Una spia in tasca: giornalista bielorusso preso di mira dal malware segreto “ResidentBat” dopo la detenzione del KGB

In una fredda mattina a Minsk, un giornalista bielorusso usciva da una stanza di interrogatorio del KGB - telefono in mano, libertà intatta, ma privacy compromessa per sempre. Pochi giorni dopo, gli avvisi dell’antivirus hanno rivelato la verità agghiacciante: nascosto in profondità nel dispositivo si annidava “ResidentBat”, uno spyware fino ad allora sconosciuto, progettato per trasformare gli smartphone in centri di sorveglianza. L’agguato digitale è stato scoperto solo grazie a un’app antivirus attenta e alla risposta rapida di una rete di watchdog informatici.

La scoperta, annunciata da Reporter Senza Frontiere (RSF), getta una luce cruda sull’arsenale in evoluzione della repressione digitale impiegato dai regimi autoritari. Secondo il team forense di RSF, ResidentBat è in grado di raccogliere registri delle chiamate, SMS, messaggi di app criptate, registrazioni del microfono, screenshot e file archiviati localmente - garantendo di fatto agli operatori un accesso totale al mondo professionale e privato di un giornalista.

La tempistica dell’infezione è tanto allarmante quanto le capacità dello spyware. Durante un interrogatorio da parte del KGB bielorusso, il telefono del giornalista è stato sequestrato e sbloccato sotto costrizione. Nel giro di pochi giorni, l’attività sospetta è stata segnalata dal software antivirus. Il giornalista, seguendo l’istinto, ha contattato RESIDENT.NGO, una ONG dell’Europa orientale specializzata in sicurezza digitale per attivisti e giornalisti. La loro collaborazione con RSF ha portato all’identificazione di ResidentBat - uno strumento fino ad allora mai rilevato in natura, ora collegato a una più ampia campagna di sorveglianza digitale mirata.

Gli esperti avvertono che ResidentBat non è un caso isolato. “C’è una lista crescente di casi in cui i regimi autoritari usano la detenzione per impiantare spyware sui telefoni,” osserva John Scott-Railton, ricercatore forense digitale presso Citizen Lab. La tattica, sempre più diffusa in paesi come Serbia, Kenya e Russia, aggira la necessità di sofisticati exploit zero-day: l’accesso fisico e la coercizione bastano a compromettere un dispositivo - e il suo proprietario.

RSF ha informato Google, spingendo il colosso tecnologico a preparare notifiche di minaccia per tutti gli utenti identificati come bersagli di ResidentBat. Eppure l’episodio mette in luce una realtà cruda: in Bielorussia, dove il giornalismo indipendente è già pericoloso, la sorveglianza digitale sponsorizzata dallo Stato è ora parte di una strategia deliberata per soffocare il dissenso. “L’invasione sistematica della vita privata e professionale equivale a un attacco diretto e illegale alla libertà di stampa,” ha dichiarato Antoine Bernard di RSF.

Mentre l’esposizione di ResidentBat fa tremare le comunità globali della cybersicurezza e della libertà di stampa, è un monito che la battaglia per la verità si combatte sempre più nei corridoi invisibili dei nostri dispositivi. Per ogni giornalista preso di mira, un avvertimento: nell’era della repressione digitale, la prima linea è vicina quanto la tua stessa tasca.

WIKICROOK

• Spyware: Lo spyware è un software che monitora segretamente o ruba informazioni dal tuo dispositivo senza consenso, mettendo a rischio la tua privacy e i tuoi dati.
• Analisi forense: L’analisi forense è un’indagine approfondita per scoprire come è avvenuto un attacco informatico, quali sistemi sono stati colpiti e raccogliere prove per la risposta e la prevenzione.
• Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software e senza soluzione disponibile, quindi molto preziosa e pericolosa per gli attaccanti.
• Libertà di stampa: La libertà di stampa è il diritto di giornalisti e media di riportare notizie senza censura o timore, essenziale per la democrazia e la cybersicurezza.
• Notifica di minaccia: Una notifica di minaccia è un avviso da parte di un’azienda che informa gli utenti che il loro dispositivo o account è stato preso di mira da un attacco informatico sofisticato.