Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.44 - 15 settembre 2019

Questo è un numero speciale della newsletter. Oggi invece della lista di notizie commentate c’è un lungo approfondimento, preparato per corprire le settimane (come questa) in cui per varie ragioni non riesco a seguire l’attualità. La lista di notizie tornerà comunque la prossima settimana. Buona domenica!

Hacker, leaks e intelligence: misteri e ambiguità di una guerra ibrida

Dal leak degli strumenti della intelligence americana a quello sui contractor dei servizi segreti russi fino all’esposizione di singoli hacker cinesi: come attacchi informatici, pubblicazioni di dati e misteriose entità online stanno allargando il campo della guerriglia informativa fra Stati.

Usa - Il mistero del leak e del leaker della Nsa

La casa di Harold T. Martin III, e di sua moglie, è una modesta abitazione famigliare indipendente, a un piano, in legno azzurro e mattoni color cotto, la bandiera a stelle e strisce bene esposta, in un quartiere residenziale del Maryland, a Glen Burnie. Un paesaggio molto americano, casette isolate e vialetti, con le auto posteggiate fuori, ma anche qualche motoscafo. Perché qua siamo a un passo dai fiumi, dalle baie e dai chioschi di granchi che innervano l'area attorno a Baltimora. E siamo anche in una zona ad alta concentrazione di intelligence. Washington è a un'ora di macchina. Fort Meade, la sede della Nsa, a soli 20 minuti da Glen Burnie. Ma a pochissima distanza, oltre il fiume, a Poineer Point (Centreville), stava anche la tenuta per le vacanze (la "dacia", la chiamava qualcuno) dell'ambasciata russa chiusa da Obama nel dicembre 2016, in risposta agli attacchi informatici e ai leak dell'estate prima contro i Democratici, e attribuiti ai servizi di Mosca.

Il più grande leak dell’intelligence Usa
Il 27 agosto 2016 nella casetta di Martin III fa irruzione uno SWAT team, un reparto di teste di cuoio della polizia, nove agenti, armati di tutto punto. L'uomo viene buttato a terra e ammanettato, per poi essere interrogato per ore dall'Fbi. Nel mentre, i federali mettono a soqquadro l'abitazione salvo rimanere scioccati per quello che trovano. Scatoloni pieni di documenti di carta, dozzine di computer, chiavette e memorie esterne zeppe di materiale governativo. Di documenti confidenziali e top secret. 50 terabyte di dati, equivalenti secondo alcune stime (riportate dal WashPost, e da prendere con le molle) a 500 milioni di pagine di documenti appartenuti alla Agenzia di sicurezza nazionale, la Nsa, specializzata nella intercettazione di comunicazioni elettroniche. Raccolti nell'arco di 20 anni. Includono il 75 per cento degli strumenti di hacking dell'organismo di intelligence, secondo funzionari americani citati dal Washington Post. Si tratta del più esteso furto di materiali di questo tipo della storia americana, notano vari osservatori.

Ma chi è Martin III? Al momento dell'irruzione dell'Fbi in casa sua (noto che stranamente oggi la sua casa è oscurata su Google Maps, alla stregua di una base militare), l'uomo ha 51 anni, è un veterano della Marina, e sta facendo un dottorato in informatica all'università del Maryland. In realtà, da anni lavora per diversi contractor del governo che forniscono supporto ad attività di sicurezza nazionale. Nel 2009 entra in Booz Allen Hamilton, il contractor per cui lavorava anche Edward Snowden, il whistleblower del Datagate. Viene assegnato all'ufficio del direttore della intelligence nazionale. Per un periodo lavora proprio nel settore della sicurezza offensiva (eufemismo per indicare chi attacca sistemi) e della cyberwarfare, inclusa l'unità di hacking d'elite all’epoca nota come TAO, Tailored Access Operations della Nsa.

I documenti che gli agenti trovano sparsi per la casa, nei dispositivi, perfino dentro la sua macchina (qui la denuncia del’Fbi, e qui altre carte, e altre ancora) e che includono comunicazioni top secret, dettagli personali su dipendenti del governo e strumenti di hacking - ma anche note a penna vergate da lui che descrivono l'infrastruttura informatica della Nsa o segrete operazioni tecniche, e che paiono scritte per essere spiegate a qualcuno - si estendono dal 1996 al 2016.

Il mistero di Martin e gli Shadow Brokers
La sua difesa punterà tutto su una serie di suoi disturbi comportamentali, definendolo un accumulatore compulsivo, anche se l'accusa ribatterà che l'unica cosa ad essere accumulata sono stati i documenti governativi. Ma per i legali dell'uomo portarsi a casa i documenti era solo un'abitudine compulsiva motivata dal suo irrefrenabile desiderio di tenere sotto controllo quelle informazioni e fare sempre meglio, anche per superare le sue frustrazioni sul lavoro e la paura di non essere abbastanza considerato.

Intanto escono su di lui altri dettagli: abuso di alcol, ma anche il possesso di un piccolo arsenale di armi non registrate. "Non è il comportamento di una spia", insiste la difesa, e non senza tutti i torti. Quale spia professionale lascerebbe documenti top secret nella sua macchina o ammassati a prendere polvere sugli scaffali di casa nel mezzo del Maryland?

Eppure, il raid di Martin III nasce proprio dal sospetto che l'uomo potesse essere collegato al più dannoso leak della storia dell'intelligence americana, quello degli Shadow Brokers. Il raid avviene il 27 agosto. Ma il 13 agosto, pochi giorni prima, online era comparso il post di una misteriosa entità che diceva di avere in mano gli strumenti di hacking della Nsa. Di aver violato gli hacker più bravi per definizione, quelli dell'intelligence americana. Di avere le loro "cyberarmi" e di volerle vendere online. Il tutto immerso in una fitta nebbia di trolling e confusi riferimenti politici. Anche se poi gli strumenti usciranno davvero, verranno diffusi nel corso di mesi, riutilizzati da altri e faranno molti danni (con le infezioni globali causate da Wannacry e NotPetya, malware che incorporano alcuni di quegli strumenti).

Bene, proprio il 13 agosto Martin III, solo mezz'ora prima dall'uscita di quel post, usa un profilo Twitter anonimo dal nome HAL999999999 per inviare cinque misteriosi e confusi messaggi privati a due ricercatori della società russa di antivirus Kaspersky, come riferito tempo fa in esclusiva da Politico. Nel primo chiede di essere messo in contatto con Yevgeny, probabilmente riferendosi al fondatore e CEO Eugene Kaspersky. Nel secondo si limita a dire: "validità, tre settimane". A fronte delle domande del ricercatore, l'account smette di rispondere, anzi blocca l'interlocutore. Ma due giorni dopo HAL99999999 manda altri messaggi a un altro ricercatore Kaspersky. "Ancora a considerarlo..." scrive. "Che cosa?" risponde l'altro. "Comprendere quello per cui stiamo combattendo... e che va oltre te o me. Lo stesso dilemma degli ultimi dieci minuti dell'ultimo Bourne", dice riferendosi alla nota serie di film di spionaggio. E poi ancora: "Veramente, questo è probabilmente più accurato", scrive linkando un video col finale del film Inception.

I ricercatori Kaspersky a quel punto interrompono la comunicazione e si mettono a fare ricerche sul profilo in questione, collegandolo facilmente all'identità di Martin III. Non è stato difficile: l'uomo aveva usato lo stesso nome utente di Twitter su un sito per cercare partner sessuali. E in questo aveva messo una sua vera foto, e la zona dove viveva. Da lì i ricercatori sono arrivati al suo profilo Linkedin. A quel punto Kaspersky ha contattato un dipendente della Nsa segnalandogli il profilo dell'uomo. Anche perché nel mentre di tutto questo era ormai esploso il bubbone Shadow Brokers, e quei messaggi balbettanti erano a dir poco sospetti.

In pratica l'irruzione dell'Fbi del 27 agosto a casa di Martin III per indagare su collegamenti con un leak di strumenti informatici della Nsa attribuito ai servizi russi (da subito gli Shadow Brokers sono stati sospettati in alcuni ambienti di essere tali, pur senza prove) è stata resa possibile dalla segnalazione di una società di cybersicurezza russa sospettata dal governo americano di essere troppo vicina all'intelligence di Mosca. Quando si dice l'ironia. Ciò però non è servito né a evitare a Kaspersky di essere messa al bando dalle reti governative americane; né ad andare fino in fondo alla storia di Martin III, che ad oggi resta un enigma. Quali erano i suoi intenti nell'accumulare documenti? Che cosa voleva dire o chiedere ai ricercatori di Kaspersky? C'entra o no con il leak degli Shadow Brokers? Ad oggi ancora non lo sappiamo.

La sentenza e gli interrogativi
Infatti, lo scorso luglio, Harold T. Martin III è stato infine condannato a 9 anni di carcere, di cui tre già scontati dal 2016, per illecita detenzione di materiali segreti governativi. Ma non è mai stato accusato di spionaggio. Né di aver passato questi documenti a qualcuno. La sua difesa ha tenuto un basso profilo coi media, e in aula ha insistito solo sull'aspetto psicologico. Il collegamento con gli Shadow Brokers non è stato fatto, ma non si capisce se perché davvero non esiste o se per mancanza di prove o di volontà. Anche se l'uomo aveva accesso, a detta degli investigatori, alle stesse informazioni apparse online. Anche se ha mandato quegli strani messaggi in contemporanea all'uscita dei documenti. È possibile, visti anche i problemi e le debolezze di Martin III, che i documenti che lui si era preso siano finiti in mano a qualcuno quasi a sua insaputa? Che qualcuno lo abbia manipolato? Che sia stato hackerato? Da notare che, secondo la ricercatrice e giornalista Emptywheel, i messaggi inviati dall’account Twitter di Harold Martin III a Kaspersky ricordano il linguaggio degli Shadow Brokers; di qui addirittura la sua ipotesi che l’account Twitter fosse in quel momento in mano a quel gruppo. Un altro ricercatore ha rilevato che Martin III avrebbe usato la stessa password per diversi suoi account social, mostrando una opsec, una operational security – cioè, in questo caso, una attenzione alla difesa della propria identità digitale - di basso livello, e rafforzando l’ipotesi che potesse costituire una facile preda. O invece è davvero tutta una gigantesca coincidenza? Di certo, ancora oggi non sappiamo chi siano gli Shadow Brokers; quale fosse il loro vero intento; e come abbiano ottenuto gli strumenti della NSA.

“Credo che non sappiamo nulla di più sugli Shadow Brokers perché nessuno ne sa”, commenta a Guerre di Rete Jake Williams, oggi fondatore della azienda di cybersicurezza Rendition InfoSec, ma un tempo parte della TAO, la già citata unità offensiva della Nsa. E che dagli Shadow Brokers è stato pure preso di mira, come vedremo. “Credo che se il governo degli Stati Uniti avesse qualsiasi livello di certezza in merito a chi siano gli Shadow Brokers, starebbero a urlarlo ai quattro venti. Gli Shadow Brokers sono stati un duro colpo per il governo americano. Più nello specifico, ho sentito alcune voci secondo le quali il controspionaggio Nsa e quello dell’Fbi sarebbero in competizione l’uno con l’altro. E non riesco davvero a immaginare che non abbiano alcuna prova su almeno come siano fuoriusciti i dati. Ho anche sentito che internamente non verrebbe messo in discussione il fatto che questi rilasci siano il frutto di una operazione dell’intelligence russa, e tuttavia ancora rimangono molte domande su ‘come abbiano fatto a ottenere i dati’”.

Russia - I documenti dell'Fsb

Nell'estate 2019 però anche i servizi russi hanno subito un leak che a molti ha ricordato quello degli Shadow Brokers. Un gruppo di nome 0v1ru$ ha infatti violato SyTech, un contractor dell'Fsb, i servizi segreti russi in parte eredi del Kgb, in parte dediti ad attività di intelligence elettronica. Gli attaccanti sarebbero entrati dal server di active directory (che gestisce permessi e accessi per utenti e computer - Zdnet) da cui poi avrebbero messo mano all'intero network dell'azienda, scaricando 7,5 Terabyte di dati (e defacciando il sito web del contractor con una emoji irridente, la faccia di Yoba, molto popolare in Russia). 0v1ru$ avrebbe quindi passato il bottino così ottenuto a un altro gruppo di hacker/hacktivisti più noti, almeno in Russia, @d1g1r3v, i quali lo hanno poi girato a vari media, ma lo hanno anche messo a disposizione online, scaricabile dal sito di storage Mega.

Cosa c’è nei documenti diffusi?
Ci sono tracce e indicazioni di alcuni lavori per l’Fsb - e in particolare per l’unità militare 71330, parte del 16esimo direttorato dell’agenzia di intelligence, come riferito per prima da BBC Russia che aveva ottenuto subito alcune informazioni. La testata lo ha definito il più grande leak sul’intelligence russa, anche se ha sottolineato nello stesso tempo che non sono stati esposti veri segreti di Stato. In effetti, si tratta perlopiù di materiale operativo e accessorio a diversi progetti, non esattamente stupefacenti. In particolare risaltano alcuni strumenti e ricerche per raccogliere informazioni sugli utenti dai social network (Nautilus); per raccogliere dati su aziende russe (Mentor); per separare ulteriormente la rete russa (la cosiddetta Runet) da quella globale (Hope e Tax-3); e, dulcis in fundo, per provare a deanonimizzare gli utenti della rete Tor, il più noto software per proteggere la propria identità online (Nautilus-S).

Il progetto di deanonimizzazione di Tor
Per quello che Guerre di Rete ha potuto autonomamente ricostruire, vari documenti si occupano di come muovere attacchi a diversi canali di comunicazioni, dalla rete mobile GSM a reti per anonimizzare il traffico internet. In particolare Nautilus-S sembra essere un progetto che esplora la possibilità di controllare un certo numero di nodi di uscita della rete Tor (che, semplificando per chi non ha idea di come funziona, anonimizza il traffico facendolo passare cifrato per dei suoi nodi per poi farlo riuscire verso la destinazione finale; quindi ha dei nodi di entrata, intermedi, e di uscita, che sono i più delicati). Ciò permetterebbe di intercettare il traffico in una fase in cui potrebbe essere non cifrato (in uscita dal nodo), ma anche di sviluppare metodi per accumulare e classificare informazioni dal traffico in uscita e quindi ricavare alcuni dati, inclusi dati identificativi dell’utente. Si parla dunque di un progetto (esplorativo) per decifrare specifici utenti e in prospettiva anche parte del traffico Tor, usando soprattutto nodi sotto il proprio controllo e metodi di clustering per analizzarne il traffico. Nulla che non sia da tempo nel modello di rischio del progetto Tor, che già oggi agli utenti fornisce delle soluzioni per mitigare tale rischio.
“Si tratta del rischio di correlazione – spiega a Guerre di Rete Giovanni Pellerano, del Centro Hermes per la Trasparenza e i Diritti Umani – che si corre quando un certo numero di nodi Tor sono controllati da un attaccante, sono cioè malevoli. Il problema si risolve cercando di avere più nodi buoni che nodi malevoli (in percentuale) dove con buoni si intende un misto di nodi eseguiti dalla comunità Tor più fidata, o da altri che contribuiscono al progetto”.
In ogni caso bisogna specificare che non basta controllare uno o più nodi di uscita per deanonimizzare gli utenti. Serve avere il controllo su un alto numero di nodi di entrata e di uscita. “La correlazione richiede un certo numero di nodi, dove provi a capire quanto traffico passa e in quanto tempo per capire se un particolare utente sta passando da lì. Controllando invece uno solo o pochi nodi non puoi fare correlazione ma solo attacchi semplici a utenti poco esperti. Ad esempio, se un utente usa Tor per navigare su un sito web in HTTP (quindi non cifrato), e scrive il proprio nome in un modulo web, il nodo di uscita può banalmente vedere il traffico e leggersi il nome”.
Inoltre, quando in Tor sono aggiunti alla rete un numero di nuovi nodi (relay) in grande quantità, questi di solito vengono analizzati e gli operatori se possibile contattati per capire le loro finalità. Se i nodi sono sospettati di essere malevoli, vengono messi in black list, resi inoperativi. Insomma, il progetto Nautilus-S per quel che si capisce da quanto filtrato non sembra essere un tipo di attacco così originale o rivoluzionario.

Chi erano gli attaccanti?
Questo per quanto riguarda i documenti. Vale la pena però capire anche i soggetti che li hanno diffusi. Di 0v1ru$ (il cui account Twitter, che ha diffuso immagini dei server violati, è stato presto chiuso) ci sono poche tracce online. Mentre più noti sono i D1G1R3V. Le loro attività emergono dalla fine del 2018, quando si presentano da subito come hacktivisti che lottano contro la sorveglianza statale (prendendo di mira in particolare il Kvant Research Institute, un istituto statale nell’area del Fsb, dedito all’acquisizione di strumenti di sorveglianza, e sanzionato dal Dipartimento del Tesoro americano per attività cybermalevole; e Roskomnadzor, l’agenzia russa che supervisiona le telecomunicazioni) oltre ad aziende private accusate dagli hacktivisti di contribuire alla stessa (Quantum).

“Siamo @D1G1R3V”, scrivono, in russo, sul loro sito, nel dicembre 2018 . “Siamo la faccia della Rivoluzione Digitale. Siamo ovunque e siamo molti. Non tollereremo più queste ingiustizie. È finito il tempo per la Resistenza Digitale. Ora è il momento della Rivoluzione Digitale.”
Questo mini manifesto programmatico è interessante perché è un esplicito riferimento alla Resistenza Digitale lanciata nell'aprile 2018 da Pavel Durov, fondatore (insieme al fratello Nikolai) della app cifrata Telegram, che era stata bloccata (con scarso successo) proprio dall’agenzia Roskomnadzor, perché aveva rifiutato di consegnare le chiavi di decifrazione all'Fsb. I fratelli Durov, russi, hanno fondato Telegram nel 2013, dopo aver lanciato il Facebook russo, Vkontakte, e averlo anche venduto nel 2014 dopo essersi scontrati col governo. La sede di Telegram sta a Dubai, e l'azienda non avrebbe server in Russia, almeno secondo quanto dichiarato dai suoi fondatori. Ad ogni modo, tornando all'aprile 2018, Pavel Durov lanciò un movimento di resistenza alla censura di Mosca, con tanto di cane incappucciato come simbolo, disegnato dallo stesso Pavel (il cane era a sua volta simbolo di Vkontakte). Lo stesso simbolo appropriato da D1G1R3V, anche se in pochi sembrano averlo rilevato.

E infatti gli hacktivisti, o presunti tali, che hanno come obiettivi principali proprio i servizi segreti dell’FSB e l’agenzia di controllo delle telecomunicazioni Roskomnadzor, parlano di passaggio dalla resistenza digitale alla rivoluzione. E il loro sito rimanda a un sistema per ricevere segnalazioni anonime sul modello Wikileaks. Ma loro in questo caso hanno fatto solo da centro di diffusione dei documenti hackerati. Di 0v1ru$ si è persa ogni traccia.

Cina - Intrusion Truth, smascheratori di hacker

Facciamo ora un piccolo passo indietro. Aprile 2017. In sordina compare online un blog di un gruppo anonimo, mai sentito prima: Intrusion Truth. La sua missione? "Svelare la verità sugli APT - Advanced Persistent Threats", sigla con cui si identificano campagne e gruppi di cyberspionaggio (o cybercriminali) avanzati. Ce ne sono di tanti tipi, riconducibili a varie nazioni o gruppi criminali. Ma qui, già dal primo post, il focus è subito chiaro: "i cyberattacchi su larga scala che rubano la proprietà intellettuale da aziende occidentali". Per chi segue il settore è evidente che nel mirino di questo Intrusion Truth stanno dunque hacker cinesi, da molti anni accusati soprattutto di spionaggio industriale.

Nel mirino le cyberspie cinesi
E di cartucce ne spareranno, col loro blog, quelli di Intrusion Truth. Iniziano a mirare contro APT3 - hacker cinesi che hanno colpito ripetutamente l'industria americana e britannica - e da subito seguono una tecnica precisa: smascherare i singoli membri di tali gruppi. Nel caso di APT3, Intrusion Truth scrive che sono collegati a una azienda software, Boyusec, che in realtà farebbe da copertura dei servizi segreti cinesi, in particolare del Ministry of State Security (MSS), l’agenzia di controspionaggio e intelligence estera. E nomina i due fondatori della società. Da notare che sei mesi dopo il Dipartimento di Giustizia americano incriminerà questi due più un terzo per aver violato i sistemi di varie aziende, tra cui Siemens (Vice).

Passa del tempo, e Intrusion Truth torna a scrivere di hacker cinesi, questa volta APT10. La tecnica di questi misteriosi smascheratori di cyberspie apparentemente è semplice: partono dai report di alcune società di sicurezza che hanno analizzato le loro campagne di attacco, e seguono le piste che portano a delle identità (un genere di approfondimento in cui le società di sicurezza difficilmente si imbarcano per una serie di ragioni, finanche legali). Ad esempio partono dalle mail usate per gestire dei domini, l'infrastruttura alla base di campagne di phishing o altri attacchi, e cercano di connetterle con altri dati legati alla geolocalizzazione e ai social media (vedi questo post). Ciò è possibile perché spesso questi APT non sembrano essere molto interessati a nascondere bene le tracce che possono condurre a loro, o comunque il risultato perseguito sembra essere prioritario rispetto alla operational security, la sicurezza operativa, ossia le azioni che servono a proteggere la propria identità.

I dubbi su questo approccio
Ma certo si tratta di una novità. Per la prima volta qualcuno, al di fuori delle incriminazioni del Dipartimento di Giustizia Usa, si mette a fare i nomi di hacker di Stato o hacker sponsorizzati dallo Stato. In alcuni casi si può trattare di mercenari, in altri di membri dei militari o dell'intelligence. Può funzionare come deterrente? O rischia di aggravare uno scenario già difficile?
“Ho appena fatto una presentazione al DEFCON Ethics Village sui problemi etici della attribuzione cyber”, commenta ancora Jake Williams a Guerre di rete. “Non so se Intrusion Truth sia una operazione governativa o privata, sospetto che si tratti di un ricercatore privato. E dubito fortemente che sia un gruppo commerciale dato che non ho sentito nessuno che abbia provato a fare soldi da loro ricerche non pubblicate. Tuttavia doxare (cioè, rivelare l’identità, ndr) individui è molto complicato, e può fare più male che bene. Non è un segreto che io non sia d’accordo con la decisione del mio governo di incriminare singoli hacker statali. Ma quando si tratta di ricercatori privati che doxano hacker di Stato, ritengo che sia ancora più problematico. Innanzitutto potrebbero sbagliarsi nelle loro identificazioni. Ma anche nel caso in cui siano accurate, queste potrebbe comportare gravi conseguenze, specie se il target è in un Paese dove non si rispettano i diritti umani”. Ovvero identificare qualcuno potrebbe fargli fare una brutta fine.

Colpire gli operativi
Anche gli Shadow Brokers, nel rivelare gli strumenti della Nsa, avevano esposto alcuni dei suoi ex-hacker, e fra questi proprio Jake Williams. Il quale nell’aprile 2017 aveva pubblicato un post su di loro. Che però non hanno gradito il suo interessamento. Dopo qualche giorno, l’ex-hacker della Nsa si è alzato la mattina con centinaia di notifiche sul suo telefono, come ha raccontato successivamente a una conferenza. Infatti gli Shadow Brokers gli avevano appena replicato su Twitter. E non solo lo avevano identificato come un ex-membro dell’unità TAO, un fatto che fino allora non era noto pubblicamente. Ma avevano anche aggiunto riferimenti tecnici che mostravano come conoscessero una serie di operazioni di hacking cui lui stesso aveva partecipato. “Avevano una conoscenza sull’operatività che anche alcuni dei miei colleghi al TAO non avevano. Mi sono sentito come se mi avessero dato un calcio in pancia. Chiunque ha scritto quei dettagli o era un insider ben piazzato o aveva rubato un sacco di dati operativi”, ha commentato all’epoca Williams sul New York Times. In seguito, Williams spiegherà in altre occasioni, ad esempio a CyberScoop, che questo fatto lo ha costretto a cambiare il modo in cui viaggia, o i Paesi in cui andare. Williams non è l’unico ad essere stato indicato dagli Shadow Brokers come un ex hacker della Nsa. Ma altri nomi che hanno fatto non sono stati così accurati.

Per altro, come abbiamo visto sopra nel suo commento, Williams ha una posizione interessante al riguardo. Ritiene che anche le incriminazioni di singoli hacker di Stato - ad esempio quando gli Usa hanno incriminato un nordcoreano accusato di aver condotto cyberattacchi per conto dell’intelligence di Pyongyang - siano problematiche. Che bisognerebbe prendere contromisure contro i governi e non contro singoli, spesso inquadrati nei militari. Inoltre, già “l’attribuzione di un atto di hacking è difficile quando c’è di mezzo una nazione. Attribuire una operazione a un particolare individuo è estremamente difficile”, aveva scritto Williams su The Daily Beast. La ragione per cui gli Usa stanno perseguendo singole cyberspie in Iran, Corea del Nord, Cina e Russia è che non riescono a ottenere risultati per vie diplomatiche, ragionava ancora l’ex-hacker della Nsa. Così ora la strategia è colpire direttamente gli operativi. Con quali risultati? Non è chiaro, ma finora non sembra che sia stato un forte deterrente.

La strategia dell’ambiguità
C’è anche un’altra strategia che riguarda questo settore. Lo scorso dicembre, nel corso di un evento pubblico, Alex Younger, il capo dell’MI6 - i servizi segreti britannici per l’estero - ha spiegato (ABCnews) come il grado di interconnessione tra nazioni, popoli e sistemi, la natura ubiqua delle informazioni e il cambiamento tecnologico che procede a un passo esponenziale, stiano rendendo il mondo molto complicato. “La complessità ha eroso i confini che avevamo tradizionalmente per la nostra sicurezza: quelli tra reale e virtuale, tra nazionale e internazionale, tra Stati e attori non statali, tra guerra e pace”. Il risultato, ha detto il capo dell’MI6, è un mondo di maggiore ambiguità. In cui gli avversari dell’Occidente sguazzano, mettendo in difficoltà le sue istituzioni in modi diversi dalla tradizionale guerra. Un’ambiguità che però potrebbe essere cavalcata ora da tutti i soggetti in gioco.

La controffensiva ibrida occidentale
Del resto, Stati Uniti, NATO e Unione Europea negli ultimi mesi hanno iniziato a parlare insistentemente di rispondere con le stesse armi a quelle che vengono definite “tecniche ibride” - uso di metodi non convenzionali per attaccare uno Stato senza aprire apertamente le ostilità, rimanendo sotto la soglia del conflitto, ma utilizzando anche strumenti come cyberattacchi, disinformazione, interferenza economico/politica.

“Il ciberspazio rappresenta forse il principale strumento per accelerare, amplificare, agevolare e anonimizzare ogni tipologia di Information Operation”, commenta a Guerre di Rete Stefano Mele, avvocato specializzato in diritto delle tecnologie, sicurezza e intelligence. “Infatti, tra i numerosi vantaggi offerti all’attaccante, lo spazio cibernetico permette di compiere queste operazioni in maniera istantanea e senza limitazioni geografiche (accelerare), di farlo in maniera mirata verso più soggetti contemporaneamente e in più parti del mondo (amplificare), colpendo persino bersagli e obiettivi difficilmente raggiungibili attraverso attacchi “tradizionali” (agevolare). Tutto ciò, peraltro, in maniera anonima, rendendo così molto complessa l’identificazione e soprattutto la conseguente attribuzione della responsabilità (anonimizzare)”.

E dunque, tornando alla nuova strategia occidentale, si sta parlando di rispondere agli avversari anche sul piano delle information operation, della (contro)informazione ma anche della (contro)propaganda. Di creare sistemi di allerta per individuare campagne disinformative coordinate in atto nel proprio Paese (vedi quanto emerso in un evento NATO tenutosi a giugno e riportato da The Fifth Domain).
Ma anche di andare all’attacco con gli stessi mezzi.

“Di fatto, il vero scopo ultimo - almeno in ambito militare - è quello di riuscire ad accecare le difese del nemico in caso di conflitto”, commenta ancora Mele. “Meglio ancora se per agevolare attacchi convenzionali. Ed è questo il vero ruolo che almeno finora ha avuto il cosiddetto quinto dominio della conflittualità. Questo passaggio, quindi, era assoluta prevedibile e anche inevitabile”.

La nuova unità britannica per operazioni cyber
Ne è un esempio la sesta divisione, la nuova unità speciale per le operazioni cyber dell’esercito britannico, il cui obiettivo è entrare a gamba tesa nella guerriglia informativa dei social media. Quindi non solo tradizionale intercettazione delle comunicazioni, ma anche propaganda difensiva e offensiva. “Dobbiamo sviluppare le nostre capacità asimmetriche e concentrarci sulla orchestrazione di intelligence, operazioni informative, guerra elettronica e cyber e non convenzionale”, ha dichiarato ad agosto il tenente generale Ivan Jones dell’esercito britannico, quando è stata annunciata la nuova unità speciale. Il tutto per combattere “sopra e sotto la soglia del conflitto convenzionale” (Forbes). Anche gli Stati Uniti, ovviamente, si stanno muovendo in modo sempre più dichiarato in questa direzione (NYT, possibile paywall).

Dunque, per tornare all’inizio di questa storia. Non sappiamo chi siano gli Shadow Brokers, né se l'hack dell'FSB sia stato eseguito da veri hacktivisti o no, e non sappiamo chi siano gli Intrusion Truth. Ognuna di queste entità potrebbe avere natura e motivazioni ben diverse e non assimilabili. Ma nell'insieme mostrano l’esistenza di una pluralità di soggetti che stanno alzando il tiro, che pure nella loro diversità usano metodologie simili e che prosperano nell'ambiguità. Con l’imprimatur di Stati autoritari e democratici. Con una crescente militarizzazione del cyberspazio e della sua dimensione informativa. E con una serie di interrogativi che per ora si possono appena immaginare. Come sarà possibile, nelle democrazie, ottenere quel livello minimo di trasparenza e accountability sulle scelte (di politica interna ed estera) operate dallo Stato?

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! E’ gratuita e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!