Guerre di Rete - Quel video su Regeni

India e social media. Ransomware e polizia.

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.104 - 02 maggio 2021

Oggi si parla di:
- quel video su Regeni
- India e social media
- ransomware e polizia
- indagine su un mixer bitcoin
- altro

REGENI
Cronistoria di un video che vuole infangare il ricercatore italiano
Pochi giorni prima del 29 aprile, quando era attesa l’udienza preliminare (poi rimandata al 25 maggio) per i quattro agenti dei servizi egiziani imputati nella tortura e omicidio di Giulio Regeni, un misterioso video è iniziato a circolare su YouTube. Privo inizialmente di una firma, una casa di produzione, una identità chiara, il video si presentava come un documentario giornalistico, una sorta di “inchiesta” sul ricercatore italiano brutalmente ucciso in Egitto. Il video, intitolato “The story of Regeni”, malgrado l’aspetto che denotava una discreta capacità di produzione (segue il classico format documentaristico che alterna interviste a ricostruzioni sul campo) e malgrado la presenza di intervistati italiani piuttosto altisonanti (in particolare, l’ex consigliere militare del governo D'Alema, il generale Dino Tricarico, più due ex ministri, Maurizio Gasparri ed Elisabetta Trenta, oltre al giornalista Fulvio Grimaldi) si rivela quasi subito per quello che è: un’operazione di propaganda e depistaggio con l’obiettivo di screditare la figura di Regeni, e mandare un messaggio intimidatorio all’Italia.

Come scrive Giuliano Foschini su Repubblica, questo filmato racconta “una storia falsa, smentita dagli atti di cinque anni di indagini della magistratura italiana: allontana ogni responsabilità sui militari egiziani e lancia ombre sull'attività del ricercatore italiano al Cairo, ombre ampiamente già categoricamente smentite dall'inchiesta italiana, con Regeni che viene raccontato come sostanzialmente un fiancheggiatore dei Fratelli Musulmani; accusa la procura di Roma; lancia un messaggio chiaro a tutto il Paese: il processo a carico dei cinque agenti della National security, che sta per cominciare in queste ora a Roma, potrebbe compromettere definitivamente i rapporti commerciali tra i due Paesi. In sostanza, il documentario è  uno spot al governo di Al Sisi. Uno strumento, l'ennesimo, di depistaggio e di contronarrazione per cercare di depistare e alterare il flusso delle indagini”.

Ma prima di procedere ricordiamo a che punto siamo con l’indagine italiana. Il 29 aprile ci sarebbe dovuta essere l’udienza preliminare a carico del generale Sabir Tariq, dei colonnelli Usham Helmi e Athar Kamel Mohamed Ibrahim e di Magdi Ibrahim Abdelal Sharif. “I quattro, appartenenti ai servizi segreti egiziani, sono accusati del sequestro, delle sevizie e dell'omicidio del ricercatore italiano, il cui corpo è stato ritrovato il 3 febbraio del 2016 ai bordi della Alexandria Desert Road, al Cairo”, scrive Andrea Ossino su Repubblica. Ma a causa di un legittimo impedimento di un avvocato, che sarebbe entrato in contatto con una persona positiva al Covid, l'udienza è stata rinviata.

Tutta la storia sulla produzione e diffusione del video apre molti interrogativi. Il video è stato messo online su YouTube il 26 aprile, su un canale aperto il 22, senza attribuzioni di sorta. E poi su una pagina Facebook, The Story of Regeni, da cui sono partite varie inserzioni rivolte a un pubblico italiano (e qui c’è un utente italiano che segnala di averne ricevuta una). Una delle inserzioni iniziava così: “Il primo documentario che ricostruisce i movimenti strani di Giulio Regeni al Cairo”. Il canale e la pagina in questione oggi non esistono più, sono state cancellate. Nel mentre su Twitter, tra il 27 e 30 aprile, vari account egiziani promuovevano il “documentario” come una interessante e rivelatrice inchiesta sulla vicenda.

Per quanto misteriosa la mano dietro al documentario, restava il fatto che qualcuno era tranquillamente riuscito a intervistare i suddetti politici. Wired Italia si è messa in contatto telefonico con la persona che ha realizzato le interviste agli italiani coinvolti, che ha chiesto di mantenere l’anonimato dicendo: “Mi hanno mandato le domande e io le ho fatte. Ho fatto il lavoro e rimandato il materiale”.
“Non è stato però lui a prendere contatto con gli intervistati italiani - scrive Davide Ludovisi su Wired -  bensì un certo Mahmoud Abd Amid, che si è presentato come “rappresentante di Al-Arabiya in Italia”. Eppure non c’è alcun riscontro di una sua collaborazione con l’emittente saudita. Abd Amid ha contattato l’ex ministra Elisabetta Trenta, per esempio – anch’ella comparsa nel video – usando un indirizzo Gmail ora non più attivo”. 

Versione confermata anche a Repubblica, cui la Trenta dichiara: “Sono stata vittima di un raggiro, mi ha contattato un giornalista che si è presentato come di Al Arabiya in Italia ed è venuto, con due operatori, in un'università. Si sono presentati con una mail". "Egregia professoressa - si legge - la nostra troupe è a Roma per svolgere un film documentario sui rapporti diplomatici ed economici fra Italia ed Egitto. Dopo aver effettuato molte interviste a riguardo credo che la Sua sarebbe fondamentale nella finalizzazione del progetto". "Chiesi espressamente - dice la Trenta oggi a Repubblica -   che non si parlasse di Regeni. Me lo assicurarono. Ed effettivamente nulla mi fu chiesto. Poi ieri mi hanno mandato questo documentario...Questa schifezza vergognosa".

All’ex generale Tricarico invece gli operatori si sarebbero presentati come un giornalista egiziano di Al Jazeera, riferiva Wired. Che già il 30 aprile indirizzava invece i sospetti verso una meno nota, ma ben connotata tv egiziana: “Prima di diventare telefonicamente irraggiungibile, il giovane intervistatore ci ha detto di collaborare come freelance con Al Jazeera, Al Arabiya e Ten. Non ci ha voluto dire chi gli ha commissionato la produzione, ma è stato molto fermo su un punto: Al Jazeera e Al Arabiya non c’entrano nulla. Su Ten invece ha glissato”. 

Sospetti che sono stati confermati intorno al 30 aprile quando, mentre venivano chiusi i primi canali e pagine aperti per diffondere il video, la tv egiziana TeN TV iniziava a pubblicizzarlo, questa volta con tanto di logo, su tutti i suoi canali social, postando anche decine di spezzoni e commenti sulla sua pagina Facebook. (Mentre la messa in onda sul canale era prevista per la sera del 30 - TPI).

TeN TV, scriveva tempo fa il manifesto, è un canale privato vicino ai servizi di intelligence del regime, già protagonista di plateali offensive mediatiche contro difensori dei diritti umani. Un canale pro-militari e pro-governo, secondo il saggio Media, Revolution and Politics in Egypt. Controllata dai servizi segreti, secondo l’analista politico Maged Mandour su Open Democracy.

Ora, alcune note e domande.
Il video è apparso non solo in concomitanza con l’udienza in Italia ma anche con l’uscita, qualche giorno prima, di un altro documentario sull’uccisione di Regeni, di tutt’altro tenore (dove compaiono testimoni che accusano i militari egiziani), fatto da ArabyTv (Fadaat media), trasmesso il 22 aprile, e intitolato “Giulio Regeni, The buried facts’. Tanto che su Twitter sembra esserci traccia di questa contrapposizione.

Chiarita l’attribuzione a TeN TV (ma non le modalità della sua prima diffusione in sordina), resta da capire come abbiano fatto gli organizzatori a farsi passare per altro, raggiungendo persone di così alto profilo che, stando alle loro stesse dichiarazioni, almeno in alcuni casi, ritenevano di parlare con interlocutori del tutto diversi da quelli effettivi e per un documentario di altra natura.

PIATTAFORME E STATI
L’India chiede ai social di eliminare post critici
Mentre l’India veniva travolta da una seconda ondata di Covid-19 - tanto che sui social e nei gruppi Whatsapp si moltiplicavano le richieste disperate di ossigeno e posti in terapia intensiva - il governo del Paese ordinava a Facebook, Instagram e Twitter di eliminare un centinaio di post sui social media che erano critici della gestione della pandemia. Tra questi ci sono anche post di politici di opposizione e richieste di dimissioni per il primo ministro Narendra Modi. Per il governo i post avrebbero potuto indurre panico e usavano immagini fuori contesto. Le aziende hanno obbedito alle richieste, rendendo i post invisibili per chi accede alle piattaforme dall’India (The New York Times).

Oltre a ciò, Facebook ha temporaneamente nascosto tutti i post contenenti l’hashtag ResignModi (ModiDimettiti) in India. Inizialmente il social sul sito aveva scritto che la decisione derivava dalla violazione di alcuni standard della community. Ma successivamente ha fatto marcia indietro, ha reso visibili di nuovo i post spiegando che si sarebbe trattato di un errore (e che non dipendeva dalle richieste del governo) - TechCrunch.

Che si tratti di ripensamento di una decisione indotta dalle pressioni governative o di un grossolano errore della piattaforma in un momento così delicato per la libertà di espressione in India, entrambe le possibilità non fanno ben sperare, come notano anche alcuni osservatori.

L’aumento delle richieste di censura
Il problema qua è però fortemente politico. Nel momento in cui l’atteggiamento americano verso i social media è mutato, divenendo più ostile e interventista, “gli autoritarismi hanno visto una opportunità e l’hanno colta”, scrive il giornalista Casey Newton. Col risultato di piattaforme che censurano, come abbiamo visto in India e come sta avvenendo in molti altri Paesi. Sono almeno 52 gli Stati che hanno preso misure contro la disinformazione, in molti casi restringendo però la libertà di espressione sui social, secondo Pointer.

Internet shutdown, la strategia del Myanmar
Parlando di controllo statale sulle comunicazioni, la giunta golpista in Birmania, dopo aver bloccato l’accesso a internet a intermittenza, sembra cambiare strategia, ripristinando la connettività solo per alcuni servizi business (banche, aziende ecc). L’idea sarebbe quella di mantenere una forte presa sulle comunicazioni pur minimizzando i danni economici dovuti alle stesse restrizioni (NikkeiAsia). Una strategia che a qualcuno ricorda, nello spirito più che nell’infrastruttura, quella utilizzata in Iran (con la NIN, National Information Network), che negli anni ha creato una rete nazionale per attività governative o industriali che non venisse disturbata dalle censure e disconnessioni per il resto della popolazione.

RANSOMWARE/CYBERCRIME
Attaccano la polizia di Washington e minacciano di rilasciare i dati su arresti e informatori
Il dipartimento di polizia di Washington ha subito un attacco informatico, in cui gli attaccanti hanno sottratto e iniziato a diffondere anche dati e dettagli sugli arresti e persone d’interesse, minacciando di pubblicarne molti altri (addirittura su possibili informatori) se non saranno pagati. Il gruppo cybercriminale protagonista dell’azione sarebbe Babuk, specializzato in ransomware, software malevoli che cifrano i file dei computer e chiedono un riscatto per fornire la chiave per decifrarli. Ma come avevo raccontato tempo fa (ad esempio qua su Domani), questi gruppi stanno sempre più spesso utilizzando anche la tattica del data leak, cioè della pubblicazione delle informazioni sottratte prima di avviare la cifratura, per convincere le vittime a pagare l’estorsione (in modo da evitare che il loro ricatto sia annullato dalla capacità di ripristinare tutti i dati da backup). Ormai la vasta maggioranza degli attacchi ransomware include il furto dei dati corporate, scrive una recente ricerca della società Coverware.
E’ il terzo dipartimento di polizia americano preso di mira negli ultimi due mesi. E più in generale anche le forze dell’ordine, insieme a molte strutture governative, sono diventate più spesso un target di questi gruppi, anche a causa di sistemi obsoleti (The Verge).

L’allarme ransomware non sembra affatto in diminuzione al punto che ora il Dipartimento di Giustizia Usa ha creato una task force dedicata che lavorerà su tutto l’ecosistema digitale attorno al fenomeno ransomware, e, qui la parte interessante, evidenzierà i legami fra attori criminali e Stati (The Wall Street Journal).
Non è un mistero che alcuni dei più prolifici e aggressivi gruppi cybercriminali specializzati in ransomware siano russi, oltre che nordcoreani e iraniani, quindi c’è da aspettarsi ancora tensioni geopolitiche anche su questo fronte.

- La polizia italiana, nel mentre, cerca di alzare la difese delle banche dati interforze inaugurando un centro per la sicurezza informatica, il Cyber Security Operations Center (C-Soc) (CorCom).

- Ah nel mentre il Parlamento europeo ha subìto un incidente informatico - (Wired Italia)

BLOCKCHAIN E INDAGINI
Arrestato il presunto amministratore di uno dei mixer bitcoin più longevi

Le autorità americane hanno arrestato Roman Sterlingov, un cittadino russo e svedese (fermato all’aeroporto di Los Angeles), con l’accusa di riciclaggio, di essere in particolare l’amministratore di Bitcoin Fog, un noto mixer (o tumbler) di bitcoin, un servizio cioè che rimescolando assieme fondi di origine diversa ne offusca la provenienza, interrompendo la catena di tracciabilità delle transazioni (come noto queste possono essere facilmente tracciate sulla blockchain). Secondo gli investigatori, Bitcoin Fog  - servizio quanto mai longevo nel settore, dato che esisteva dal 2011 - sarebbe stato uno dei punti di riferimento per il riciclaggio di denaro (criptovaluta in questo caso) proveniente da attività illecite, soprattutto mercati della droga; in particolare i principali clienti del servizio sarebbero stati i mercati neri delle darknet, come Agora, Silk Road 2.0, Silk Road, Evolution, e AlphaBay, che commerciavano soprattutto narcotici. Sterlingov, attraverso le commissioni del suo sito (attraverso il quale sarebbero passati nel complesso 1,2 milioni di bitcoin), avrebbe incassato l’equivalente di circa 8 milioni di dollari.

Ma come hanno individuato l’accusato? Attraverso la stessa analisi della blockchain, quella che il suo servizio si proponeva di contrastare. Gli investigatori avrebbero infatti ricostruito i passaggi di denaro che nel lontano 2011 l’uomo fece per pagare il dominio del sito in chiaro, Bitcoinfog, usando Liberty Reserve, moneta digitale ora defunta. Da qui gli investigatori sono risaliti indietro, all’exchange dove erano stati scambiati i bitcoin con Liberty Reserves, poi ai vari passaggi dei bitcoin tra diversi indirizzi, fino all’exchange Mt.Gox dove erano stati acquistati in origine a partire da degli euro, attraverso un account che aveva indirizzo e telefono di Sterlingov. Ma, analizzando l’incriminazione, le briciole di pane trovate e raccolte nelle indagini sono varie e numerose, inclusa l’analisi temporale degli indirizzi IP delle connessioni agli account Liberty Reserve e Mt.Gox, fatte nello stesso momento dallo stesso IP. O analisi di indirizzi email usati per aprire account che connettono l’identità di Sterlingov a quella di chi pagava il dominio di BitcoinFog. O le primissime transazioni fatte su Bitcoin Fog all’inizio, evidentemente transazioni di test, compiute da un account registrato col vero nome di Sterlingov. Insomma sembra essere uno di quei casi in cui le analisi degli investigatori mettono assieme in modo certosino e minuzioso tanti piccoli errori di opsec, operational security, di cui avevo parlato in questa mia presentazione a No Hat.
Wired; The Verge. Il mandato di arresto

DEEPFAKE
In videochiamata con l’oppositore russo (ma non era lui)
Alcuni parlamentari europei hanno avuto delle videochiamate con quello che ritenevano essere Leonid Volkov, oppositore di Putin e vicino a Navalny. Ma non era lui, sebbene la sua immagine fosse incredibilmente simile. L’ipotesi è che i parlamentari siano stati ingannati attraverso l’uso di un deepfake, una ricostruzione in video/audio di sembianze altrui realizzata con tecniche di intelligenza artificiale - Guardian.
Qui come appariva l’impostore rispetto a una immagine del vero Volkov.

CYBERWARFARE
Report su malware della CIA

La società di anitivirus russa Kaspersky dice di aver trovato un malware della CIA. Come scrive Catalin Cimpanu su The Record, con l’eccezione del caso del leak derivante dagli Shadow Brokers e del leak di Vault7, le notizie sulle operazioni di cyberattacco americane sono rare nel settore (inutile precisare che bisogna distinguere la rarità delle notizie dalla effettiva quantità delle operazioni svolte). Da Vault 7 in poi sono emersi principalmente tre report: quello su un’operazione anti-ISIS del Cyber Command (Slingshot report di Kaspersky); quella su un malware collegabile alla CIA, emerso in un report ESET del 2019; e quella su un’operazione decennale di spionaggio su alcuni settori industriali cinesi pubblicato nel 2020 dalla società cinese Qihoo 360.

TWITCH E QANON
Seguaci di QAnon e vari estremisti della destra americana hanno trovato un nuovo canale di diffusione delle loro teorie, Twitch, il noto sito di livestreaming. E ci fanno anche dei soldi. NyTimes

APPROFONDIMENTI

PRIMO MAGGIO
Mal pagati e con poche tutele, voci di lavoratori "indispensabili"
Hanno lavorato anche in piena emergenza coronavirus. C'è chi ci ha permesso di fare la spesa, chi ha consegnato i pacchi e chi ha badato ai nostri anziani: sei testimonianze
Rosita Rijtano su La Via Libera

AI/UE
La proposta UE per regolamentare l’intelligenza artificiale: un testo che potrebbe cambiare la storia o quasi nulla - Fabio Chiusi su Valigia Blu

SORVEGLIANZA
La "macchina della verità" alle frontiere di cui l'Europa preferiva non parlare - Wired Italia

AUDIO
Udite udite, anche Facebook si butta sull’audio (PODCAST - Martina Pennisi su Corriere)

—> SOCIAL E PODCAST DI GUERRE DI RETE

Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter. Seguiteli!
I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple PodcastsSpotifyGoogle PodcastAnchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.

→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.