“È ancora possibile attaccare il sistema e farla franca"
(Phineas Fisher/HackBack)

La prima apparizione è stata il 3 agosto 2014. Su Twitter sbuca un account, @GammaGroupPR. Il riferimento (che allora pochissimi potevano cogliere) è a una azienda anglotedesca, GammaGroup, che vende uno spyware, un software spia, usato dai governi per infettare e intercettare tutto ciò che passa su uno smartphone o un computer di un indagato. All’epoca si tratta di un settore - quello degli spyware o trojan a fini di indagine, in Italia detti captatori informatici - ancora poco noto e discusso, anche se da un paio di anni erano iniziati a uscire alcuni studi da parte di ricercatori e attivisti proprio sulle aziende che vendevano tali strumenti, e sui loro clienti, inclusi Stati autoritari e accusati di violare i diritti umani. GammaGroup produceva una suite di spyware nota come FinSpy/FinFisher, che vendeva a vari governi.

L’attacco a GammaGroup e la nascita di Phineas Fisher

Il misterioso e neonato account Twitter @GammaGroupPR, che tutto è tranne un ramo del marketing dell’azienda, ha anche un nome curioso: Phineas Fisher. Un gioco di parole che allude allo spyware. Da quel momento in poi diventerà il nome (in verità poco apprezzato dal protagonista, e molto amato dai media) di uno dei cybercriminali più ricercati, ma anche politicizzati, di questi anni.

“Siccome qua a Gamma abbiamo esaurito i governi, apriamo le vendite al pubblico”, esordisce il primo tweet che, in una escalation, inizia a pubblicare brochure, listino prezzi e documenti confidenziali dell’azienda. Qualche ora dopo, l’account pubblica anche il link a un rapporto 2012 del Citizen Lab, centro di ricercatori dell’Università di Toronto, secondo il quale il software spia rinvenuto sui dispositivi di attivisti del Bahrein sarebbe stato prodotto da Gamma Group (report ripreso all’epoca da varie testate come Bloomberg e Wall Street Journal).

Il giorno dopo, l’hacker, preoccupato di non riuscire ad avere abbastanza impatto mediatico, scrive un post su Reddit, nota community online. Sono le 2.29 di notte (ora italiana) del 5 agosto, e l’utente sceglie, fra le tante, la sezione (subreddit) Anarchismo, dove spiega di aver violato l’azienda anglotedesca e di aver copiato 40GB di dati. “Pensavo che l’hacking sarebbe stata la parte difficile”, scrive. “Ma senza un accesso ai media o un’idea di come cavolo funzionano, è dura fare in modo che la gente se ne accorga o si interessi. Condividete!”. Il post viene linkato da varie sezioni (subreddit) a tema socialismo, attivismo, cyberpunk, privacy e simili. In realtà anche i media iniziano a dare molta visibilità a questo attacco.

Così, passato qualche giorno, l’8 agosto Phineas Fisher (ormai iniziano a chiamarlo tutti così) pubblica una lunga spiegazione in inglese su come avrebbe fatto. La intitola "HackBack, una guida fai da te per chi non ha la pazienza di aspettare i whistleblower". Scrive di voler demistificare l’hacking, di voler informare e ispirare altri. Dice una cosa curiosa anche, che quanto ha compiuto è più semplice di fare una richiesta FOIA, cioè una richiesta di accesso agli atti e documenti della pubblica amministrazione. Difficile pensare a un cybercriminale di professione che abbia familiarità con le richieste FOIA, che sono la croce e delizia di attivisti e giornalisti. Conclude quindi la disamina tecnica - dove dice che il suo obiettivo primario era quello di entrare nei server di comando e controllo di FinSpy (quelli cioè usati dall’azienda per comunicare di nascosto con i dispositivi infettati) e avvisare i target che erano sotto osservazione, ma siccome non ci riesce si accontenta di fare un leak - con un messaggio di solidarietà verso “Gaza, gli obiettori di coscienza israeliani, Chelsea Manning (ndr, la whistleblower di Wikileaks), Jeremy Hammond (ndr, hacker/hacktivista arrestato per l’attacco all’azienda di intelligence Stratfor, e nel documento stesso c’è un riferimento piuttosto tecnico a quell’attacco), Peter Sunde, anakata (ndr, due cofondatori di The Pirate Bay che hanno passato vari guai legali), e tutti gli hacker dissidenti e criminali imprigionati”.

Passano altri sette giorni. Il 15 agosto 2014 esce, in spagnolo, un comunicato del CNT-AIT, storica organizzazione anarcosindacalista spagnola. Che è molto interessata all’attacco, tanto da farci delle considerazioni dedicate. Perché, scrivono, la tecnologia non è neutra, e “la lotta tecnologica è parte della lotta di classe”. Perché bisogna “difendersi dagli attacchi repressivi e costruire noi stessi gli strumenti di cui abbiamo bisogno”. È una adesione entusiastica e in un certo senso profetica, dal momento che all’epoca Phineas appare ancora poco più dell’ombra di un hacktivista (termine che unisce hacker e attivista).

Il leak di Hacking Team

Si deposita intanto il polverone sull’evento, trascorrono settimane e mesi, Phineas Fisher resta perlopiù in silenzio. Ci si dimentica di lui (lei). Passa quasi un anno. Finché nella tarda serata di domenica 5 luglio 2015, l’account Twitter di un’altra società che vende spyware ai governi a scopo di indagine, l’italiana Hacking Team (anch’essa finita da tempo nel mirino di vari attivisti, media e report, come quelli di Citizen Lab) inizia a twittare (in inglese): “Poiché non abbiamo nulla da nascondere, pubblichiamo tutte le nostre email, file e il codice sorgente”. Insieme c’è un link a un file torrent di 400 GB con i materiali riservati dell’azienda. L’attaccante che ha colpito Hacking Team in quel momento controlla anche il profilo Twitter della società milanese. La testata Vice gli scrive un messaggio, lui risponde dicendo di essere Phineas Phisher e che lo avrebbe dimostrato. E infatti subito dopo il profilo @GammaGroupPR, che abbiamo visto all’inizio di questa storia, si risveglia e scrive: “HT e Gamma cadute, e altre da far cadere". Il tweet è poi rilanciato dal profilo (violato) di Hacking Team. Abbastanza da credere che si tratti davvero della stessa entità. Il leak di Hacking Team avrà molta risonanza e ricadute, in Italia e all’estero.

Ma ci vogliono sei mesi, questa volta, perché arrivi lo “spiegone” sull’attacco, nell’aprile 2016. Stesso format, stesso stile, stessa sigla, HackBack, che diventerà anche il nuovo nome Twitter di Phineas Fisher. Ma una importante novità. La lingua è lo spagnolo. L’autore (autrice?) spiega che è una scelta perché c’è già tanto inglese nel mondo dell’hacking. Riprende le parole di lotta del comunicato anarcosindacalista del CNT-AIT, che linka esplicitamente nelle note minuziose. Polemizza con gli hacker che lavorano per il sistema. Fornisce indicazioni tecniche su come fare attacchi informatici e spiega come avrebbe fatto in concreto con Hacking Team (La Stampa), tenendo per sé i dettagli decisivi su un exploit, un codice di attacco specifico utilizzato, perché gli sarebbe servito ancora. Si scaglia inoltre contro la tradizione del fascismo italiano, e solidarizza con le vittime della “scuola Armando Diaz” al G8 di Genova del 2001.

Intanto, a Vice, Phineas si definisce per la prima volta esplicitamente come un “anarchico rivoluzionario”. Il suo profilo comincia a farsi più dichiarato e dettagliato. Su Twitter, ad esempio, segue soprattutto profili di “movimenti locali poco noti di hacking e attivismo dal basso, soprattutto in America Latina (Messico, Perù e Bolivia)”, scrivevo io stessa sul già citato articolo de La Stampa.

Gli attacchi alla polizia catalana e al partito di Erdogan

È l’inizio di una fase molto attiva. A maggio 2016 Phineas diffonde dati presi dal sindacato dei Mossos d'Esquadra, la polizia catalana, e pubblica un video tutorial su come attaccare (Vice). Più o meno nello stesso periodo, manda 10mila euro in bitcoin al Rojava, la regione autonoma curda nel nord della Siria, “uno dei progetti rivoluzionari più interessanti di oggi”, lo descrive l’hacker, paragonandolo alla guerra civile spagnola, alla Comune di Parigi, agli zapatisti, al movimento popolare di Oaxaca in Messico, allo sciopero generale di Seattle del 1919 (ArsTechnica). Dettaglio non da poco, dice che i soldi li avrebbe rubati a una banca, che non nomina, perché spera nel mentre di sottrarne ancora.

Poco dopo, a luglio, Phineas rilascia 300mila email del partito al governo in Turchia, l’AKP di Erdogan, che verranno pubblicate anche da Wikileaks (il sito di Julian Assange aveva già pubblicato anche le email e i documenti di Hacking Team e di GammaGroup). Il movente di questa azione? Il suo già dimostrato sostegno al Rojava. Nel mentre, rilascia interviste (Vice), dove traspare un atteggiamento ironico e irriverente simile agli hacktivisti di LulzSec, un gruppo che era stato vicino ad Anonymous.
(En passant, vale forse la pena notare che l’identità di Phineas in varie sue comunicazioni è stata verificata attraverso la firma con un sistema di crittografia – una chiave PGP – che lui/lei stesso aveva diffuso nella spiegazione dell’attacco ad Hacking Team, come ricordava ad esempio in questo post la nota attivista e giornalista Emma Best. Quella chiave e l’account mail associato sono stati il mezzo di comunicazione primario che ha avuto coi giornalisti).

Il raid in Catalogna

Dopo questa fase intensa c’è un momento di silenzio, e poi, improvvisamente, il 10 gennaio 2017 il suo profilo Twitter @GammaGroupPR viene chiuso. Forse chi lo gestisce sente pressione, percepisce qualcosa nell’aria. Sta di fatto che il 31 gennaio c’è un blitz della polizia catalana che perquisisce e indaga tre persone, un trentatreenne di Salamanca e una coppia (di 31 e 35 anni) di Barcellona. Più avanti diventeranno quattro, con uno svizzero residente a Barcellona. Per la polizia sono gli autori dell’intrusione informatica contro il proprio sindacato. Dunque sarebbero Phineas. Ma nelle stesse ore e giorni successivi, proprio Phineas comunica ancora dal suo storico account email con vari giornalisti (me compresa, lo raccontai su La Stampa). Se non è lui/lei, è qualcuno cui ha passato l’account.

“Ho cancellato i miei profili Twitter e Reddit perché non mi sono mai piaciute le persone che accumulano capitale sociale”, dice nell’occasione, aggiungendo che la “doppia vita” cui doveva sottoporsi gli stava causando depressione e altri problemi, per cui si era preso una pausa. “Sono tornato online solo perché la polizia spagnola dice di avermi arrestato (sono libero e sto bene)”.

Phineas dunque o chi controlla il suo account sembra ancora avere ampi margini di azione malgrado il blitz. Eppure la pista catalana si rafforza. Qualche tempo dopo gli inquirenti spagnoli sospettano infatti che si tratti di un gruppo, con forti legami con movimenti sociali definiti “antisistema” e che tale gruppo sia anche responsabile degli attacchi a Gamma Group e Hacking Team. Intanto un giornalista di Barcellona rivela di aver comunicato con lui in catalano, ed esclude che abbia usato un traduttore automatico. Anche altri iniziano a pensare, e a dire, che sia catalano (La Stampa). In ogni caso, Phineas sembra essere in qualche modo sfuggito al giro di vite.

La pista americana (e dei bitcoin)

Ma i colpi di scena non sono finiti. Perché anche gli investigatori italiani si sono messi da tempo sulle sue tracce. I dettagli emergono però solo nel dicembre 2017, quando viene infine archiviata, dopo oltre due anni, l’indagine sull’attacco ad Hacking Team. È solo allora che si scopre come gli inquirenti italiani, dopo aver seguito la pista di pagamenti bitcoin collegati ad alcune infrastrutture usate nell’incursione informatica, non siano finiti in Spagna bensì negli Stati Uniti, individuando uno dei principali sospettati in un trentenne americano di origine iraniana che vende auto a Nashville. Sembra un profilo improbabile rispetto all’immagine di Phineas, ma l’indagine arriva a lui perché attraversa alcuni ambienti americani ritenuti vicini all’attivismo, specie ambientalista. Né è chiaro quale ruolo avrebbe giocato in questa ricostruzione il sospettato che, all’epoca, contattato sui social, mi aveva detto di fare il venditore di auto da quando aveva 15 anni e di aver usato bitcoin “per comprare droga nel Dark Web” (La Stampa). Ad ogni modo, l’Fbi esclude un suo coinvolgimento e l’indagine si ferma per mancanza di prove. Ma quello politico resta il movente individuato dagli investigatori, i quali non hanno dubbi che dietro all’identità online di Phineas Fisher ci sia davvero l’attaccante, perché sull’attacco italiano avrebbe rivelato dettagli che poteva sapere solo lui.

Internazionalismo e identità mutevole

Resta il fatto che Phineas rimane una entità misteriosa e sfuggente, e che le stesse indagini, mentre sembrano avvicinarsi alla stessa, seguendo anche piste credibili, alla fine la spostano ancora più in là. Inizia intanto, in coerenza anche con le sue ultime dichiarazioni, una fase più silente, interrotta solo da qualche commento, come quelli rilasciati a Crimethink, sito di un network di attivisti che appaiono molto vicini allo spirito espresso fino allora dal cybercriminale. Ma, scrive lo stesso articolo del sito, Phineas in realtà è morto. Ovvero, “è più di un nome: è la punta di una rete underground di pratiche e desideri”. E ancora: una delle conseguenze più interessanti delle sue azioni è che “i cileni ti diranno che è ovviamente latinoamericano; gli squatter a Barcellona giurano che il suo tono sia familiare; gli italiani diranno lo stesso”. In effetti l’internazionalismo di Phineas è sia una forma per confondere le acque che una dichiarazione politica.

L’azione contro la Cayman Bank e il reclutamento

Quando riemerge pochi giorni fa, rilasciando 2 terabyte di documenti e mail sottratti a una banca dell’Isola di Man, la Cayman National Bank and Trust, in una sorta di riedizione minore dei Panama Papers, pubblica anche un ulteriore manifesto politico zeppo di riferimenti sia alla cultura hacker che a quella anarchica/socialista, con citazioni molto specifiche e puntuali. Questa volta il documento vuole essere una “guida per derubare banche” (in cui tra l’altro sostiene di aver sottratto alla stessa Cayman National Bank and Trust, usando lo stesso exploit sfruttato contro Hacking Team, ingenti quantità di denaro, ma non dice quanto e la banca finora ha confermato solo la violazione informatica). Ma non si ferma qui: arriva al punto di offrire soldi a hacker, fino a 100mila dollari (in forma di bitcoin o monero, un’altra criptovaluta considerata meno tracciabile) per compiere attacchi motivati politicamente contro specifiche aziende. Lo chiama, provocatoriamente, un “programma hacktivista di ricerca di bug”, bachi di sicurezza, in una sorta di parodia dei programmi di bug hunting creati dalle aziende per ricompensare chi trova vulnerabilità. Solo che, come scrive Vice, “è un bug bounty che incentiva attività criminali”. Tra i possibili target citati da Phineas ci sono aziende petrolifere, minerarie, e un noto venditore di spyware israeliano, NSO, finito da qualche tempo sotto la lente di osservazione di media e attivisti.

Il manifesto dal cyber sudest

Ma, come dicevamo, questa nuova uscita di Phineas/Hackback colpisce per l’ambizione del suo manifesto politico, inviato “dalle montagne del cyber sudest”. Del resto, è ironicamente firmato Subcowmandante Marcos, che è l’unione fra il nome del noto portavoce zapatista e il termine cow (mucca), con tanto di disegno di una mucca (che fuma la pipa, come il subcomandante), riferimento questo a una certa cultura hacker della vecchia scuola (come mi spiega ad esempio Stefano Chiccarelli, protagonista della telematica italiana e fondatore della associazione Metro Olografix), ma anche, forse, allo storico e fondativo gruppo hacker Cult of the Dead Cow, nato negli anni ‘80 e ritenuto il seme prolifico di varie forme di hacktivismo anche successive (e su cui è appena uscito un libro). Del resto, anche secondo il noto giornalista e scrittore di fantascienza Cory Doctorow, il testo sarebbe pieno di riferimenti ai Cult of the Dead Cow (Boing Boing).

Tanta America e citazioni

Ma c’è anche tanto Latinoamerica, in questo testo, sia come forme linguistiche sia come collegamenti culturali. Si parte con un omaggio a Tupac Katari, icona della storia indigena sudamericana e della rivolta anticoloniale che guidò l’assedio di La Paz (Bolivia) e fu giustiziato dagli spagnoli il 15 novembre 1781. Anzi, la data di uscita del leak sarebbe proprio voluto per ricordare Katari, scrive Unicorn Riot, altro sito che ha raccolto commenti di Phineas.

Perché, allo stesso modo dell’esempio di Katari, si vuole “instillare il seme della ribellione”, è scritto nel manifesto. Da questo momento in poi il testo assomiglia sempre di più (tolte le parti tecniche sull’hacking e l’incitamento a commettere cybercrimini) a una tesina di un dipartimento di cultural studies americano. Si cita la femminista e attivista americana bell hooks, la storica anarchica americana Lucy Parsons, il socialista contemporaneo Colin Jenkins (direi poco conosciuto in Europa), organizzatore dell’Hampton Institute, think tank statunitense della classe lavoratrice fondato solo nel 2013, un mix di radici tra pantere nere, Gramsci, e Paulo Freire, pedagogista brasiliano vicino alla “teologia della liberazione”. E poi riferimenti a Rilke (lo scrittore), alla scrittrice di fantascienza Octavia Butler (c’è un suo libro appena ripubblicato anche in Italia, per altro), per tornare alla cultura maya e a una citazione non banale e non così nota del curanderismo (la medicina tradizionale) amazzonico, come il canto Abrete corazòn.

Una quantità di citazioni che non si trasforma in accozzaglia. Anzi, se si fa una analisi di alcune espressioni specifiche o frasi presenti nei primi testi diffusi da Phineas, si arriva più di una volta sugli stessi siti di attivismo, di azione diretta, di disobbedienza informatica in lingua spagnola. A dimostrazione, se non della provenienza degli autori, di una certa coerenza ideologica. Con anche citazioni molto particolari nell’ultimo manifesto, come: “Sii Gay, Commetti Crimini”, con tanto di scheletro. Slogan e immagine di lotta che sono circolati soprattutto a partire dal 2018 su Twitter in vari ambienti attivisti, anche digitali, nota Gaystarnews, che ne spiega origine e senso. Del resto tra i riferimenti del manifesto c’è anche una rete americana di attivisti queer anarchici nota come Bash Back.

Tra l’altro qui per la prima volta Phineas nel testo parla di sé come donna, al femminile. È davvero una donna, è un uomo, è un gruppo? Importa poco dal momento che tale rivelazione, come l’intensa presenza dell’America Latina o la quantità di riferimenti politici internazionali, possono essere sì una forma di offuscamento, ma a questo punto sono soprattutto ancora una affermazione politica.

Chi è davvero Phineas?

C’è chi pensa, come la studiosa Gabriella Coleman, che Phineas Fisher sia una nuova forma di hacktivismo. Chi ovviamente lo considera solo un cybercriminale che a un certo punto si è dato una patina di attivismo. E chi, specie all’inizio, ai suoi primi attacchi, riteneva (e magari ancora ritiene) che fosse l’operazione di una intelligence di qualche Stato. Se così fosse, questa intelligence avrebbe messo una inedita quantità di sforzi per tratteggiare in modo raffinato l’ideologia dell’attaccante. Inedita perché se si guardano, negli ultimi anni, alcune delle operazioni ormai considerate da più parti come delle false flags, dei camuffamenti da hacker e hacktivisti da parte di alcune agenzie governative – pensiamo ad esempio a Guccifer 2.0, che si faceva passare per un hacktivista rumeno ma poi è stato individuato come parte dell’intelligence russa - sono tutte caratterizzate da una estrema povertà ideologica, e in pratica non reggono a una analisi superficiale di lingua, motivazioni, contenuti.

Quale che sia la reale identità e motivazione di Phineas Phisher un dato è certo. Ogni suo atto pubblico aumenta le probabilità di essere individuato così come il numero di agenzie investigative interessare a identificarlo, senza contare la quantità di ricercatori di cybersicurezza che potrebbero trovare degli indizi o elementi: un film già visto in molte indagini di criminalità informatica, inclusi alcuni dei gruppi hacker più esposti, sponsorizzati da Stati e intelligence. La sua dichiarata sfida politica è quella di suscitare emulazione; ma anche di riuscire a farlo senza essere scoperto/a. Un’impresa che alla lunga diventerà sempre più difficile.

*(Si ringrazia il professore di storia contemporanea Gennaro Carotenuto per la consulenza su alcuni aspetti linguistici/culturali)

Qui per iscriversi alla Newsletter settimanale 'Guerre di Rete' curata da Carola Frediani.

Immagine in anteprima via cybersecuritybth.com