I ricercatori della Lookout Security and the Electronic Frontier Foundation lanciano l'allarme: Dark Caracal ha attaccato migliaia di smartphone in 21 Paesi, trasformandoli in strumenti di cyber-sorveglianza. Dietro le molteplici campagne che hanno consentito di diffondere gli spyware c'è, a detta del gruppo di ricerca, potrebbe esserci il Governo libanese, ma l'attribuzione della responsabilità è un po' più complessa, trattandosi di software che, come sarà più chiaro in seguito, possono essere ''noleggiati" anche ad altri soggetti. Una ricerca destinata a far discutere, anche perché si tratta di una delle prime operazioni su scala mondiale volte alla diffusione di malware che prendono di mira non più solo i sistemi desktop ma anche dispositivi mobili.

Secondo quando emerso dal rapporto - consultabile in forma integrale in fonte - sin dal 2012 sono state attivate oltre dieci campagne per la propagazione di tali spyware, diretti agli utenti degli smartphone Android, mentre non sono stati documentati casi di attacco di dispositivi iOS; presi inoltre di mira sistemi Windows, Mac e Linux. Lo schema di funzionamento di Dark Caracal, su smartphone, non è molto differente da quello di altri spyware: una volta preso il controllo del terminale, il software inizia ad acquisire ed a trasmettere informazioni ad insaputa della vittima.

Per dissimulare la sua presenza, lo spyware si nasconde in una fake app di messaggistica criptata. L'anello debole che ha consentito ai ricercatori di smascherare lo schema è da individuare nel C&C dello spyware - ovvero il centro di comando e controllo (leggasi i server remoti) dal quale l'attaccante gestisce a distanza il software. Il gruppo che ha gestito le campagne non ha adottato misure di sicurezza adeguata per proteggere i server C&C da intrusioni indesiderate e i ricercatori hanno potuto ricavare importanti dati analizzandoli. Michael Flossman, membro del gruppo di ricerca, afferma:

Esaminare tali server, chi li aveva registrati e quando, unitamente alla capacità di identificare i contenuti sottratti alle vittime: questo ci ha dato un'indicazione abbastanza buona del tempo in cui sono stati operativi.

Nei server era presente una gran quantità di dati relative a reti Wi-Fi, che possono essere usati per tenere traccia degli spostamenti di una persona; dati però troppo scarsi che hanno lasciato supporre si trattasse di semplici test preliminari in vista degli attacchi. Una rete in particolare, denominata Bld3F6, è stata illuminante per fornire indizi utili a ricostruire lo schema di propagazione: si trovava, infatti, in un edificio al centro di Beirut, gestito dalla GDGS, l'agenzia di pubblica sicurezza libanese. Eva Galperin, autrice del report aggiunge:

Questa è la prima rete a cui tutti gli smartphone di test si connettono. Potremmo vedere ogni tipo di informazioni in base a questo

Arrivati sin qui tirare le conclusioni potrebbe sembrare facile: l'unico responsabile sembra essere il governo libanese, ma la questione è un po' più complessa, e per certi versi ancor più inquietante. Il problema sta nella gamma degli obiettivi che appare troppo estesa per essere ricondotta ad un unico Governo. Sono state infatti individuate sei campagne spyware avviate in parallelo, anche in aree molto distanti, ad esempio in Germania, Pakistan e Venezuela, strumenti analoghi sono stati usati anche in una campagna del 2015 contro i dissidenti in Kazakistan, e tra le vittime dell'attacco figurano anche cittadini europei.

La ricercatrice crede, pertanto, ritiene di aver individuato un nuovo spyware ''a noleggio'', ma si tratta di un fenomeno per certi aspetti inedito, visto che il soggetto che ne concede l'utilizzo sarebbe un Governo e non un'azienda:

Stanno gestendo l'infrastruttura e vendendo i portali. Sino ad ora avevamo cercato principalmente aziende che vendono spyware direttamente agli Stati nazionali

Gli scenari all'orizzonte sono poco rassicuranti: si potrebbe ad esempio ipotizzare che anche Stati senza le risorse necessarie per sviluppare i propri programmi spyware li attivino ugualmente pagando solo il costo del noleggio del ''servizio''. Una versione su scala governativa del fenomeno del crimine informatico a contratto, particolarmente diffuso nel Dark Web. Prima di giungere a conclusioni definitive, tuttavia, saranno necessarie ulteriori indagini:

Questa campagna è decisamente basata sul Libano .. abbiamo molte informazioni sull'infrastruttura, ma non molte su chi la fa funzionare.

Per il momento, il Governo libanese afferma di voler preliminarmente esaminare il rapporto dei ricercatori, ma nel frattempo esclude un suo coinvolgimento, dichiarando a Reuters: Il GDGS non ha questo tipo di capacità. Ci piacerebbe averle.