Attacco via Signal. Più di 300 tra politici e decision makers tedeschi colpiti. La pista russa

Berlino. Un finto messaggio dal sistema di supporto di Signal che segnala attività sospetta e chiede pin e codice di verifica per non essere esclusi dall’app. Oppure una pagina fake che imita signal.org e invita a unirsi a un gruppo già noto. Il tutto sfruttando la funzione di device linking, che permette di collegare un secondo dispositivo all’account. Con questi trucchi, qualcuno è penetrato nelle chat Signal di almeno 300 politici, militari, giornalisti e decision makers tedeschi. Il 22 aprile lo Spiegel ha rivelato che tra le vittime degli attacchi c’è anche Julia Klöckner, presidente del Bundestag e seconda carica dello stato. Klöckner fa anche parte di una chat della direzione della Cdu in cui è attivo lo stesso cancelliere tedesco Friedrich Merz – l’intelligence ha però appurato che l’account del cancelliere non sarebbe stato compromesso.

Dopo il caso Klöckner, sarebbero tuttavia emersi quelli della ministra dell’Istruzione e della Famiglia, Karin Prien, e della ministra dell’Edilizia, Verena Hubertz, oltre a episodi che hanno coinvolto deputati di praticamente tutti i gruppi parlamentari tedeschi. Non un hacking tecnico che buca davvero il protocollo crittografico dell’app, ma un preciso social engineering che sfrutta le ampie falle della difesa cognitiva dei politici tedeschi. Simili attacchi via Signal vanno avanti da mesi, ma a Berlino l’allarme definitivo è esploso solo negli ultimi giorni. Il 21 aprile il BfV, l’intelligence interna, ha inviato un report di 20 pagine a tutti i gruppi parlamentari su “numerose chat lette dagli aggressori in modo quasi inosservato”. Solo 24 ore dopo, il ministro della Difesa Boris Pistorius presentava la prima strategia militare complessiva della Bundeswehr, in cui la Russia viene esplicitamente nominata come minaccia principale, anche con “mezzi ibridi” come spionaggio e cyberattacchi. I sospetti per l’operazione via Signal, anche questa volta, sono infatti tutti su Mosca o cybercriminali al soldo della Russia. Per ora Berlino parla solo di “attore statale”, ma fonti di governo rafforzano non ufficialmente i sospetti su agenzie russe.

A nominare esplicitamente una matrice russa con i media tedeschi sono Marc Henrichmann della Cdu e Konstantin von Notz dei Verdi, vertici della PKGr (l’organo di controllo del Bundestag sui servizi segreti). Nelle scorse settimane, proprio in riferimento allo spionaggio via Signal, l’intelligence olandese Aivd/Mivd ha fatto riferimento ad hacker statali russi, l’Fbi americana ha parlato di attori cibernetici legati ai servizi russi, mentre l’Ncsc britannico ha messo in guardia dal phishing russo via Signal e WhatsApp. Già lo scorso 6 febbraio il BfV e l’agenzia tedesca di cybersicurezza Bsi avevano mandato un primo avvertimento sugli attacchi via Signal, mentre sempre a febbraio è stata avviata in merito un’indagine per spionaggio della Procura generale federale tedesca. Lo stesso ex vicepresidente dell’intelligence estera tedesca, Arndt Freytag von Loringhoven, è stato vittima di un’infiltrazione digitale via Signal. Un’inchiesta di Correctiv sul caso ha ricostruito lo scorso marzo tutti gli indizi che punterebbero a Mosca: uso del provider di hosting russo Aeza, impiego del kit Defisher (venduto su forum hacker russofoni a 690 dollari), pattern operativo molto simile a campagne osservate in Ucraina, Moldavia e Armenia. A questo si aggiunge il fatto che gli obiettivi sono sempre di tipo geopolitico e non commerciale, come nel caso di giornalisti e attivisti contro il Cremlino. Tra i soliti sospetti delle operazioni emerge Unc5792, cluster ritenuto russo individuato da Google, che secondo Correctiv è dietro gli attacchi via Defisher. Nello stesso ecosistema opera Sandworm/APT44, l’unità 74455 del Gru, che aveva già colpito Signal in Ucraina nel 2024 (anche se con tecniche diverse, a partire dal malware Wavesign). Anche altri gruppi cyber dell’area russo-bielorussa hanno preso di mira Signal con metodi propri: Turla, attribuito al Center 16 dell’Fsb, e l’Unc1151 bielorusso, soprattutto via malware su Signal Desktop.

Per adesso non è ancora chiaro quanti siano davvero i politici, militari e altre personalità tedesche vittima degli accessi e di possibili esfiltrazioni di dati via Signal. Né si sa bene per quanto tempo e a quali informazioni gli hacker siano riusciti ad accedere. La guerra cognitiva, del resto, punta anche a questo: minare la fiducia nei canali di comunicazione, rallentare i processi decisionali, creare confusione – operazioni e tattiche in linea con la guerra ibrida, a partire da quella russa.