BTleaks è un esempio di campagna di disinformazione online basata su documenti probabilmente non tutti veri, ma comunque plausibili per il pubblico
L'IT security non è una questione solo da tecnici ma è intessuta con la vita sociale e pubblica. E da gennaio 2019 la Germania lo sa molto bene, per il caso battezzato
BTleaks. Tra dicembre e gennaio
dati personali e documenti di centinaia di politici (e non solo) sono stati pubblicati online. Dopo essere stati sottratti illecitamente.
Il primo elemento che colpisce di BTleaks è la quantità e la
varietà del materiale pubblicato. Spazia da informazioni personali a dati di valenza anche politica. E-mail e messaggi di testo, chat di Facebook e Twitter, fatture, foto di documenti. Ma anche foto e video personali, dichiarazioni fiscali, bozze di documenti politici, numeri di cellulare e indirizzi postali.
Parte di queste informazioni era comunque pubblica e
non ha un vero valore commerciale o politico. Ma queste informazioni innocue rendono più plausibili altri documenti pubblicati che riguardano l'attività dei parlamentari. E che sono stati usati per mettere in cattiva luce alcuni di loro, perché proverebbero comportamenti impropri, se non illeciti. Tutti questi documenti sono veri? Non si sa. Per questo, complessivamente, BTleaks è una opera di
disinformazione.
BTleaks: attivismo o attacco state-sponsored?
Si è ipotizzato che dietro BTleaks ci fosse il gruppo
Fancy Bear. Ipotesi dovuta al fatto che a Fancy Bear si attribuisce un attacco ai sistemi IT del Bundestag avvenuto nel 2015.
Buona parte delle informazioni di BTleaks però sono molto più recenti. Inoltre vengono da
violazioni degli account personali dei politici e delle altre persone coinvolte, più che dalla rete del Parlamento. Le due ipotesi però non si escludono a vicenda. È possibile che dalla violazione del 2015 siano state ricavate informazioni utili per violare altri sistemi nel 2018. Con
diverse operazioni di "esflitrazione" da social network, account di posta e altri sistemi.
Questa dinamica articolata lascia pensare che non si tratti di un episodio di hacktivism locale bensì di una
operazione APT. Altri elementi però farebbero pensare il contrario. Principalmente il modo in cui le informazioni sottratte sono state fatte circolare sul web.
L'avvio di BTleaks
I dati di BTleaks non sono apparsi online tutti insieme. Un account Twitter rubato (@_0rbit) ha iniziato a pubblicarli a partire dal primo dicembre. Ogni tweet conteneva
uno o più link verso parti del materiale rubato, caricate in maniera anonima su PrivateBin. Per essere sicuri che i materiali non fossero subito eliminati, gli hacker ne hanno distribuite
più copie indipendenti. Come spesso accade in questi casi, ulteriori copie dei documenti sono state comunque caricate su siti come 4chan.

I tweet iniziali sono stati
amplificati da altri tre account secondari simili, con tutta probabilità semplici bot. Sino a quel momento il data leak è restato
sottotraccia. Il caso è esploso quando è stato violato l'account Twitter di un noto YouTuber tedesco, usato per rilanciare @_0rbit.
Questa
dinamica è contraddittoria. La compromissione di molti account per un lungo periodo, necessario a raccogliere molte informazioni, fa pensare a un gruppo organizzato. L'utilizzo di un account Twitter poco rilevante come canale di diffusione invece no.
Infatti, secondo le autorità federali tedesche dietro BTleaks ci sarebbe
una sola persona. Uno studente di Francoforte che avrebbe fatto tutto da solo. E avrebbe dato alla polizia abbastanza informazioni per provare questa ipotesi. Non ci sarebbe quindi il coinvolgimento di nessuna entità esterna.
Bene per la politica internazionale. Ma
cambia poco per la valutazione complessiva della gravità della vicenda. È grave che una sola persona possa violare gli account di centinaia di figure pubbliche. Ed è ancora più serio che una persona sola possa
scatenare il panico nella scena politica di una nazione. Uno scenario per cui, però, gli esperti di sicurezza
avevano già avvisato la politica. Che non sembra essersi preparata abbastanza.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
SecurityOpenLab.it iscriviti alla nostra
Newsletter gratuita.

Rimani sempre aggiornato, seguici su Google News!
Seguici