Oltre alle inquietanti immagini di una pistola e di una bomba, la minaccia è anche scritta, seppur con una sinossi approssimativa: “Domani si prepara un grande progetto di attacco in nome di Daech. Il piano prevede di uccidere tutti i non cristiani sgozzandoli“. Questo messaggio è comparso il 13 e 14 aprile sullo spazio di lavoro digitale di un liceo in Francia, il Gustave Flaubert di Rouen (Seine-Mauret). Alla luce della persistente minaccia terroristica, l’allarme è stato preso sul serio, infatti, la scuola è stata chiusa in via precauzionale per due giorni, con l’intervento di polizia e artificieri. Ma non è stata trovata traccia di un possibile jihadista armato. Il 17 aprile qualcosa di simile è accaduto al liceo Jules-Siegfried di Le Havre, ma in questo caso si evocava l’imminenza di un omicidio con kalashnikov. Questa nuova ondata di minacce di attentati nelle scuole hanno causato un clima di terrore e paralisi del sistema scolastico che ha spinto la procura di Parigi, nell’ambito della sua competenza nazionale per la lotta alla criminalità informatica, di raggruppare tutti i fatti in un’unica indagine.
Infatti, tra settembre 2022 e febbraio 2023, non meno di 40 licei e scuole superiori in tutta la Francia sono stati colpiti tramite il sistema di lavoro digitale (ENT). Le indagini hanno portato a tre adolescenti di 14, 15 e 17 anni, accusati il 2 febbraio, come ricostruito da Le Parisien, di “minacce di morte” e, per due di loro, di “accesso fraudolento e manutenzione di un sistema informatico“; due di loro anche di “accesso fraudolento e manutenzione di un sistema di elaborazione dati automatizzato implementato dallo Stato” e “introduzione fraudolenta di dati in tale sistema“. Ma l’intero gruppo di hacker non è stato messo fuori gioco.
Minacce di attentati Isis a scuola… ma erano “scherzi”
Il sospetto della polizia, secondo quanto rivelato da una fonte vicina alle indagini citata da Le Parisien, è che le nuove minacce provengano sempre dalla stessa rete, oppure si tratta di imitatori, collegati o meno. Ci sono forti somiglianze con gli scritti presumibilmente jihadisti e nel modus operandi tecnico, ma per il momento si ritiene che non ci sia una vera minaccia, ma si tratti di scherzi sofisticati di pessimo gusto. “Non volevo che si arrivasse a tanto“, ha dichiarato uno degli studenti arrestati. Sì scherzi, a quanto pare, però sofisticati appunto: perché la polizia dell’Ufficio centrale per la lotta alla criminalità legata alle tecnologie dell’informazione e della comunicazione (OCLCTIC) ha rilevato che si tratta di attacchi sofisticati, visto che parliamo di uno strumento statale hackerato. L’ENT è, infatti, un portale Internet accessibile ad alunni, genitori e insegnanti tramite identificatori. Una piattaforma che contiene tutto ciò che riguarda la vita scolastica dell’alunno. Quindi, gli hacker si sono introdotti in questo spazio sicuro violando gli account degli alunni, che hanno ricevuto sulle loro caselle di posta la stessa minaccia di attacco a tutta la scuola: “Come Salem Aleykoum, […] all’inizio dell’anno scolastico, farò saltare in aria tutta la scuola. Alle 10.53 decapiterò tutti i kuffar per servire Allah l’Onnipotente che governa il mondo. Scrivo questo per cercare accoliti che mi aiutino a realizzare questo progetto, miei fratelli musulmani […]“. Al termine del messaggio viene citato un versetto del Corano che legittimerebbe l’uccisione dei non credenti per dare credibilità all’ispirazione jihadista.
Come hanno fatto ad hackerare la piattaforma? Gli investigatori si sono resi conto che la maggior parte dei sospettati giocava a videogiochi online. Tutti loro avevano guardato negli ultimi mesi dei video su YouTube che davano consigli su come migliorare le proprie prestazioni, cioè installando un software a cui si accede tramite un link presente nel filmato. In realtà, è un Trojan, un programma maligno chiamato Redline, che cattura i dati dell’utente: password, identità, file privati, numeri di carte di credito, portafogli di criptovalute… Peraltro, gli autori delle minacce avevano avuto cura di lasciare un link a un gruppo di discussione sul social network Discord, molto popolare tra la comunità dei videogiocatori, in modo da poter essere contattati se si voleva partecipare all’attacco. Ma era un pretesto per attirare vittime, divertirsi seminando il caos e seguire l’andamento degli scherzi in tempo reale con un pubblico virtuale. Questo gruppo di discussione, chiamato “Bombe“, è stato presto reso inattivo, ma gli investigatori hanno stabilito che diversi pseudonimi avevano partecipato alla sua creazione o amministrazione.
CHI SONO I TRE GIOVANI SOSPETTATI
Tra questi un 14enne che frequenta la terza media, scappato da casa dopo che il padre, un informatico, aveva scoperto diversi telefoni cellulari nella sua stanza, suggerendo che stesse facendo phishing, ovvero estorcendo dati personali sotto forma di messaggi ufficiali di istituzioni o aziende. Il ragazzino è descritto come un piccolo genio dell’informatica, avendo iniziato a imparare a codificare all’età di 9 anni. “Trovo che il sistema scolastico sia marcio“, ha dichiarato alla polizia quando è stato fermato. Potrebbe essere questo il motivo per il quale ha deciso di “attaccare” le scuole? Agli inquirenti ha ammesso di aver preso parte alle discussioni preparatorie del gruppo “Bombe“, ma ha negato di aver partecipato all’invio di minacce di attacco. Uno dei suoi complici lo ha definito come colui che ha avuto l’idea di infettare i computer dei giocatori per rubare i loro dati personali e lanciare minacce bomba. Un altro sospettato, di 16 anni, ha ammesso il suo coinvolgimento, spiegando di averlo fatto per noia. “Fondamentalmente, pensavo che la mia vita facesse schifo. Avevo bisogno di adrenalina, volevo averne un po’“, ha detto agli inquirenti, precisando di non essere coinvolto nella cattura degli identificativi ENT degli studenti: “Non ho hackerato, ma ho usato gli account violati […]. Non volevo andare oltre le minacce. Avevo troppa paura della portata della cosa. I media ne parlavano come di qualcosa di grave“. Il terzo sospettato, di 17 anni, invece è stato rintracciato perché ha avuto la negligenza di associare il suo vero indirizzo come strumento di recupero della password. Ma le indagini proseguono sugli altri membri di questa rete dai molti pseudonimi e dalle tecniche di occultamento digitale.