Argomenti correlati
CybersecuritySorveglianza
Tardo pomeriggio del 25 gennaio. Ricevo una mail da un mittente che non conosco. Nell’indirizzo ci sono nome e cognome, ma contano poco: è stato creato con Proton, uno dei servizi di posta elettronica criptata che garantiscono la tutela della privacy. Spesso a utilizzarlo sono i whistleblower, fonti disposte a rivelare informazioni a patto però di rimanere anonime, per timore di ritorsioni.
Anche in questo caso, la persona che scrive si presenta come qualcuno che potrebbe dirmi tanto, tra concorsi ritagliati su misura, stipendi innalzati, favoritismi, poca trasparenza, coperture politiche e pure qualche confidenza sui rapporti, non soltanto professionali, che legherebbero alcuni dipendenti dell’Agenzia spaziale italiana (Asi).
Quando si viene contattati da una fonte non è mai semplice stabilire se sia spinta da fiducia nel ruolo del giornalismo oppure, più pragmaticamente, da interessi personali. Ma non fa differenza: il compito del giornalista è quello di verificare e valutare la veridicità e l’interesse pubblico delle notizie.
In breve
- Il pomeriggio del 25 gennaio, il giornalista di IrpiMedia e collaboratore del Domani Simone Olivelli riceve un’email da una potenziale fonte. Inizia uno scambio di messaggi, in cui questa dimostra di avere informazioni di prima mano dall’Agenzia spaziale italiana (Asi)
- L’Asi è un ente governativo importante. Attua le strategie del Comint, un comitato interministeriale che si occupa di aerospazio presieduto dal ministro Adolfo Urso. L’agenzia collabora inoltre con i servizi segreti. Le informazioni ottenute sono verificabili e sembrano interessanti
- Dopo oltre due settimane di conversazioni, Olivelli riceve prima due screenshot illeggibili di un account LinkedIn, poi, alla richiesta di un nuovo invio del materiale, un link che sembra diretto a una pagina del social media. Solo che il nome del sito scritto nell’indirizzo ha una “i” maiuscola invece della “elle”
- Analizzando il link, si scopre che il dominio su cui si atterra, dopo vari giri, è ritenuto sospetto da varie società di cybersecurity. Spesso in questi link si trovano software malevoli che hanno lo scopo di infettare computer o telefoni. Quindi l’episodio si configura come un insistito caso di phishing, una truffa informatica in cui l’amo non viene però lanciato a caso bensì da una fonte che ha prima guadagnato la fiducia del giornalista
- L’episodio dimostra come i dati in mano ai giornalisti siano sempre più oggetto di interessi, sia di organi inquirenti sia di criminali. Molto spesso è però pressoché impossibile stabilire chi sia il responsabile degli attacchi e quale sia il movente
Tutto ciò, però, quando si tratta di una normale segnalazione. Quel che mi è successo in questi mesi si è rivelato infatti qualcosa di diverso. Un tentativo di conquistare la mia fiducia, condividendo informazioni e dettagli puntuali, per farmi abbassare la guardia e – infine – colpirmi con un attacco informatico che avrebbe potuto compromettere i miei dispositivi, le informazioni che custodisco e l’identità delle altre mie fonti.
IrpiMedia ha deciso di rendere noti i fatti perché in questi anni i tentativi di condizionamento della libertà di stampa in Italia – dalle intimidazioni frontali agli attacchi legali, fino allo spionaggio – sono stati tanti. Il clima attorno ai media è pesante e, per questo, accendere una luce su metodi poco ortodossi e lesivi del ruolo di garanzia del mondo dell’informazione è il modo migliore per alzare le difese. Personali e di categoria.
Segnalazioni sull’Agenzia spaziale italiana
Ente governativo, l’Asi si occupa di attuare le strategie definite dal Comint, il comitato interministeriale per le politiche relative allo spazio e alla ricerca aerospaziale presieduto dal ministro delle Imprese Adolfo Urso. Opera dal quartier generale di Roma e dalle sedi di Matera, Cagliari e Malindi, in Kenya.
La fonte ha dimostrato di essere a conoscenza di ciò che accade all’interno dell’Asi, a prescindere dalla sua appartenenza o meno all’agenzia. Quest’ultima rappresenta uno dei punti nevralgici – soprattutto oggi, con la crisi geopolitica in atto – della sicurezza nazionale ed è un ente che collabora da vicino con gli apparati di intelligence.
Le segnalazioni, arrivate nel corso di più settimane, contengono informazioni di diverso tipo, e in più di un caso trovano riscontro. Ci sono riferimenti ad accadimenti specifici e indicazioni sulla lettura da dare a scelte fatte dai vertici dell’Agenzia.
Chi mi ha scritto ha dimostrato di essere a conoscenza di ciò che avviene all’interno degli uffici e di avere non solo il bisogno di denunciare, ma anche il vivo desiderio che qualcosa venisse pubblicato. A volte, ho avuto la sensazione che non importasse esattamente cosa sarebbe stato messo in pagina, quel che contava è che si accendessero i riflettori sull’Asi.
Lotte intestine? Genuina denuncia di presunte storture? Difficile dire quale fosse il motivo all’origine delle confidenze. Probabilmente lo sarebbe stato anche nel caso in cui avessimo deciso di approfondire. Come detto, a contare sarebbe stata soltanto la capacità di appurare i fatti e pesarli sulla bilancia dell’interesse pubblico.
Fiducia e typosquatting
La possibilità di avviare una normale inchiesta giornalistica si è incrinata a metà febbraio. Ancora indeciso su come utilizzare gli spunti forniti dalla fonte, ho scorso il nuovo elenco di nomi e vicende che mi veniva sottoposto con – lo ammetto – un livello di attenzione attenuato dal senso di confidenza derivato dai numerosi scambi che avevano preceduto quel momento.
In particolare, in una mail mi sono stati proposti due screenshot di account LinkedIn che avrei dovuto esaminare; tuttavia, i file non si aprivano correttamente, mostrando invece immagini a bande regolari dai colori sgargianti. «Credo che sia Proton che taglia la parte meta dei file», mi sento rispondere.
Non potendo vedere correttamente le immagini, ho chiesto aiuto al mio interlocutore, ricevendo in risposta un’altra mail con il testo di uno dei post pubblicati sul social network.
Uno di questi conteneva un link. È stato quando vi ho cliccato sopra che il mio computer ha segnalato il rischio di un’infezione da software malevolo. Quando ho fatto presente ciò che era successo, la fonte ha spostato il discorso su altro.
A quel punto, insieme ai colleghi ho cercato di capire cosa fosse accaduto e la sorpresa non si è fatta attendere. L’url – nello specifico uno short url, la forma contratta degli indirizzi web – era soltanto in apparenza uguale a quello originale: al posto della l (elle minuscola) che comunemente compare negli short url di Linkedin con la formula lnkd.it c’era infatti una I (i maiuscola).
Nulla che non si potesse notare, ma le due settimane di conversazioni mi avevano indotto a riporre fiducia nella fonte – per i documenti interni forniti e le informazioni che ha dimostrato di possedere – e, di conseguenza, fatto abbassare le barriere.
Di fatto ero incappato in quello che viene definito typosquatting, che da definizione del ministero della Giustizia è un reato che consiste nell’«occupazione abusiva di spazi virtuali tramite errore di battitura».
Si tratta quindi di una tecnica con la quale un cybercriminale dirotta traffico su un sito utilizzando un indirizzo url molto simile a quello di altri conosciuti e frequentati, sfruttando comuni errori di digitazione. Può capitare che questi siti ingannevoli siano utilizzati anche per veicolare dei malware, cioè programmi il cui scopo è accedere illegalmente a dispositivi.
Analizzando il link corrotto risulta che, una volta cliccato, lo stesso rimbalza su indirizzi Ip diversi, approdando su un dominio registrato da qualche anno e già segnalato dalle società di cybersecurity AdminusLabs, Crdf, Fortinet, alphaMountain.ai, CyRadar, Seclookup come sospetto.
Dalla diagnosi risulta inoltre che la mail in sé non contenesse alcun pericolo, di conseguenza sarebbe stato impossibile per i sistemi di difesa del computer intercettarlo.
Le minacce al giornalismo sono sempre più numerose. Con il tuo aiuto possiamo difenderci meglio
Regala l’adesione a MyIrpi+
e ricevi in omaggio la nostra T-shirt IrpiMedia.
Diventa una fonte.
Con IrpiLeaks puoi comunicare con noi in sicurezza.
Ma anche questo è comune: ogni attacco si compone di una serie di passaggi, volti per lo più ad aggirare le difese psicologiche del bersaglio, inducendolo a compiere gesti quotidiani e banali che infine porteranno alla compromissione vera e propria.
Quali moventi, quanti obiettivi?
Ci sono varie ragioni per le quali si cerca di condurre un attacco di questo tipo. Metodi simili sono utilizzati dalle procure, quando cercano di acquisire il controllo da remoto del dispositivo di un indagato, o dai servizi nelle attività di intelligence.
Talvolta gli autori sono invece gruppi dediti al dossieraggio oppure lupi solitari. Sia le forze dell’ordine sia i criminali cercano di acquisire sempre più dati perché i sistemi di intelligenza artificiale hanno aumentato esponenzialmente la capacità di elaborarli per trarne informazioni utili.
Questo accresce prima di tutto il valore economico dei dati, che varia anche a seconda della loro natura. Per questo motivo i giornalisti, che per professione cercano informazioni e cercano dati attraverso cui confermarle, sono diventati un bersaglio di attacchi simili.
Realtà come Palantir, la discussa società tecnologica che fornisce strumenti di intelligence a tutto l’Occidente, vive esattamente di questo: capacità di elaborazione di enormi quantità di dati. Lo stesso fanno, in modo più rudimentale, le aziende che offrono servizi di raccolta di informazioni o gli investigatori privati.
Poi ci sono gli attori individuali: l’Italia conosce bene l’esempio di Carmelo Miano, che ha insidiato le infrastrutture del ministero della Giustizia probabilmente per anni, come già ricostruito da IrpiMedia.
In qualche modo, anche il giornalismo fa parte di questa corsa alle informazioni, con i nostri archivi e rubriche telefoniche. La differenza sta nei limiti imposti e nella soglia tra il lecito e l’illecito.
Un’altra vicenda eclatante avvenuta in Italia è l’attacco tramite spyware sui dispositivi dei giornalisti Ciro Pellegrino e Francesco Cancellato di Fanpage, oltre a Roberto D’Agostino di Dagospia, vittime di una tecnologia tanto sofisticata da essere disponibile solo per i servizi segreti.
In quella circostanza si conosce la caratura dell’attaccante, pur non essendo nota l’identità, dal momento che l’intelligence italiana nega di aver avuto qualcosa a che fare con l’impiego di queste complesse armi digitali nei confronti del mondo dell’informazione. Armi che invece i servizi italiani hanno ammesso di avere usato in altre circostanze, come gli attivisti della ong Mediterranea Saving Humans.
Anche nel nostro caso non sappiamo quale sia la verità. Chi ci ha attaccato realmente? Perché? Per cercare queste risposte, servirebbe almeno aprire una lunga e costosa indagine, dagli esiti incerti.
Limitandosi ai fatti, è certo che tanto la durata dell’interazione, andata avanti anche dopo la scoperta del link corrotto, quanto il fatto che la fonte abbia negato qualsiasi possibile tentativo di compromissione portano a escludere che si sia trattato di un comune tentativo di phishing.
Questa tipologia di truffa informatica, infatti, di solito mira a rubare delle credenziali. Nelle sue forme più banali, un attacco di phishing colpisce nel mucchio; in altri, come questo, il tentativo di infezione è costruito con impegno e pervicacia.
Come mettersi al sicuro: il Manualetto
Qualunque sia la reale storia dietro l’attacco, il tema è sempre più centrale nel dibattito pubblico e nella realtà di giornalisti e attivisti, che non sempre possono contare su una redazione e sul supporto tecnico necessario ad affrontare queste sfide.
È proprio questo il perimetro in cui è maturata la decisione da parte di Guerre di Rete, testata giornalistica specializzata nell’informazione sul mondo cibernetico, di produrre e pubblicare un manuale di sicurezza digitale, a cui ha contribuito anche Raffaele Angius di IrpiMedia, nel quale è possibile reperire informazioni e strategie con le quali mettersi al sicuro in un mondo di minacce sempre più diffuse e, al contempo, sempre più accessibili per i potenziali attaccanti.
Tutti aspetti che stanno dentro il grande tema della sorveglianza di cui IrpiMedia da anni si occupa, avendo anche documentato i sistemi allestiti per ostacolare la pubblicazione, diffusione e permanenza delle notizie sul web, come nella storia che ha per protagonista la società Eliminalia.
Allo stesso tempo, non si può escludere che a spingere la fonte a contattarmi possa essere stata una pluralità di moventi, tra cui quello di parlare – e far parlare, una volta pubblicate le notizie – dell’Agenzia spaziale italiana e degli attuali equilibri ai vertici.
Il tentativo con Domani
A rendere ulteriormente nebulosa questa storia è infine un particolare: nella prima mail, la fonte ha spiegato di avere precedentemente contattato una cronista del Domani, quotidiano con cui collaboro e con cui ho firmato, nel 2025, alcuni articoli sugli scandali giudiziari che hanno coinvolto i vertici di Fratelli d’Italia in Sicilia.
Il contatto – avvenuto via mail, ma non tramite Proton – è stato confermato. Due anni fa, il Domani è finito al centro dell’attenzione per il coinvolgimento di alcuni giornalisti nell’indagine sul cosiddetto caso Striano, il tenente della guardia finanza in servizio alla Direzione nazionale antimafia accusato di effettuare accessi abusivi al sistema informatico.
L’indagine è iniziata dopo un esposto del ministro della Difesa Guido Crosetto, con cui chiedeva alla procura di Roma di indagare sulle fonti delle notizie pubblicate sul proprio conto.
Domani a inizio marzo ha rivelato che Crosetto, a indagine aperta e per il tramite del proprio legale, ha depositato una memoria difensiva per sollecitare la procura a indagare in maniera più approfondita sui giornalisti e individuando nel giornalismo uno strumento di guerra politica.
Le inchieste e gli eventi di IrpiMedia sono anche su WhatsApp. Clicca qui per iscriverti e restare sempre aggiornat*. Ricordati di scegliere “Iscriviti” e di attivare le notifiche.