(Articolo in sviluppo. Aggiornato alle ore 12:15)

E’ stato un brutto risveglio, quello di Hacking Team questa mattina. Account Twitter hackerato e un file da oltre 400 Giga con email, codice e documenti riservati messi online nella notte. Alcune ore fa infatti qualcuno si è impossessato del profilo social dell’azienda italiana, che da Hacking Team è diventato Hacked Team (ovvero, da azienda che fa hacking a quella che viene hackerata). Dopodiché ha iniziato a pubblicare una serie di tweet: il primo riguarda un file molto corposo scaricabile via BitTorrent che conterrebbe molti documenti riservati della società. Gli altri sono una serie di immagini che riprendono alcune delle mail violate, a partire da quelle del Ceo David Vincenzetti. Per chi non lo sapesse, Hacking Team è un’azienda milanese specializzata nello sviluppo e gestione di software per hackerare computer e smartphone, e in questo modo intercettare le loro comunicazioni.

Nulla di illegale, anzi: la società lavora espressamente per governi, forze dell’ordine e agenzie di intelligence di tutto il mondo (Italia in primis), che utilizzano i suoi prodotti per “bucare” target difficili da raggiungere con altri mezzi (ad esempio con le normali intercettazioni telefoniche). L’azienda ha sempre spiegato che i suoi programmi sarebbero utilizzati solo in investigazioni delicate che riguardano terroristi, pedofili, crimine organizzato e altri reati odiosi. Il programma più noto di Hacking Team – RCS o Da Vinci – è quello che si chiama in gergo un trojan, cioè un software che di nascosto si installa su un pc; una volta installato però ne spia tutta l’attività – mail, chat, chiamate Skype, documenti salvati, password digitate – assumendone di fatto il controllo e trasmettendone i contenuti a chi lo sta gestendo da remoto.

Tuttavia la società milanese negli ultimi anni è entrata sempre più nel mirino di attivisti della Rete e organizzazioni che difendono i diritti digitali – come la Electronic Frontier Foundation e Privacy International – che l’accusano di vendere i suoi software-spia (spyware) anche a governi illiberali e repressivi i quali poi utilizzerebbero questi programmi per spiare su dissidenti, giornalisti e avvocati. Il Citizen Lab – laboratorio dell’università di Toronto – ha redatto numerosi rapporti che documentano violazioni dei diritti umani compiute in vari Paesi – dall’Etiopia al Marocco – attraverso l’utilizzo del programma di Hacking Team. Che fino ad oggi ha sempre respinto ogni addebito, sostenendo di seguire le leggi europee al riguardo, di non esportare in Paesi presenti nelle liste nere Ue, Nato o Usa, e di non avere responsabilità diretta delle tracce del suo software o della sua infrastruttura di comando rinvenute dai vari ricercatori su computer di giornalisti e attivisti.

Tuttavia l’attenzione mediatica ha evidentemente attirato l’interesse di hacker di un certo livello e con poca simpatia verso le attività dell’azienda milanese (per altro non è la prima del suo ramo ad essere hackerata in questo modo: ma su questo ci torniamo dopo). Dai tweet pubblicati appare evidente che chi ha bucato Hacking Team è qualcuno che non solo condivide le critiche mosse alla società – o così vuole dare a intendere - ma che conosce bene il funzionamento di quel settore industriale. La velocità con cui sono stati pubblicati alcuni documenti, subito dopo la violazione del profilo Twitter, farebbe pensare che gli hacker fossero già in possesso da tempo dei file riservati di Hacking Team e abbiano aspettato solo l’occasione (la violazione del profilo) per pubblicarli.

Alcune delle mail riportate online – anche da vari attivisti che le hanno ormai riprese dal profilo hackerato – mostrerebbero i rapporti commerciali dell’azienda con Paesi come il Sudan – eventualità che invece sarebbe stata negata nella corrispondenza di Hacking Team con l’Onu. Proprio Privacy International - in una lettera al governo italiano del 2014 in cui chiedeva conto del finanziamento di Hacking Team da parte della Regione Lombardia (tramite il fondo Finlombarda Gestioni SGR spa) - ricordava che il Sudan era “soggetto a misure restrittive sul commercio d’armi da parte dell’Ue”. A maggior ragione appare quindi interessante la dicitura usata per Sudan e Russia in una lista di HT che dettaglia i propri clienti: non supportate “ufficialmente”.

Oppure un contratto da un milione di dollari con l’Etiopia. E ancora, dai documenti usciti, i suoi clienti includerebbero Corea del Sud, Kazakistan, Arabia Saudita, Oman, Libano e Mongolia. Così come il Marocco, con cui ancora nel dicembre 2014 la società avrebbe avuto due contratti aperti con il ministero degli interni e i servizi segreti. La denuncia del Citizen Lab sull’uso di quel software contro giornalisti marocchini risale però al 2012. E poi anche molti governi occidentali: non poteva mancare ad esempio la polizia di Londra (Met).

Tra parentesi, il file torrent sembra includere login e password del sito di supporto per Egitto, Messico e Turchia, nota @ioerror.

Hacking Team never sold to Sudan? Here's the instructions for the 480,000 Euro wire transfer. cc @hackingteam pic.twitter.com/JqexHpvb3s — Eva (@evacide) July 6, 2015

Who says selling surveillance tech to govs that spy on journalists doesn't pay well? \$1 mil from Ethiopia. pic.twitter.com/I3HCxdl3Gl — Christopher Soghoian (@csoghoian) July 6, 2015

UN: We are investigating a report by @citizenlab. Have you ever sold to Sudan? HT: We do not have a current business relationship w/ Sudan. — Christopher Soghoian (@csoghoian) July 6, 2015

Quel che è peggio: su Twitter sono stati pubblicati vari screenshot che mostrano l’utilizzo, da parte di alcuni suoi dipendenti, di password estremamente facili (tipo: passw0rd), e salvate in chiaro. Il che avrebbe prodotto a quanto pare anche la violazione dell’account Twitter di un dipendente.

Shouldn't have stored your Twitter password in plaintext. cc @hackingteam https://t.co/ln7A4uRjIQ — Eva (@evacide) July 6, 2015

Dicevamo: non è la prima volta che un’azienda di questo tipo viene hackerata. La sua omologa tedesca Finfisher ha avuto un trattamento molto simile alcuni mesi fa. Ed è curioso notare come l’account Twitter che allora aveva diffuso i file di quell’azienda oggi, dopo un anno di silenzio, abbia commentato anche questo episodio. Stessa mano? Questo tweet sembra rivendicare l’azione.

gamma and HT down, a few more to go :) — Phineas Fisher (@GammaGroupPR) July 6, 2015

Siamo dunque all’inizio di uno scontro molto aspro tra soggetti diversi, non facilmente individuabili, nel campo dell’industria del malware? O forse forme più organizzate e sotterranee di attivismo hanno dato il là a una controffensiva a tutto campo? Non ci sono quasi mai certezze nel mondo dell’hacking e la dissimulazione è la prima delle strategie. Quello che è certo è che se si diventa il target di qualcuno davvero competente, organizzato e motivato, prima o poi si verrà hackerati. Perfino quando lo si fa per professione.