L’azienda è specializzata nella fornitura di software di spionaggio a governi e agenzie di intelligenceal pari delle più conosciute Gruppo Nso e Paragon. Quest’ultima salita all’onore delle cronache per il caso legato allo spionaggio ai danni di Francesco Cancellato. Fino al 2019, però, Memento Labs aveva un nome diverso: Hacking Team.
Quando Hacking Team diventò famosa
L’azienda milanese è finita sotto i riflettori nell’estate del 2015, quando un hacker riuscì a violare i suoi sistemi e fornì a WikiLeaks 400 GB di dati, tra i quali spiccavano 1 milione di email, documenti commerciali e software di attacco.
In seguito alla pubblicazione del materiale, Hacking Team finì al centro di feroci critiche da parte di attivisti e organizzazioni internazionali. L’attività di questo genere di aziende, infatti, ha limiti ben precisi e, i particolare, è sottoposta alla condizione di vendere gli spyware solo a governi considerati “democratici”. Dai documenti pubblicati, però, emersero collegamenti con nazioni come Sudan, Bahrein e Arabia Saudita. Qualche mese prima, Hacking Team aveva subito il congelamento di tutte le esportazioni da parte del governo italiano, giustificato con il rischio di violazione dei diritti umani.
Dopo qualche anno, e più precisamente nel 2019, Hacking Team è stata acquisita da InTheCyber Group, gruppo italiano specializzato in cyber security, cambiando il suo nome in Memento Labs.
Chi c’è dietro l’attacco?
Se il marchio di fabbrica dello spyware conduce chiaramente al nostro paese, sull’attribuzione degli attacchi Kaspersky non si sbilancia più di tanto. Se si esclude l’ipotesi che qualche cyber criminale sia riuscito a mettere le mani sul software spia di Memento Labs, però, è ragionevole considerare che si tratti di un’operazione state-sponsored, legata alle attività di intelligence di un governo. Come spiegano gli esperti nel loro reportl’attacco ha sfruttato una tecnica di spear phishing, cioè l’invio di email confezionate su misura (e con estrema cura) che contengono un link che avvia l’installazione del malware.
Nel caso specifico l’attacco di ForumTroll avrebbe preso di mira la Russia e, in particolare, testate giornalistiche, università, centri di ricerca, enti governativi e istituzioni finanziarie. Il vettore di attacco era rappresentato da un’email contenente un invito a partecipare al forum dedicato a Evgeniy Maksimovich Primakov, politico russo che ha rivestito il ruolo di ministro degli esteri e, successivamente, di primo ministro alla fine degli anni ‘90.
