L’8 aprile 2015 il media francofono TV5 Monde lancia “TV5 Monde Style HD”, un canale dedicato all’arte di vivere alla francese. Il ministro degli Esteri Laurent Fabius fa visita nel tardo pomeriggio ai locali del canale, in avenue Wagram, a Parigi. Sottotitolato in inglese, arabo e mandarino e accessibile a cento milioni di famiglie, questo nuovo canale, dice il ministro, contribuirà alla “diffusione della Francia” e della sua “cultura, paesaggi, grandi spettacoli, gastronomia”. Alle 20:58 diversi account Twitter e Facebook del canale assumono improvvisamente i colori di un organo jihadista misterioso, il “Cybercaliffato”. La foto del profilo viene sostituita da quella di un uomo con la testa avvolta in un chèche, una bandiera dell’organizzazione Stato islamico che copre metà dell’immagine e un testo: “Je suis IS”, ripreso dall’acronimo inglese dell’organizzazione terroristica, ISIS.



I messaggi di sostegno allo Stato islamico si moltiplicano, sotto gli occhi dei quasi due milioni di abbonati del canale sui social network. “Hollande, hai commesso un errore imperdonabile decidendo di inviare le tue truppe (…) in questa guerra che non serve a nulla”, proseguono, prima di aggiungere: “È per questo che i francesi hanno ricevuto i regali di gennaio a Charlie Hebdo e all’Hyper Cacher”. Cinquanta minuti dopo, la situazione diventa propriamente incubo per TV5 Monde. Gli hacker, che hanno penetrato profondamente il canale, hanno raggiunto i multiplexer, quei dispositivi complessi che gestiscono e indirizzano i pesanti flussi video. Distruggono il software che li fa funzionare e tutte le reti di TV5 Monde si interrompono. Sono le 21:48 a Parigi e sui cinque continenti, nei 200 Paesi in cui trasmette il canale, le decine di milioni di telespettatori del canale contemplano uno schermo nero.



Alle 22:40 la messaggistica interna viene disattivata, rendendo impossibile qualsiasi comunicazione. Poco prima di mezzanotte, i team di TV5 Monde prendono l’unica decisione possibile: disconnettono completamente la rete del canale e si isolano dal resto del mondo. Ovunque nei locali, gli schermi che scintillavano qualche ora prima davanti agli occhi del ministro ora sono neri.

Nella torre Mercure, sede dell’ANSSI, non si dorme mai. Da quell’edificio si veglia ogni giorno e ogni notte dell’anno sui network dello Stato, pronti a spegnere qualsiasi inizio d’incendio. All’altro capo del filo c’è TV5 Monde, che chiama i cyber-soccorritori dello Stato. Il canale non fa parte degli organismi di cui l’ANSSI si occupa. Ma l’episodio è inedito, già reso pubblico, e colpisce una delle “voci della Francia” nel mondo. All’alba viene presa la decisione di inviare i migliori esperti dello Stato al suo capezzale. Rapidamente, si mettono al lavoro. È la prima volta che intervengono per un attacco distruttivo e non hanno mai affrontato una tale pressione mediatica. Gli agenti dell’ANSSI devono quindi sigillare le porte vetrate della loro sala di crisi, allestita per l’occasione, per non essere visti da nessuno, evitare le telecamere nei corridoi e persino rifugiarsi sotto il loro tavolo per nascondere i loro schermi quando gli intrusi irrompono nella sala.



La Francia trema ancora per gli attentati di Charlie Hebdo e dell’Hyper Cacher, avvenuti tre mesi prima. La minaccia terroristica è alta, la paura di nuovi attacchi onnipresente. L’Agence France-Presse parla di un'”attacco cibernetico dell’IS” mentre Le Figaro pubblica una lunga intervista di analisi della “guerra mediatica di Daesh”. Tutti sono convinti che TV5 Monde sia stata vittima dei jihadisti. Anche il capo della Direzione generale della sicurezza interna, Patrick Calvar, vede dietro l’attacco la mano del “cyberteam di ISIS” e considera la rivendicazione di “grande credibilità”.

Tuttavia, gli esperti di terrorismo jihadista mettono rapidamente in dubbio i legami tra gli hacker e l’organizzazione con sede in Iraq e Siria: l’IS non ha mai fatto riferimento a questo “cybercaliffato”, parte dei loro messaggi in arabo sono scritti da persone che non parlano la lingua e la loro referenza a “ISIS” è sorprendente, dato che l’IS ha abbandonato questa denominazione.

Sul fronte tecnico, i primi elementi gettano altri dubbi. I segugi dell’ANSSI hanno identificato nelle reti di TV5 Monde tracce di APT28. Questo corrobora le analisi dell’azienda specializzata FireEye che, diverse settimane prima dell’attacco ha visto questi hacker russi prendere di mira il network di TV5 Monde. APT28 è il nome dato da parte dell’industria della sicurezza informatica a un gruppo che è uno dei principali autori di guai nel cyberspazio. Rapidamente, hanno concluso che gli hacker lavoravano per il Cremlino, tanto le loro azioni si allineavano perfettamente con gli interessi geostrategici della Russia: hanno preso di mira l’esercito, la difesa e la diplomazia di quasi tutti i Paesi rivali, il panorama politico di molti Paesi membri della NATO (in particolare il Parlamento tedesco), le agenzie antidoping mondiali (che hanno reso difficile la vita agli atleti russi, vetrina del Cremlino) e decine di giornalisti occidentali (che lavoravano sulla Russia).

Il loro principale colpo d’arma è avvenuto nel 2016, quando hanno preso di mira le elezioni americane. I membri di APT28 sono militari. Appartengono più precisamente all’unità 26165 del GRU, il servizio di intelligence dello stato maggiore dell’esercito russo. I loro locali sono situati al numero 20 di Komsomolsky Prospekt, a sud-ovest di Mosca. È in questa base militare, stabilita sul sito di una vecchia fabbrica tessile, che opera l’unità. Al momento dell’attacco a TV5 Monde, il loro capo si chiama Boris Netyksho. Quest’uomo, che ha studiato e fatto ricerca in matematica, è nato l’8 settembre 1966.

I metodi dell’unità 26165 sono ben documentati. Il loro obiettivo principale più che rimanere discreti è di compiere la loro missione a tutti i costi. Non importa se ciò significa essere scoperti. Nel corso degli anni, si sono guadagnati una reputazione formidabile: feroci, ostinati, senza limiti, a volte sconsiderati e spericolati. Quando non riescono a raggiungere i loro obiettivi dai loro baraccamenti moscoviti si spostano. Come nel 2018. Il 10 aprile quattro cittadini russi arrivano all’aeroporto internazionale di Amsterdam provenienti da Mosca. Nei corridoi dell’aeroporto, con giacche e valigie a rotelle, si potrebbe pensare di vedere un piccolo gruppo di uomini d’affari.

Si tratta in realtà di due ufficiali del GRU specializzati in operazioni cibernetiche, Aleksei Morenets ed Evgeniy Serebriakov, accompagnati da due colleghi con profilo di spie più tradizionali. Alloggiano all’hotel Marriott dell’Aia e parcheggiano la loro Citroën C3 a noleggio nel parcheggio dell’hotel. A due passi, dall’altra parte della recinzione, i locali semicircolari dell’Organizzazione per la proibizione delle armi chimiche. Nel bagagliaio della loro auto, attrezzatura per hackerare la rete Wi-Fi dell’organizzazione. Il giorno prima, l’OIAC aveva confermato in un rapporto che l’agente neurotossico usato a Salisbury contro l’ex doppio agente Sergei Skripal e sua figlia Yulia era il Novichok, un agente nervino di concezione sovietica. Con grande dispiacere di Mosca.

I danni materiali dell’attacco sono reali, ma limitati a TV5 Monde. Il vero obiettivo non era il canale televisivo ma la mente dei francesi: ravvivare nella popolazione la paura degli attacchi terroristici. E questo è stato raggiunto non tanto grazie all’attacco stesso – l’interruzione dei programmi e la diffusione di contenuti jihadisti non sono durate a lungo – ma per l’eco dato all’attacco da politici e media. È una delle strategie della Russia: utilizzare gli strumenti di una società aperta, i media e il dibattito democratico, contro di essa.

— — — —

Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.

SOSTIENICI. DONA ORA CLICCANDO QUI