Come la Russia avrebbe hackerato il Partito Democratico americano

Il 14 giugno, nelle prime ore del mattino, il Washington Post aveva rivelato che "degli hacker del governo russo" erano entrati nei computer del Democratic National Committee (Comitato nazionale del partito Democratico americano, sigla: DNC). Spie straniere, aveva scritto il Post, hanno avuto accesso all'intero database del DNC contenente le ricerche effettuate per sostenere l'opposizione al presunto candidato repubblicano Donald Trump. Hillary Clinton aveva definito l'attacco "preoccupante".

Un inizio sinistro. Un paio di mesi prima, ad Aprile, i Democratici avevano notato qualcosa di strano nei loro network. Successivamente, i primi di maggio, il DNC si era rivolto a CrowdStrike, un'azienda di sicurezza specializzata in minacce relative ai network avanzati. I due gruppi di hacker erano ben noti nell'industria della sicurezza come "APT 28" e "APT 29." APT sta per Advanced Persistent Threat—gergo usato solitamente per indicare le spie.

CrowdStrike aveva collegato entrambi i gruppi all'intelligence russa. APT 29, si era intrufolato nel network di DNC almeno dall'estate precedente. APT 28, identificato con l'agenzia militare russa GRU, aveva violato i server democratici solo nell'aprile 2016. CrowdStrike non aveva trovato prove di una collaborazione tra le due né di "una reciproca conoscenza".

Si trattava di un affare molto grosso. Due team di spie al soldo di Putin stavano cercando di aiutare Trump contro la Clinton. La campaga di Trump, dopo tutto, si era dimostrata amichevole con la Russia. A quel punto, i Democratici avevano deciso di rendere la storia di domino pubblico.

Il DNC sapeva che le affermazioni avrebbero dovuto essere sostenute da prove solide. Un articolo del Post non sarebbe stato abbastanza dettagliato, così CrowdStrike aveva preparato un report da pubblicare qualche ora dopo. L'azienda di security aveva delineato cautamente i tradecraft di entrambe le intrusioni: i software russi erano piratati, potevano percepire gli antivirus installati localmente e altre forme di difesa, i tool erano abbastanza personalizzabili grazie ai file di configurazione crittati, erano persistenti e avevano usato un'elaborata infrastruttura command-and-control. Con questi dati, l'azienda poteva dire di aver scoperto due operazioni di intelligence vere e proprie.

Il giorno successivo, la storia è esplosa.

Il 15 giugno un blog Wordpress venne fuori da nulla. E, con esso, un account Twitter @GUCCIFER_2. Il primo post e il primo tweet erano titolati goffamente: "I server DNC sono stati violati da un hacker solitario". Il messaggio: l'intelligence russa non c'entra niente. Il misterioso hacker diceva di aver inviato "migliaia di file e mail" a Wikileaks, mentre derideva l'agenzia di sicurezza: "immagino che i clienti di CrowdStrike debbano ripensare le competenze dell'azienda" era scritto nel post "Fuck CrowdStrike!!!!!!!!!"

Come se non bastasse, l'account Guccifer 2.0 aveva iniziato a pubblicare i documenti rubati dal DNC sul blog Wordpress e su siti di file sharing e aveva consegnato "alcuni documenti, tra mille" a due testate USA, The Smoking Gun and Gawker. I media mainstream avevano subito riportato la storia e coperto la presunta campagna della Clinton contro Trump con centinaia di news che rivelavano gli argomenti che sarebbero stati usati: quel "Trump has no core"; quel suo essere un "bad businessman"; e che dovrebbe essere definito "il capo dei misogeni".

L'account Guccifer 2.0 aveva anche dichiarato di aver fornito un numero indefinito di documenti contenenti "programmi elettorali, strategie, piani contro i repubblicani, report finanziari ecc" a Wikileaks. Due giorni dopo, Wikileaks aveva infatti pubblicato 88 gigabyte come "prova". Questi file, che Julian Assange aveva reso accessibili twittando semplicemente una chiave, erano sospettati di contenere la cache di DNC. Il 13 luglio, un mese dopo l'hack, gli intrusi avevano dato una selezione di file in esclusiva a The Hill, una testata di news di Washington, e solo in seguito li avevano resi pubblici.

Nove giorni dopo, il 22 luglio, poco dopo la nomina ufficiale di Trump e prima che avesse luogo la Democratic National Convention, Wikileaks aveva pubblicato più di 19.000 email del DNC con più di 8.000 allegati—"ho mandato loro delle email, ho postato alcuni file sul mio blog," ha risposto in relazione alla sua condivisione di file con Assange. Due giorni dopo, il 24 luglio, Debbie Wasserman Schultz, a capo del Democratic National Committee, ha annunciato le sue dimissioni—l'hack aveva contribuito a mandare via il capo di un partito americano e minacciava di distruggere la convention di nomina di Hillary Clinton.

La tattica, e il suo evidente successo, è un elemento in sé rivoluzionario: estrarre documenti da organizzazioni politiche è una forma legittima di spionaggio. Anche gli USA e l'Europa lo fanno. Ma infiltrarsi nei server e poi pubblicare dei documenti possibilmente manipolati travestendoli da atti di libertà significa passare il segno e determinare un precedente pericoloso: un paese autoritario che cerca di sabotare le elezioni americane.

Quindi quanto sono affidabili le prove? E cosa significano?

La prova forense che lega la breccia del DNC a delle operazioni russe conosciute è piuttosto forte. Il 20 giugno, due aziende di cybersecurity in competizione, Mandiant (parte di FireEye) e Fidelis, hanno confermato le prime scoperte di CrowdStrike che riguardavano le prove che legano l'intelligence russa all'hack della campagna Clinton. La prova forense che collega la rete ai gruppi conosciuti è solida: strumenti già utilizzati, metodi, infrastruttura e addirittura una chiave crittografica unica. Per esempio: a fine marzo gli aggressori hanno registrato un dominio con un typo—misdepatrment[.]com—per assomigliare il più possibile all'azienda pagata dal DNC per gestire il suo network, MIS Department. Dopodiché hanno collegato questo dominio all'indirizzo IP command-and-control 45.32.129[.]185, un noto APT 28, conosciuto come X-Tunnel.

Una delle prove più forti che collega il GRU all'hack del DNC è l'equivalente di due impronte digitali identiche rivenute in due diverse strutture svaligiate: un indirizzo di command-and-control riutilizzato—176.31.112[.]10—e innestato nel codice di un piccolo malware trovato sia nel parlamento tedesco che sui server del DNC. L'intelligence militare russa è stata identificata dall'agenzia di security interna tedesca BfV come principale attore responsabile della breccia del Bundestag. L'infrastruttura dietro il falso dominio di MIS Department era collegato all'intrusione di Berlino attraverso almeno un altro elemento, un certificato SSL condiviso.

Le prove che collegano l'account di Guccifer 2.0 agli stessi operatori russi, però, non sono così solide, anche se un'operazione diversiva—una false flag GRU, per usare il gergo tecnico—è ancora altamente probabile. Gli operatori di intelligence e i professionisti della cybersecurity sanno da molto tempo che questo tipo di false flag sono sempre più comuni. Un esempio degno di nota riguarda il sabotaggio della stazione francese TV5 Monde tra il 9 e il 10 aprile 2015, inizialmente reclamato dal misterioso "CyberCaliphate", un gruppo apparentemente collegato all'ISIS. Poi, a giugno, le autorità francesi sospettavano che lo stesso gruppo APT 28 fosse l'aggressore di TV5 Monde, che prepararava l'attacco dal gennaio di quell'anno. Ma il caso del DNC è il case study più dettagliato e signficativo per ora. I dettagli tecnici sono interessanti, proprio come il suo contesto strategico.

I metadati presenti nei documenti fuoriusciti sono probabilmente il fattore più interessante: un documento è stato modificato usando i setting di linguaggio russi, da un utente chiamato "Феликс Эдмундович," un nome in codice che fa riferimento al fondatore della Polizia Segreta Sovietica, la Cheka, ricordata con una statua di ferro da 15 tonnellate di fronte al vecchio quarter generale del KGB durante l'era sovietica. Ma gli intrusori hanno fatto altri errori: un altro documento contiene dei messaggi di errore in ipertesto in cirillico, il risultato dell'editing dei file su dei computer con i setting di linguaggio russi. Dopo che questi errori sono stati resi pubblici, gli intrusi hanno rimosso le informazioni in cirillico dai metadati nel dump successivo e hanno accuratamente usato dei nomi utente da altre regioni del mondo, confermando così il loro primo errore.

Dopodiché c'è il rpoblem del linguaggio. "Odio essere attribuito alla Russia," ha detto l'account di Guccifer 2.0 a Motherboard. La persona dietro alla tastiera ha dopodiché affermato in un chat con il reporter di Motherboard Lorenzo Franceschi-Bicchierai che Guccifer 2.0 era rumeno, come l'originale Guccifer, un noto hacker. Ma quando gli è stato chiesto di spiegare il suo hack in rumeno, non è stato capace di rispondere in maniera informale e priva di errori. Inizialmente anche l'inglese di Guccifer 2.0 era debole, ma nei post successivi la proprietà di linguaggio è decisamente aumentata, anche se solamente quando parlava di questioni politiche, non sulle questioni tecniche—un'indicazione che un team di operatori stesse lavorando dietro le quinte.

Ci sono altri fattori sospetti. Il primo è il tempismo, come ThreatConnect—un'altra agenzia di sicurezza—ha indicato in una interessante analisi: i vari timestamp indicano che l'operazione di leaking marchiata Guccifer sia stata avviata durante le prime pubblicità del DNC, e che la sua preparazione sia cominciata circa 24 ore dopo il report di CrowdStrike. Sia APT 28 che Guccifer stavano usando delle infrastrutture francesi per la comunicazione. ThreatConnect ha poi indicato che le dichiarazioni tecniche del cosiddetto hacker sull'utilizzo di exploit 0-day oltre che la apparente timeline della breccia del DNC erano probabilmente false. Un'altra strana scoperta: la startup di intelligence inglese Ripjar mi ha detto che potrebbero essere stati creati degli account social con il preciso scopo di estendere la portata delle azioni di Guccifer.

Forse la parte più curiosa: l'account di Guccifer 2.0, dall'inizio, non reclamava semplicemente l'hack del network DNC—ma affermava che due attori russi non stavano lavorando nel network nello stesso momento. Ciononostante, l'account di Guccifer 2.0 ha affermato privatamente, e senza alcuna prova a supporta, che la breccia era stata causata da un "hacker solitario"—un tipo di frase che sembra costruita per eludere le attenzioni sulla Russia. Anche la disponibilità verso i giornalisti di Guccifer 2.0 è stata sorprendente, una novità nell'ambito.

L'atteggiamento combattivo e incline agli errore dell'account di Guccifer è in linea con cultura organizzativa aggressiva e prona ai rischi di GRU, e con il modo di pensare da "tempi di guerra" della comunità di intelligence russa. Le agenzie russe credono di essere strumenti di azione diretta, che lavorano in supporto a una Russia fragile e sotto assedio dall'Occidente, in particolare dagli Stati Uniti.

L'operazione generale, con i suoi tratti manipolatori, rientra perfettamente nel quadro della dottrina militare russa, nota come New Generation Warfare, o "Dottrina Gerasimov," da Valery Gerasimov, attuale capo di stato maggiore delle forze armate. Questa nuova mentalità amplia drasticamente il significato di obiettivo militare, oltre a cosa sia lecito definire tattica militare. Inganni e disinformazione son parte integrante di questo nuovo approccio, e così anche "camuffamento e occultamento," come ha spiegato l'analista israeliano Dima Adamsky in un importante studio sull'arte strategica in continua evoluzione della Russia, pubblicato a novembre dell'anno scorso.

La "informational struggle" osserva Adamsky, è al centro del New Generation Warfare. Per informational struggle [letteralmente: lotta di informazione] si intende l'insieme delle "componenti tecnologiche e psicologiche progettate per manipolare la visione della realtà dell'avversario, disinformarla, e infine interferire con i processi decisionali di individui, organizzazioni, governi e società."

L'operazione di Guccifer 2 sembra essere progettata ed eseguita come parte di una "informational struggle" più ampia. Le implicazioni sono a dir poco significative.

Per prima cosa, l'operazione non è finita. Le spie russe hanno messo le mani su un gran numero di file provenienti dal dentro e dietro la Democratic National Committee. APT 29—il gruppo controllato da FSB sospettato—ha protratto l'accesso ai messaggi email, chat, allegati e altro della DNC, Gruppi russi hanno preso di mira la campagna della Clinton almeno da ottobre 2015. Guccifer 2.0 ha addirittura dichiarato, in una mail inviata a Smoking Gun, di avere "alcuni documenti segreti prelevati dal PC di Hillary su cui lei ha lavorato mentre era Segretario di Stato." Non è del tutto chiaro se questa affermazione sia accurata o meno, e per giunta non è chiaro neanche se tutti i documenti trafugati provengano effettivamente dal breach della DNC. Circa tre settimane dopo, il 5 luglio, James Comey dell'FBI ha stimato che fosse "possibile che agenti ostili avessero avuto accesso all'account email personale del Segretario Clinton." È facile che gli intrusi della DNC dispongano già o riconquistino parte di quell'accesso. Inoltre, l'account di Guccifer 2.0 si è trasformato in una sede si smercio dei documenti trafugati. C'è da aspettarsi un incremento dell'attività, se non una vera propria escalation.

Seconda cosa, i documenti rubati durante un'operazione del genere non sono del tutto affidabili. Queste operazioni sono fatte apposta per ingannare. I metadati mostrano che gli operatori russi avrebbero editato alcuni documenti, e in certi casi creato nuovi documenti dopo che gli intrusi si erano già espunti dalla rete della DNC, l'11 giugno. Un file intitolato donors.xls, per esempio, è stato creato oltre un giorno dopo l'uscita della storia, il 15 giugno, probabilmente copiando una lista esistente in un documento pulito.

Benché per il momento il contenuto effettivo dei documenti trafugati sembri non includere fatti particolarmente interessanti, la manipolazione operata coinciderebbe con lo schema fisso seguito in altri contesti, come le farm di troll o le storie false messe in piedi per i media. Subdola o meno, la manipolazione di un contenuto potrebbe rientrare negli interessi dell'avversario in futuro. I documenti che sono stati trafugati da o attraverso un'operazione di Intelligence, dovrebbero essere gestiti con estrema cautela, e i giornalisti non dovrebbero dare per scontato che siano una fonte affidabile.

Terzo, difficilmente l'operazione della DNC resterà un caso isolato. L'influenza politica, così come l'inganno, hanno funzionato, almeno in parte. La capacità della DNC di utilizzare le proprie ricerche di opposizione contro Trump è stata ridotta, e alcuni media outlet hanno preso in giro la Clinton—non male come risultato, per un'operazione a rischio e costi bassi per i perpetratori.

Un altra morale da imparare: il trucco non deve essere eseguito alla perfezione; è sufficiente che si diffonda abbastanza. Gli standard giornalistici d'alto livello, paradossalmente, lavorano a favore del GRU, perché le storie sono accompagnate dalle smentite ufficiali del Cremlino, che gettano un'ombra di dubbio sul tutto, e dagli esperti che si perdono in seconde ipotesi anche su prove forensi solide. Se altre agenzie di Intelligence concordano nel dire che l'operazione è stata un successo, per quanto moderato, allora è facile che in futuro si ripetano azione del genere, specialmente in Europa.

Le democrazie, alla fin fine, soffrono di un doppio svantaggio. Le campagne elettorali e le loro organizzazioni ad-hoc offrono un obiettivo succulento: reti improvvisate e poco sicure, contenuti altamente infiammabili, con aggiunta una certa riluttanza da parte delle forze dell'ordine e delle aziende di settore privato a mettersi in mezzo a qualcosa che potrebbe diventare molto in fretta un disastro politico.

La vecchia guardia, ad ogni modo, troverà queste operazioni online rischiose in modo del tutto nuovo. La sicurezza operativa era diversa nello spionaggio tradizionale e nelle operazioni di sabotaggio offline. Il gruppo di Guccifer 2 ha probabilmente sottovalutato l'occhio forense attento della folla, scatenato dal loro trolling politico di alto livello—le cui analisi si sono consumate in buona parte su Twitter, quasi in tempo reale, per esempio ad opera di un analista esperto che postava come Pwn All The Things.

Non reagire in modo politico all'hack della DNC significa creare un precedente pericoloso. Un'agenzia straniera, sfruttando Wikileaks e un mercato mediatico assassino, sembra star pianificando con cura e tempismo una campagna politica con una posta in gioco alta negli Stati Uniti, che potrebbe raggiungere intensità preoccupanti la prossima settimana, il prossimo autunno o chissà quando. Ironia vuole che Trump abbia ragione: il sistema è davvero truccato.

L'immobilismo americano ora rischia di stabilire una norma de facto per cui nelle campagne elettorali future, ovunque, saranno ammessi i sabotaggi—sabotaggi che potrebbero potenzialmente influenzare il risultato e macchiare la legittimità del vincitore. L'immobilismo rischia anche di nullificare gli effetti deterrenti creati dalla reazione della Casa Bianca al ruolo della Corea del Nord nel famoso hack della Sony, così come i rinvii a giudizio del Dipartimento di Giustizia nei confronti di agenti cinesi e iraniani. Sorprendentemente, per ora le uniche nazioni che hanno avuto il coraggio di denunciare le operazioni Russe per la loro aggressività sono state la Germania, la Svizzera e la Francia, seppur in modo più limitato.

È giunto il momento, per gli Stati Uniti (e il Regno Unito), di far sentire la propria presenza: pubblicando più prove, rendendo chiare le conseguenze politiche per i responsabili, trattando Wikileaks com un bersaglio di legittima contro-intelligence, e fornendo sicurezza non solo fisica ma anche digitale ai candidati e alle campagne elettorali in futuro.

Thomas Rid lavora al King's College di Londra. È autore di Rise of the Machines (W.W. Norton/Scribe, 2016). Potete seguirlo su Twitter: @RidT.