Poco prima delle presidenziali Usa dello scorso novembre, l’intelligence militare russa avrebbe condotto cyberattacchi contro produttori di software usati nelle elezioni americane, e contro un centinaio di funzionari locali che si occupavano di alcune procedure delle votazioni. A scriverlo nero su bianco è un recente documento segreto dell’intelligence statunitense, ottenuto dalla testata The Intercept e da questa ripubblicato.

Il documento della Nsa e l’accusa ai servizi russi

La storia è complessa e vanno specificate subito alcune questioni. Primo: il documento - prodotto dalla Nsa - descrive per la prima volta in dettaglio una campagna di cyberattacchi che hanno preso di mira parti del sistema elettorale americano, in particolare quelle riguardanti la registrazione degli elettori (non il conteggio dei voti), a ridosso delle ultime presidenziali. Non significa - e il documento non lo dice infatti - che tali attacchi abbiano compromesso anche solo in parte l’esito dei voti. Finora resta dunque valida la tesi ufficiale del governo Usa secondo la quale i voti non sarebbero stati alterati. Ma di sicuro il documento - datato 5 maggio - mostra un livello di determinazione e aggressività degli attaccanti superiore a quanto ritenuto fino ad oggi, insieme a una preoccupante vulnerabilità dello stesso sistema elettorale nazionale. Inoltre attribuisce l’origine degli attacchi al GRU, i servizi militari russi, rinforzando le precedenti accuse rivolte dagli americani nei confronti di Mosca, ritenuta responsabile della tentata compromissione della campagna presidenziale, attraverso un mix di propaganda, hacking e leaking.

Chi ha passato il documento

Secondo: oltre al documento in sé, c’è una storia parallela che si è sviluppata quasi in contemporanea alla sua pubblicazione. Si tratta dell’arresto di una donna, Reality Leigh Winner, sospettata di aver inviato (per posta e anonimamente) proprio quel documento della Nsa a The Intercept (nei documenti giudiziari non si cita esplicitamente The Intercept; tuttavia, oltre a molti dettagli coincidenti, un’altra testata, NBC News, ha confermato che l’arresto della donna sarebbe legato allo scoop di The Intercept).

L’arresto è avvenuto silenziosamente già sabato; the Intercept ha pubblicato lunedì sera; un’ora dopo la pubblicazione, il Dipartimento di Giustizia annunciava l’incriminazione della Winner. Torneremo poi sul caso ma va subito detto che l’arresto ha suscitato varie polemiche, anche nei confronti di The Intercept – la testata fondata da Glenn Greenwald, uno dei reporter che ha lavorato sui documenti di Edward Snowden - per non aver fatto abbastanza per proteggere la fonte. La questione è dibattuta, ma il dato principale è che, stando a quanto emerso dall’ordinanza di custodia cautelare (in particolare dall’affidavità) collegato), Winner avrebbe fatto alcuni grossolani errori che prima o poi l’avrebbero probabilmente fatta identificare.

Gli attacchi al sistema di registrazione degli elettori

Ma torniamo al documento della Nsa: cosa dice esattamente? Che hacker di Stato russi avrebbero compromesso almeno un venditore di soluzioni software/hardware usate nelle elezioni. Che avrebbero tentato di infettare i computer di un centinaio di funzionari governativi locali (ma non viene detto se ci siano o meno riusciti). Che gli hacker in questione sarebbero parte di un gruppo dedicato specificamente a interferire nelle elezioni negli Usa e in altri Paesi.

Attacco in due fasi di phishing

L’attacco si compone di due parti. Inizialmente, intorno allo scorso agosto, gli hacker inviano delle mail di phishing ai dipendenti di un’azienda che fornisce soluzioni hardware e software per le elezioni e ne compromettono gli account. Secondo the Intercept sarebbe un’azienda che si trova in Florida, VR Systems, che rifornisce otto Stati con servizi e apparecchiature usate in alcune parti del sistema elettorale. Va sottolineato, come notano alcuni esperti, ad esempio la giornalista Kim Zetter, che i prodotti di questa azienda non riguardano il conteggio dei voti ma la registrazione degli elettori e i relativi elenchi. Ma lo specifica anche The Intercept: “VR Systems non vende le macchine touchscreen usate per votare bensì il software e gli apparecchi usati per verificare e catalogare chi può votare” quando si presenta qualcuno al seggio. Si tratta di servizi comunque delicati perché la loro compromissione potrebbe interferire con il regolare svolgimento delle elezioni, ad esempio impedendo di votare ad elettori che ne avrebbero diritto o creando caos e ritardi.

Nella seconda parte, ovvero tra ottobre e novembre, gli hacker - usando informazioni ottenute dalla prima violazione e fingendo di essere l’azienda compromessa - inviano una nuova ondata di mail di phishing mirato (spear phishing) a un centinaio di funzionali locali coinvolti nella gestione del processo di registrazione degli elettori. Le mail veicolavano trojan per infettare e controllare da remoto i computer delle vittime. Questi sono i due elementi più interessanti del documento, anche se gli attaccanti avrebbero anche tentato di impersonare altri servizi elettorali, ad esempio una seconda azienda del settore.

Chi è Reality Winner

Ma lo scoop di The Intercept ha fatto emergere una storia parallela. Quella della persona che avrebbe passato il documento top secret. Reality Leigh Winner è una 25enne che lavorava per conto della Pluribus International in una agenzia governativa in Georgia, e che aveva accesso a documenti top secret. La donna - che ha un passato nella Air Force, che è una linguista specializzata su Afganistan e Pakistan e che dalla sua presenza sui social sembra essere molto critica verso l’attuale amministrazione Usa - avrebbe stampato il documento e lo avrebbe inviato in una busta anonima a The Intercept. Che poi lo avrebbe in qualche modo mostrato a una agenzia americana per verificarlo. Secondo l’affidavit, l’agenzia si sarebbe accorta (dalle tracce di piegature) del fatto che il documento fuoriuscito era stato probabilmente stampato e inviato per posta. A quel punto avrebbe fatto una indagine interna per capire chi aveva stampato il documento individuando solo sei sospettati. (A questo proposito ci sono varie analisi tecniche fatte da alcuni esperti indipendenti che mostrano come dal pdf del documento, che è una scansione della copia cartacea, sia possibile risalire alla stampante).

Dopo aver analizzato i computer dei sei sospettati la Nsa ha scoperto che Winner aveva avuto addirittura un qualche contatto via email con The Intercept dalla sua postazione di lavoro. La giovane contractor avrebbe ammesso tutto e ora rischia molti anni di carcere.