sabato 1 aprile 2017

Attacco ad Hacking Team, sbuca una pista spagnola

lastampa.it
carola frediani

Il gruppo indagato per l’incursione al sindacato di polizia catalano ora è sospettato anche del colpo al produttore italiano di spyware, rivelano gli investigatori


L’attacco informatico che colpì Hacking Team nel 2015 potrebbe essere stato condotto da Barcellona. Da un gruppo di catalani e spagnoli fortemente politicizzati e responsabili di altre incursioni digitali e pubblicazioni di dati, incluse quelle contro il sindacato di polizia della Catalogna, Mossos D’Esquadras (SME).

L’ipotesi investigativa arriva direttamente da Barcellona. Secondo la testata locale Ara, gli investigatori catalani ora sospettano che il gruppo di quattro persone indagate lo scorso 31 gennaio per l’attacco informatico al sindacato di polizia abbia anche colpito in precedenza Hacking Team, usando lo pseudonimo online e account Twitter Phineas Fisher.

Si tratterebbe di una novità perché, quando i quattro indagati erano stati fermati a fine gennaio, la polizia aveva contestato loro solo l’attacco al sindacato senza esprimersi sugli altri, che erano pure stati rivendicati dall’account Twitter Phineas Fisher (poi HackBack), lo stesso usato per la diffusione dei dati sul Mossos.

Ora però fonti investigative citate da Ara sostengono che per la polizia locale - che starebbe collaborando via Interpol con quella italiana - il gruppo di indagati potrebbe essere responsabile anche dell’attacco al noto produttore italiano di spyware Hacking Team, avvenuto nel 2015 col rilascio online di 400 GB di dati. Ara sostiene anche che la polizia italiana stesse già lavorando sull’idea che l’origine dell’attacco fosse in Spagna.

La polizia catalana stima che il gruppo, oltre ai quattro indagati, possa comprendere ancora due o tre persone. E che avrebbe base a Barcellona, con forti contatti coi movimenti sociali «antisistema» del territorio. Il blitz di fine gennaio aveva individuato un trentatreenne di Salamanca e una coppia (di 31 e 35 anni) di Barcellona. Più un quarto indagato poco dopo, sempre in Spagna. Tuttavia Phineas Fisher/Hack Back - cioè l’identità che su Twitter aveva diffuso e/o rivendicato i leak di vari attacchi informatici, in particolare contro l’azienda di spyware GammaGroup nel 2014; contro Hacking Team nel 2015; contro il sindacato di polizia catalano nel 2016 - aveva continuato a scrivere ai giornalisti con il suo indirizzo mail anche dopo il blitz.

In quei giorni, via mail, alla Stampa Phineas aveva spiegato di aver cancellato i suoi profili social alcune settimane prima per troppo stress e rigetto verso l’eccesso di visibilità, e di essere tornato online solo perché la polizia spagnola diceva di averlo arrestato. Ovviamente il fatto che Phineas fosse ancora comodamente in possesso del suo indirizzo mail aveva fatto sorgere dei dubbi sul collegamento fra gli indagati e lo stesso Phineas. Ma poteva essere compatibile anche con l’idea che dietro a quello pseudonimo non ci fosse una sola persona bensì un gruppo, di cui alcuni membri ancora non individuati. 

Ora gli investigatori starebbero facendo anche una analisi linguistica dei testi, delle rivendicazioni e delle comunicazioni di Phineas. Va detto che dal punto di vista ideologico l’identità di Phineas è sempre apparsa molto coesa e articolata in tutti i suoi testi. Dal punto di vista linguistico, mostrava una perfetta padronanza di inglese, spagnolo e catalano. E culturalmente, sembrava avere un forte interesse verso il mondo latinoamericano.

Come avevamo ricostruito in precedenza su La Stampa, Phineas Fisher era sbucato su Twitter nell’estate 2014, con un account dedicato apposta alla diffusione di 40 GB di materiali sottratti a Gamma Group, azienda che vendeva FinFisher, una suite di software di intrusione e sorveglianza, a vari Paesi (e da qui il suo pseudonimo Phineas Fisher, nome utente @GammagroupPR, chiuso infine a inizio gennaio 2017). 

Poi era subentrata una fase di silenzio, interrotta quando era stata attaccata Hacking Team. Allora, lo stesso profilo Twitter dell’azienda italiana, mentre era in mano agli attaccanti, aveva rilanciato il tweet di Phineas che rivendicava l’azione. Account che poi nell’aprile 2016 aveva anche pubblicato un presunto resoconto sull’attacco. Da quel momento comunque il profilo Twitter cambia nome e si fa chiamare HackBack. Diventa più esplicito politicamente, aumentano tweet e versioni in spagnolo delle sue «guide». Rilascia interviste. Ma intanto le indagini avanzano. E, intorno al 10 gennaio 2017, l’account di Phineas/HackBack scompare, viene chiuso. Poche settimane dopo, arriva il blitz.