste«spiate» riguardavano infatti reati gravi — per cui è possibile attivare le intercettazioni — dunque associazioni per delinquere, corruzioni, e tutti gli altri illeciti legati alla pubblica amministrazione, oltre naturalmente al terrorismo e alla criminalità organizzata. Bastava avere le chiavi di accesso ed era possibile analizzare tutto il materiale raccolto dalle Procure.

Nell’ordinanza la procura scrive che “la prima analisi ha permesso di individuare ben 11. 432 cartelle denominate “Target’, che dovrebbero contenere i lati delle intercettazioni, ciascuna riferibile ad un apparecchio sottoposto ad intercettazione con captatore. E poi che c’è un’altra Lista Target con 898 bersagli di cui almeno 467 con dati trasmessi a Exodus: “Tra questi ultimi ne risultano ben n. 234 che non sono censiti nella tabella Target che è quella  che dovrebbe racchiudere gli identificativi oggetto di autorizzazione, e che pertanto potrebbero corrispondere ai bersagli “Demo” e “Volontari” intercettati in modo del tutto abusivo”.

Il codice IMEI

L’ordinanza racconta anche come Motherboard, il blog di Vice specializzato in tecnologia, abbia pubblicato articoli che riportavano informazioni sul sistema Exodus, episodio che fa pensare alla possibilità che la rete sia stata hackerata e infiltrata da soggetti che hanno sottratto dati e informazioni riguardanti le intercettazioni disposte dall’Autorità giudiziaria.

Sempre secondo l’ordinanza, l’intercettazione dei “volontari” avveniva tramite la disabilitazione del comando che attivava il virus soltanto per i cellulari con l’IMEI fornito dalle procure. L’IMEI è un codice composto da 15 cifre che consente di identificare in maniera univoca i telefoni cellulari.

Le forze dell’ordine hanno eseguito numerose perquisizioni e sequestrato qualche decina di dispositivi informatici nelle sedi di alcune società (Ips spa, RPC spa, Innova spa e Rifatech srl) per conto delle quali la E-surv operava in subappalto.

Leggi anche: La più grande figuraccia mai fatta da un sovranista

Le indagini e la sicurezza tradita

A far partire le indagini è stato il Nucleo Speciale tutela della privacy della Guardia di Finanza nel corso di una verifica su un server della procura di Benevento: i militari erano intervenuti per cercare di comprendere cosa ci fosse dietro un presunto malfunzionamento che causava errori di connessione: controllando gli accessi, la GdF ha scoperto che altri telefonini, oltre a quelli esplicitamente autorizzati, effettuavano il login e si connettevano al server.

L’ufficiale di polizia giudiziaria ha scoperto che il certificato SSL che grantiva la cifratura dei dati era scaduto dal 2017, e quindi chiunque avesse le credenziali di accesso poteva accedere alla piattaforma e così anche riuscire ad ascoltare le conversazioni, senza SmartCard o codici personali univoci. I militari hanno verificato la possibilità di effettuare l’accesso da remoto ai files contenuti nella piattaforma, di accedere a tutti i procedimenti penali invece che a quello unico per cui si disponeva delle credenziali, mentre i dati risultavano visibili “in chiaro” e senza alcuna crittografia, attraverso l’inserimento di User ID e Password. Ad oggi chi indaga deve ancora finire di spulciare 80 terabyte di memoria.

Leggi anche: Claudio Gatti: “Così i postnazisti si sono infiltrati nella Lega”