Cosa sappiamo dell’attacco informatico a Macron

La notizia dell’attacco informatico a En Marche!, il movimento politico del candidato alle elezioni presidenziali francesi Emmanuel Macron, non ha avuto un’estesa copertura mediatica in Francia, sia perché la diffusione dei documenti sottratti nell’attacco è avvenuta poco prima che la campagna elettorale terminasse ufficialmente, sia perché giornali come Le Monde hanno deciso di non farsi strumentalizzare dagli autori dell’attacco. La Commissione nazionale per il controllo della campagna elettorale presidenziale (CNCCEP) ha raccomandato ai giornali di non riportare le informazioni contenute all’interno dei documenti e, come ha spiegato Le Figaro, che a sua volta ha dichiarato che non pubblicherà nulla sui documenti prima della fine delle elezioni, pubblicare notizie false può comportare grosse multe. Per questo sono stati soprattutto giornalisti stranieri a occuparsi della questione e a provare a capire qualcosa di come si è svolto l’attacco. Del contenuto dei documenti per ora non si sa nulla, dato che non c’è stato il tempo per analizzarli e verificarne l’autenticità (sono 9 GB di dati), ma En Marche! ha detto che si tratta di semplici email di lavoro e fogli di bilancio, a cui sono stati aggiunti dei documenti falsi.

L’agenzia di stampa Reuters ha intervistato Vitali Kremez, direttore della società di cyber intelligence americana Flashpoint, secondo cui dietro l’attacco potrebbe esserci A.P.T. 28, la squadra di hacker russi legata al G.R.U (l’intelligence militare russa) detta anche Fancy Bear. Kremez ha spiegato che il mese scorso A.P.T. 28 ha registrato dei domini internet i cui nomi richiamano quello di En Marche!, come “onedrive-en-marche.fr” e “mail-en-marche.fr”: questi siti potrebbero essere stati usati per effettuare il “phishing” (un tipo di truffa online con la quale si cerca di ingannare un utente convincendolo a fornire informazioni personali) ai danni delle persone che lavorano per il movimento politico. A.P.T. 28 è uno dei gruppi che secondo la CIA avrebbe compiuto gli attacchi informatici al Partito Democratico americano nei mesi precedenti le elezioni presidenziali negli Stati Uniti. Anche secondo la società giapponese Trend Micro, che si occupa di sicurezza informatica, c’è A.P.T. 28 dietro l’attacco a Macron. WikiLeaks, che ha contribuito alla diffusione dei documenti twittando il link su 4Chan dove scaricarli, ha notato che molti dei file diffusi dagli autori dell’attacco avevano dei caratteri in cirillico nei propri metadati.

#MacronLeaks assessment update: several Office files have Cyrillic meta data. Unclear if by design, incompetence, or Slavic employee. pic.twitter.com/4ge2IMmtHj

— WikiLeaks (@wikileaks) May 6, 2017

Il Digital Forensic Research Lab del think tank americano Atlantic Council ha analizzato i tweet sull’attacco e sulla diffusione dei documenti usando l’hashtag #MacronLeaks e ha ricostruito che i primi account a parlarne sono stati profili di noti attivisti dell’alt-right americana, il movimento di estrema destra che ha rappresentato un’importante base di consenso per Donald Trump. In particolare, sembra che l’hashtag sia stato usato per la prima volta da Jack Posobiec, che gestisce il sito di estrema destra theRebelMedia ed è un sostenitore di Trump. Posobiec è anche una delle persone che hanno accusato Macron di avere un conto corrente bancario segreto alle Bahamas. Macron ha sporto una denuncia di diffamazione contro ignoti per queste accuse, che ha assicurato essere false.

Posobiec ha scritto numerosi tweet sulla diffusione dei documenti sottratti a En Marche!, il primo dei quali è stato ritwittato quindici volte nel primo minuto dopo essere andato online, e 87 nei primi cinque minuti: secondo il ricercatore del Digital Forensic Research Lab (DFRLab) Ben Nimmo sono stati usati dei bot, cioè degli account fasulli che ritwittano in modo automatico contenuti postati da chi li ha creati, per dare più visibilità ai tweet. Il primo tweet conteneva il link al forum di 4Chan dove era stato condiviso il link originale a cui si potevano scaricare i documenti, in formato .zip e attraverso file torrent, dal sito anonimo di pubblicazione di contenuti Pastebin.

Dopo tre ore e mezza dal primo tweet, più di 47mila tweet erano stati pubblicati con l’hashtag #MacronLeaks. Oltre a Posobiec anche William Craddick, un altro attivista dell’alt-right molto attivo su Twitter che secondo il DFRLab pubblica abitualmente notizie false, ha contribuito a diffondere la notizia della pubblicazione dei documenti. Secondo il DFRLab è stato grazie ai bot che la discussione è passata dagli Stati Uniti alla Francia. Circa un’ora e mezza dopo il tweet iniziale di Posobiec, i suoi tweet sono stati ripresi da due sostenitori di Marine Le Pen, l’avversaria di Macron al ballottaggio, molto attivi online. Anche i tweet di WikiLeaks hanno contribuito a far aumentare la diffusione di #MacronLeaks. Col passare del tempo però sono molto aumentati i tweet critici nei confronti dell’attacco, dei suoi autori e di chi ne parlava in termini positivi. Lo stesso avvocato di WikiLeaks Juan Branco ha espresso un parere critico sulla diffusione dei documenti a poche ore dal voto.

https://twitter.com/gblardone/status/860763427660320769

Non è detto che tutta questa storia abbia un effetto reale sui risultati del voto, in corso oggi. La maggior parte degli osservatori sono scettici sul fatto che possa danneggiare eccessivamente Macron, sia perché per ora non è emerso nessuno scandalo, sia perché anche se la cosa ha avuto molta attenzione sui social network, non se ne è parlato molto altrove. Inoltre la maggior parte dei tweet francesi sull’argomento sono stati scritti per mettere in ridicolo l’attacco degli hacker e il Front National.

En exclusivité, le nouveau logo du FHaine. #MacronLeaks pic.twitter.com/Yb2I0EvfI4

— Cyril (@Cyrilefevre) May 6, 2017

Il professore di scienze politiche dell’università Sciences Po Thomas Guénolé, intervistato dal New York Times, ha sostenuto che l’attacco informatico a Macron fa parte di una tendenza all’«americanizzazione della politica francese» che ultimamente si vede anche in altri aspetti, come la diffusione di notizie false, l’emergere di scandali e di fughe di notizie e l’attenzione rivolta alle immagini dei singoli candidati piuttosto che ai partiti che rappresentano.