India, la polizia ha hackerato degli attivisti per incastrarli

Le forze di polizia di tutto il mondo ricorrono sempre più spesso a strumenti di hacking per identificare e monitorare i manifestanti, per svelare i segreti dei dissidenti politici e trasformare i computer e i telefoni degli attivisti in microspie per le intercettazioni. Ora, nuovi indizi relativi a un caso in India collegano le forze dell’ordine a una campagna di hacking che ha portato l’utilizzo di questi strumenti a un inquietante nuovo livello: piazzare dei file incriminanti falsi nei computer di alcuni obiettivi, che la stessa polizia ha poi usato come prova per arrestarli e incarcerarli.

Più di un anno fa, alcuni analisti forensi hanno rivelato che degli aggressori non identificati avevano inserito prove false nei computer di almeno due attivisti arrestati nella città indiana di Pune nel 2018; i due attualmente si trovano ancora in carcere e devono difendersi, insieme ad altre 13 persone, da accuse di terrorismo. I ricercatori della società di sicurezza SentinelOne e delle organizzazioni no-profit Citizen Lab e Amnesty International hanno poi collegato le prove falsificate a una più ampia operazione di hacking che ha preso di mira centinaia di persone nell’arco di quasi un decennio, utilizzando e-mail di phishing per infettare i computer degli obiettivi con spyware e  gli strumenti di hacking per smartphone venduti dall’azienda israeliana Nso Group. Adesso, però, i ricercatori di SentinelOne rivelano di aver scoperto dei legami tra gli aggressori e un ente governativo indiano: lo stesso corpo di polizia di Pune che aveva arrestato diversi attivisti sulla base di prove inventate.

“C’è un collegamento dimostrabile tra chi ha arrestato queste persone e chi ha piazzato le prove – spiega Juan Andres Guerrero-Saade, ricercatore di sicurezza presso SentinelOne che ad agosto, insieme al collega Tom Hegel, presenterà le scoperte alla conferenza sulla cybersicurezza Black Hat –. Questo va al di là della compromissione etica e della crudeltà. Stiamo cercando di fornire quanti più dati possibili nella speranza di aiutare i morti“.

Le prove falsificate

Le nuove scoperte di SentinelOne che collegano la polizia della città di Pune alla lunga campagna di hacking, che l’azienda ha ribattezzato “Modified elephant”, si concentrano su due obiettivi delle violazioni: Rona Wilson e Varvara Rao. Si tratta di due attivisti e difensori dei diritti umani che sono stati incarcerati nel 2018 perché membri di un gruppo chiamato Bhima Koregaon 16, dal nome del villaggio dove all’inizio dell’anno si sono verificati episodi di violenza tra indù e dalit, il gruppo un tempo conosciuto come “intoccabili” (uno dei 16 imputati, il sacerdote gesuita Stan Swamy, di 84 anni, è deceduto in carcere l’anno scorso dopo aver contratto il Covid-19).Rao, che ha 81 anni e problemi di salute, è stato rilasciato su cauzione per motivi medici, ma il provvedimento scadrà il mese prossimo. Degli altri 14 imputati, solo a uno è stata concessa la cauzione).

All’inizio dello scorso anno, Arsenal Consulting, una società che offre servizi forensi digitali e lavora per conto degli imputati, ha analizzato il contenuto del portatile di Wilson e di un altro imputato, l’avvocato per i diritti umani Surendra Gadling. Gli analisti di Arsenal hanno scoperto che le prove erano state chiaramente falsificate su entrambi i computer. Nel caso di Wilson, un malware noto come NetWire aveva aggiunto 32 file a una cartella nel disco rigido del suo computer, tra cui una lettera in cui Wilson sembrava cospirare con un gruppo maoista illegale per assassinare il primo ministro indiano Narendra Modi. In realtà, la lettera era stata creata con una versione di Microsoft Word che Wilson non aveva mai usato e che non era mai stata installata sul suo computer. Arsenal ha anche scoperto che il computer di Wilson era stato violato per installare NetWire dopo che l’attivista aveva aperto un allegato inviato dall’account e-mail di Varvara Rao, a sua volta compromesso dagli stessi aggressori. “Questo è uno dei casi più gravi di manomissione di prove che Arsenal abbia mai riscontrato“, ha scritto il presidente della società Mark Spencer nella sua relazione per il tribunale indiano.

A febbraio SentinelOne ha pubblicato un rapporto dettagliato su Modified elephant, in cui analizza il malware e l’infrastruttura dei server utilizzati nella campagna di hacking per dimostrare che i due casi di manipolazione di prove analizzati da Arsenal facevano parte di una campagna molto più ampia: gli aggressori prendevano di mira centinaia di attivisti, giornalisti, accademici e avvocati con email di phishing e malware già dal 2012. Nel suo rapporto, SentinelOne non aveva identificato gli individui o l’organizzazione dietro Modified elephant, limitandosi a indicare che “l’attività si allinea in modo chiaro con gli interessi dello Stato indiano“.

Gli indizi sul coinvolgimento della polizia

Ora i ricercatori hanno fatto dei passi avanti nell’identificazione delle affiliazioni del gruppo di aggressori. In collaborazione con un analista di sicurezza di un provider di posta elettronica – che ha parlato con Wired US chiedendo però che lui e l’azienda rimanessero anonimi – SentinelOne ha scoperto che a tre degli account di posta elettronica violati dagli aggressori nel 2018 e nel 2019 erano stati aggiunti un indirizzo e-mail e un numero di telefono di recupero. In questi account – che appartenevano a Wilson, Rao e a Hany Babu, un attivista e professore dell’Università di Delhi – sembra che l’aggiunta di un nuovo indirizzo e-mail di recupero e di un numero di telefono fosse una mossa pensata per consentire agli aggressori di riprendere facilmente il controllo degli account in caso di modifica delle password. Con grande sorpresa dei ricercatori, l’e-mail di recupero su tutti e tre gli account riportava il nome completo di un funzionario di polizia di Pune, coinvolto da vicino nel caso Bhima Koregaon 16. 

Ci sono altri indizi digitali che collegano i tre account violati  – e quindi la polizia di Pune – alla più estesa campagna di hacking Modified elephant: il provider e-mail ha scoperto che gli account violati sono stati raggiunti da indirizzi ip che SentinelOne e Amnesty International avevano precedentemente ricondotto a Modified elephant. L’analista di sicurezza del provider di posta elettronica riporta che l’account di posta elettronica di Wilson aveva ricevuto un’e-mail di phishing nell’aprile 2018, per essere poi stato apparentemente violato da aggressori che hanno utilizzato quegli ip. Allo stesso tempo, erano stati aggiunti come contatti di recupero l’e-mail e il numero di telefono collegati alla polizia municipale di Pune. L’analista riferisce che l’account e-mail di Wilson è stato poi utilizzato per inviare e-mail di phishing ad altri obiettivi nell’ambito del caso Bhima Koregaon per almeno due mesi, prima che Wilson fosse arrestato nel giugno 2018.