Quel che è successo in virtù delle elezioni presidenziali dello scorso 8 Novembre lo sappiamo tutti. Ciò che, invece, quasi nessuno sa, è che queste elezioni passeranno alla storia per essere state hackerate in lungo e in largo. Finora, per lo meno, si trattava di sospetti, ma adesso salta fuori un documento “top secret”, ottenuto da The Intercept, che dimostrerebbe come l’intelligence russa avrebbe eseguito un cyber-attacco in grande stile, verso almeno un fornitore di software per i sistemi di votazione americani. Al momento, questo documento, datato 5 Maggio 2017, è ciò che di più chiaro e dettagliato esista in merito a un’influenza programmata sulle elezioni a stelle e strisce. Con tanto di schema tecnico di funzionamento del tranello digitale.
Stando al documento, tutto avrebbe avuto inizio il 24 Agosto 2016. Un gruppo di hacker russi invia delle e-mail fasulle, con mittente Google, ad alcuni impiegati di un’azienda che sviluppa software per le e-voting machine, le macchine per il voto elettronico negli Stati Uniti. Non ci sono riferimenti chiari all’azienda, ma si nomina spesso la VR Systems, che in effetti si occupa proprio di questo: produce soluzioni per il voto elettronico e le vende a ben otto stati americani.
Le e-mail dalla finta Google sono di spear-phishing, cioè confezionate in modo da convincere chi le legge a fare un bel clic sul link che contengono. Link che porta gli utenti a un sito che somiglia a uno ufficiale di Google, ma ovviamente non si tratta di Google, e dove viene richiesto di inserire i propri dati personali. La National Security Agency ha identificato sette vittime potenziali di questo attacco. Tre non sono state raggiunte dall’e-mail, perché è stata considerata sospetta dal server di posta elettronica e quindi scartata, mentre delle quattro rimanenti una è andata a segno. E questo che significa? Significa che una persona è cascata nel tranello, ha inserito i propri dati di autenticazione nel finto sito, e questi sono andati nelle mani degli hacker che, a questo punto, potevano disporne a proprio piacere.
Diciamo che lo spear-phishing, in realtà, è un attacco molto comune in ambito aziendale: SANS stima che il 95% degli attacchi globali a reti professionali sia basato proprio su questa tecnica. Il punto è che aziende che producono materiale “sensibile”, come quello dedicato alle votazioni del più potente paese del mondo, dovrebbero avere dipendenti quanto meno in grado di distinguere una e-mail tarocca da una ufficiale.
Specie perché le conseguenze di una semplice disattenzione possono essere devastanti: con credenziali personali, ottenute in questo modo, è possibile accedere a reti riservate (VPN), caselle e-mail, servizi cloud, e molto altro ancora. Tutto quel che serve per creare un dossier informativo in grado di fornire non solo informazioni di prima mano, per esempio dati politici, ma anche dettagli tecnici che consentono di sferrare attacchi più mirati. Per esempio, nel caso specifico, è possibile accedere ai dettagli tecnici dei software per le votazioni e trovare un modo per manipolarli.
Il piano degli hacker, comunque, non si è limitato solo a questa prima fase. Un paio di mesi dopo, il 27 Ottobre 2017, hanno creato un indirizzo Gmail simile a quello di un dipendente di VR Systems e, insieme ad alcuni dei documenti trafugati ad Agosto, hanno lanciato una seconda campagna di spear phishing contro organizzazioni governative americane. In questo caso, anziché il link farlocco, si è tentato di convincere le vittime ad aprire un allegato Word che conteneva al suo interno un trojan. Un software, cioè, in grado di passare dati e controllo di un computer agli hacker di turno. Ben 122 le potenziali vittime raggiunte dall’e-mail tra il 31 Ottobre e l’1 Novembre. Ogni volta che l’allegato è stato aperto, ha dato avvio al download di un secondo e più corposo software malevolo, in grado di fornire accesso continuo a quel computer. La NSA, a oggi, non ha idea se questo tipo di attacco abbia sortito qualche esito, ma ora si spiega, anche tecnicamente, il perché di quella conferenza di Obama a Dicembre. Quella in cui, per intenderci, raccontò di aver chiesto esplicitamente a Putin di non interferire con attacchi digitali sulle elezioni americane.
Visto che la chiacchierata col presidente russo risaliva a Settembre, è probabile che Obama non fosse a conoscenza di quanto avvenne il mese successivo. O che avesse utilizzato uno dei suoi ultimi discorsi post-elezioni per “avvertire” la Russia che era stata beccate con le mani nel sacco.
Se è saltata fuori questa documentazione, e se vi sono contenuti riferimenti espliciti ad hacker russi, è probabile che NSA e FBI siano in possesso di altro materiale. Materiale che potrebbe spiegare perfino se questi o altri attacchi hanno davvero avuto peso sul risultato delle elezioni. L’impressione è che quanto appreso da The Intercept non sia la fine della storia, ma solo l’apertura di un vaso di Pandora.