Sorveglianza globale: Citizen Lab svela exploit reti, Italia coinvolta

Scopri anche

• Backdoor FIRESTARTER: CISA aggiorna la direttiva dopo violazione federale
• Malware Lotus wiper: analisi della minaccia cyber in Venezuela
• Bitwarden CLI compromesso: attacco supply chain viola npm Trusted Publishing
• BRIDGE:BREAK: 22 vulnerabilità critiche scoperte in convertitori Serial-to-IP Lantronix e Silex
• BlueHammer zero-day Windows: analisi tecnica e rischi
• Apache ActiveMQ: zero-day sfruttato attivamente, patch urgente
• iOS 26.4.2: Apple corregge falla sfruttata dall'FBI per Signal
• Tre zero-day di Microsoft Defender sfruttati attivamente: le vulnerabilità BlueHammer, RedSun e UnDefend
• Hack Kelp DAO: oltre $290M rubati, guerra con LayerZero
• Vulnerabilità zero-day in Microsoft Defender: exploit BlueHammer e RedSun sfruttati in attacchi reali
• Privacy, multa da 12,5 milioni a Poste: le app spiavano tutto
• BlueHammer e il Patch Tuesday di febbraio 2026: sei zero-day sotto attacco attivo minacciano Windows e Office
• Cyberattacco ANTS: violazione dati in Francia, 19 milioni a rischio
• Apple espande aggiornamento iOS 18.7.7 per bloccare gli exploit DarkSword
• Meta e riconoscimento facciale: 77 organizzazioni lanciano l'allarme
• CISA: sito non gestito per fondi, advisory attiva su minacce iraniane
• CVE-2026-35616: Fortinet corregge vulnerabilità zero-day critica in FortiClient EMS
• CISA: banner funding lapse visibile, pubblicato advisory su minacce Iran
• ShadowMountPlus e Poops-PS5-Java: nuovi strumenti per la scena PlayStation 5
• Anthropic Mythos e il dibattito sulla sicurezza informatica: capacità, rischi e scetticismo

Sorveglianza globale: Citizen Lab svela exploit reti, Italia coinvolta

Giovedì 23 aprile 2026, Citizen Lab dell'Università di Toronto ha pubblicato un rapporto dettagliato che identifica due campagne di sorveglianza globale capaci di localizzare bersagli sfruttando vulnerabilità strutturali nelle infrastrutture telecom. L'indagine evidenzia un problema sistemico: protocolli progettati per la connettività globale vengono utilizzati per operazioni di tracciamento covert. L'Italia figura tra i paesi le cui infrastrutture di rete sono state sfruttate come punti di transito, sollevando interrogativi sulla sicurezza delle telecomunicazioni nazionali.

Le campagne di sorveglianza identificate

I ricercatori hanno documentato due distinte campagne di sorveglianza. La prima, osservata a partire da novembre 2024, ha preso di mira un abbonato mobile "high-profile", descritto come un "VVIP" e noto esecutivo aziendale. Questa campagna sfruttava vulnerabilità nei protocolli SS7 per le reti 2G e 3G e Diameter per le reti 4G e 5G. Secondo il rapporto, gli attaccanti passavano dal protocollo SS7 al Diameter se i primi tentativi di localizzazione fallivano, dimostrando una sofisticata capacità di adattamento tecnico.

La seconda campagna, identificata all'inizio del 2025, utilizzava una tecnica definita "SIMjacker". Questo metodo impiega messaggi SMS formattati in modo speciale contenenti comandi nascosti per le schede SIM, capaci di estrarre informazioni di localizzazione dal dispositivo bersaglio. Gary Miller, ricercatore di Citizen Lab e autore del rapporto, ha spiegato: "Ho osservato migliaia di questi attacchi nel corso degli anni, quindi direi che è un exploit abbastanza comune difficile da rilevare. Tuttavia, questi attacchi sembrano essere geograficamente mirati, indicando che gli attori che impiegano attacchi di tipo SIMjacker probabilmente conoscono i paesi e le reti più vulnerabili".

Vulnerabilità SS7 e Diameter: un problema sistemico

Il cuore del problema risiede nella progettazione storica dei protocolli di segnalazione mobile. I protocolli SS7, sviluppati decenni fa, non verificano né autenticano la fonte dei messaggi di segnalazione e non utilizzano crittografia, rendendoli intrinsecamente vulnerabili agli abusi. Sebbene il protocollo Diameter, progettato per le moderne reti 4G e 5G, offra garanzie di sicurezza superiori, il rapporto sottolinea che molti operatori non implementano le protezioni necessarie, lasciando aperte falle sfruttabili.

Le prove raccolte indicano che il traffico di sorveglianza veniva instradato attraverso una complessa infrastruttura globale. Le reti di 18 o più paesi sono state sfruttate per queste campagne, tra cui Regno Unito, Israele, Cina, Thailandia, Svezia, Italia, Liechtenstein, Cambogia, Mozambico, Uganda, Ruanda, Polonia, Svizzera, Marocco, Namibia, Lesotho e l'Isola di Jersey. L'ampia distribuzione geografica delle infrastrutture utilizzate rende difficile l'attribuzione e il monitoraggio delle operazioni.

Il ruolo degli operatori e il possibile collegamento israeliano

L'indagine di Citizen Lab ha identificato tre operatori telefonici specifici che hanno fungato da "punti di ingresso e transito" per la sorveglianza: 019Mobile (Israele), Tango Networks UK (Regno Unito) e Airtel Jersey/Sure (Isola di Jersey). Le analisi del routing del traffico hanno portato i ricercatori a ipotizzare il coinvolgimento di un'azienda israeliana di geo-intelligence commerciale.

Secondo Gary Miller: "Le tecniche usate erano specificamente progettate per offuscare la fonte, ma guardando il routing di quel traffico - è un routing iniettato nell'ecosistema mobile - ho potuto vedere che il traffico avrebbe preso il percorso verso Israele". Il rapporto descrive queste reti come gateway che permettono al traffico di muoversi attraverso interconnessioni fidate, concedendo accesso a "threat actor" che si nascondono dietro l'infrastruttura operatore.

Le risposte degli operatori coinvolti hanno sollevato ulteriori dubbi. Gil Nagar, head of IT and security di 019Mobile, in una lettera a Citizen Lab ha dichiarato: "Non possiamo confermare che la presunta infrastruttura 019Mobile appartenga alla società". D'altro canto, Alistair Beak, CEO di Sure, ha sostenuto che "Sure non concede accesso alla segnalazione direttamente o consapevolmente a organizzazioni per scopi di localizzazione o tracciamento di individui". Queste smentite contrastano con i dati raccolti dai ricercatori, evidenziando una discrepanza tra le policy dichiarate e le effettive pratiche di sicurezza delle reti.

La portata del traffico non autorizzato

Le dimensioni del fenomeno sono significative. Miller ha sottolineato l'entità del problema: "Non stiamo parlando di pochi tentativi di spyware. Sono quantità massive, massive di traffico non autorizzato e più del 90 percento di essi è generato da terze parti che accedono all'ambiente di segnalazione mobile. È un problema enorme che non è stato affrontato".

Il rapporto conclude evidenziando che l'infrastruttura operatore, pensata per garantire la connettività internazionale senza soluzione di continuità, viene sistematicamente sfruttata per supportare operazioni di sorveglianza covert, difficili da monitorare, attribuire e regolamentare. Per l'Italia, la comparsa nel rapporto come paese con infrastrutture di transito suggerisce che le reti locali potrebbero essere state utilizzate per instradare richieste di localizzazione verso bersagli specifici o per mascherare l'origine degli attacchi, evidenziando la necessità di verifiche più stringenti sulle interconnessioni internazionali.

Domande frequenti

Cosa significa che l'Italia è usata come punto di transito?

Qual è la differenza tra SS7 e Diameter in termini di sicurezza?

SS7 è un protocollo più vecchio e vulnerabile perché non autentica i messaggi né usa crittografia. Diameter, usato nelle reti 4G/5G, è più sicuro sulla carta, ma la mancata implementazione delle protezioni da parte degli operatori lo rende comunque sfruttabile.

Cos'è un attacco SIMjacker?

È una tecnica che utilizza SMS speciali contenenti comandi nascosti per la scheda SIM del telefono, permettendo di estrarre dati di localizzazione e altre informazioni senza che l'utente se ne accorga.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Letture correlate

• Bitwarden CLI compromesso: attacco supply chain viola npm Trusted Publishing
• BlueHammer zero-day Windows: analisi tecnica e rischi
• iOS 26.4.2: Apple corregge falla sfruttata dall'FBI per Signal

Fonti

• https://www.cybersecurity360.it/nuove-minacce/spyware-lindustria-della-sorveglianza-fattori-di-rischio-e-strategie-di-mitigazione/
• https://www.vice.com/it/article/padegg/quanto-spende-il-governo-italiano-per-le-tecnologie-di-sorveglianza
• https://www.ictsecuritymagazine.com/articoli/sistemi-di-sorveglianza-e-sicurezza/