Sommario
Il fronte legale della cybersicurezza globale registra due sviluppi clamorosi: da un lato, l’arresto di Osei Morrell in Israele per il suo presunto ruolo centrale nel furto da 190 milioni di dollari attraverso Nomad Bridge; dall’altro, la condanna di NSO Group al pagamento di 168 milioni di dollari a WhatsApp per l’uso abusivo dello spyware Pegasus contro oltre 1.400 utenti nel mondo. Due casi emblematici della convergenza tra cybercrime, intelligence privata e privacy violata, che mettono in discussione i limiti delle tecnologie digitali nel contesto giuridico internazionale.
Furto Nomad Bridge: arrestato Osei Morrell, sospettato di riciclaggio e coordinamento dell’attacco
La polizia israeliana ha arrestato a Gerusalemme Osei Morrell, cittadino con doppia nazionalità americana e israeliana, sospettato di essere uno dei coordinatori principali dell’attacco a Nomad Bridge, avvenuto nell’agosto 2022. L’azione, che ha portato al furto di oltre 190 milioni di dollari in criptovalute (ETH, USDC, WBTC e altri token ERC-20), è stata uno degli episodi più gravi nella storia della DeFi.
Secondo TRM Labs, l’attacco ha avuto origine da una vulnerabilità nella funzione process() del contratto Replica della piattaforma, che accettava messaggi con root hash validi anche se privi di proof corretta. Questo errore ha consentito a centinaia di wallet di replicare lo stesso exploit, portando a un’azione collettiva in stile “mob”, eseguita anche da attori privi di competenze tecniche avanzate.
Morrell, pur non avendo scritto il codice dell’exploit, è accusato di aver:
- ricevuto fondi rubati poche ore dopo l’attacco;
- utilizzato Tornado Cash e Monero per offuscare le transazioni;
- coinvolto broker OTC e conti bancari offshore per la monetizzazione;
- creato strutture societarie fittizie per coprire le tracce del denaro.
In parallelo, un altro sospettato, Alexander Gurevich, è stato arrestato all’aeroporto Ben Gurion. Accusato di aver prelevato circa 2,89 milioni di dollari, avrebbe anche contattato il CTO di Nomad per chiedere una “ricompensa” di 500.000 dollari dopo aver ammesso l’intrusione.
NSO Group condannata a pagare 168 milioni di dollari per l’uso abusivo di Pegasus su WhatsApp
Una giuria federale statunitense ha inflitto a NSO Group, azienda israeliana produttrice del controverso spyware Pegasus, una condanna da 168 milioni di dollari a favore di WhatsApp. L’accusa, portata avanti da Meta, sostiene che NSO abbia violato le leggi federali e californiane sfruttando una vulnerabilità zero-day nel sistema di chiamate vocali di WhatsApp (CVE-2019-3568, CVSS 9.8), per iniettare spyware su oltre 1.400 dispositivi.
La campagna malevola, scoperta nel 2019, ha preso di mira:
- 456 cittadini messicani;
- 100 utenti in India;
- 82 in Bahrain, 69 in Marocco, 58 in Pakistan, e numerosi altri in 51 paesi.
Il malware Pegasus, una volta installato, garantiva accesso totale a microfono, fotocamera, messaggi, posizione GPS e comunicazioni cifrate dei bersagli, tra cui giornalisti, dissidenti politici, attivisti e diplomatici.
Il giudice federale Phyllis Hamilton ha sottolineato che Pegasus è stato inviato 43 volte attraverso server WhatsApp localizzati in California, quindi soggetti alla giurisdizione USA. NSO ha tentato di difendersi affermando di non avere controllo su come i clienti usano il software, ma il tribunale ha stabilito che l’azienda fornisce supporto tecnico attivo e strumenti di installazione customizzati, dimostrando corresponsabilità diretta.
Oltre alla sanzione da 167,2 milioni di dollari, la giuria ha imposto anche un risarcimento di 444.719 dollari a Meta per i costi tecnici sostenuti nel mitigare l’attacco. Meta, tramite il capo di WhatsApp Will Cathcart, ha dichiarato che intende ottenere un’ordinanza permanente per impedire a NSO di interagire con WhatsApp in futuro, e ha promesso una donazione alle organizzazioni per i diritti digitali.
Una linea di demarcazione legale tra sicurezza e sorveglianza globale
Questi due casi segnano un momento cruciale nella regolamentazione internazionale dell’uso della tecnologia per fini offensivi, sia in ambito criminale sia statale. Da un lato, le vulnerabilità nei protocolli DeFi continuano a essere sfruttate da attori eterogenei, ma grazie all’analisi avanzata delle blockchain è oggi possibile attribuire responsabilità anche a distanza di anni.
Dall’altro lato, il processo contro NSO Group mostra che anche aziende tecnologiche con legami governativi possono essere perseguite quando superano il limite della legalità. La decisione della corte statunitense rappresenta un precedente importante nella battaglia per la tutela della privacy e contro l’uso indiscriminato di strumenti di sorveglianza contro civili.
