Wikileaks ha recentemente condiviso[1] un numero consistente di documenti contro il candidato Emmanuel Macron. Mi sono scaricato l’intero archivio “Macron Leaks” (lo potete fare anche voi qui) perché incuriosito dalle voci diffuse in merito ad una presunta ingerenza russa nella campagna elettorale francese. Ha suscitato particolare interesse il contenuto dei files XLSX presenti nello zip “xls_cedric.rar” nei quali vi sarebbe del codice in cirillico, contenuto che ho voluto verificare di persona.
Ecco il contenuto del file “app.xml” relativo al file “11.xlsx“:
Prima di procedere, spiego in breve di cosa si tratta il file “app.xml” e come sono giunto ad esso. Gli XLSX sono in realtà dei files compressi e composti da tanti altri, tra i quali appunto quello sopra riportato. Per accedere a questi contenuti bisogna usare un software come 7-zip, selezionare il file XLSX desiderato ed estrarre i files contenuti in esso.
Ecco i contenuti in cirillico riscontrati:
<vt:lpstr>Листы</vt:lpstr>
<vt:lpstr>Именованные диапазоны</vt:lpstr>
<vt:lpstr>Afgé!Область_печати</vt:lpstr>
<vt:lpstr>JAM!Область_печати</vt:lpstr>
<vt:lpstr>Meetings!Область_печати</vt:lpstr>
<vt:lpstr>Opérations!Область_печати</vt:lpstr>
<vt:lpstr>RECAP!Область_печати</vt:lpstr>
<vt:lpstr>’Strat&com’!Область_печати</vt:lpstr>
<vt:lpstr>’vs 2012′!Область_печати</vt:lpstr>
Le parole in lingua francese al lato dei contenuti cirillici riguardano i fogli in cui è composto il file XLSX una volta aperto con Excel o un programma free come OpenOffice:
Nel file 16.xlsx trovo un ulteriore riscontro. Visualizzando le proprietà generali tramite LibreOffice trovo qualche data e qualche nome utile:
Leggendo i metadati utilizzando il software Belkasoft.com trovo un ulteriore conferma di quanto riportato sopra:
Il documento è stato creato il 5 maggio 2016 da Cédric (tesoriere del partito di Macron), ma l’ultima modifica risulterebbe quella del 27 marzo 2017 ad opera di un tal “Рошка Георгий Петрович“. Chi è costui? Difficile dirlo in realtà, suscita curiosità il fatto che un nome simile compaia (eseguendo una ricerca su Google) all’interno di un elenco caricato sul sito Omega.sp.susu.ru (PDF) dell’università russa chiamata “South Ural State University”:
Ecco i dati contenuti nel PDF:
Рошка Георгий Петрович
ЗАО «Эврика», специалист
georgypr@yandex.ru
Cosa significa la scritta evidenziata in rosso sopra riportata? È il nome dell’azienda per cui la persona presente nell’elenco dell’università russa lavora, ossia la “Eureka” di San Pietroburgo che opera proprio nel campo informatico per conto del Ministero della Difesa russo, del Ministero degli Affari Esteri e di numerosi altri enti governativi:
ЭВРИКА, Санкт-Петербург
ЗАО “ЭВРИКА” – одна из крупнейших IT-компаний в Санкт-Петербурге. Мы существуем с 1990 года, и наш дружный коллектив насчитывает почти 500 человек.Постоянными клиентами компании являются Министерство Обороны РФ, Министерство иностранных дел РФ, Министерство экономического развития и торговли РФ, Минздравсоцразвития РФ, Федеральная таможенная служба, Федеральная служба охраны РФ, Центральный Банк РФ, Госнаркоконтроль РФ, Роснедвижимость, Пенсионный фонд РФ, Счетная Палата РФ и многие другие.
Nel 2003 la società di San Pietroburgo si era aggiudicata due commesse per attività legate alla protezione dei segreti di Stato russi.
A questo punto quanto potremmo fidarci dei contenuti diffusi[1] da Wikileaks?
Altre curiosità
Già lo scorso 25 aprile la società giapponese Trend Micro sosteneva che Macron era stato preso di mira da un gruppo hacker accusato di essere collegato con la Russia.
Uno degli indirizzi IP a cui fa riferimento il dominio Wikileaks.org (141.105.69.239) è russo:
inetnum: 141.105.64.0 – 141.105.71.255
netname: RU-HOSTKEY-20110627
country: RU
org: ORG-MTL21-RIPE
admin-c: PC7356-RIPE
tech-c: PC7356-RIPE
tech-c: PC7356-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-by: MTLM-MNT
mnt-routes: MTLM-MNT
notify: support@hostkey.ru
remarks: abuse-mailbox: abuse@hostkey.ru
created: 2011-06-27T08:53:56Z
last-modified: 2017-03-16T11:58:57Z
source: RIPE
Nota[1]: inizialmente l’articolo riportava “Wikileaks ha recentemente pubblicato” ed è stato corretto a “Wikileaks ha recentemente condiviso” per risolvere un problema di comunicazione (ovviato già dal link presente sul nome “Wikileaks” che rimandava all’articolo di AGI dove era scritto un termine che era meglio riutilizzare: “diffuso“). Il senso del “pubblicato” riguardava il tweet del 5 maggio alle ore 21:31 dove pubblicava i link utili a scaricare i 9GB di files (attività ripetuta alle 00:22). Come ho scritto in pagina, i gestori di Wikileaks “Ricevono e condividono senza verificare?” e non ho affermato che sia opera di Wikileaks o pubblicati all’interno della piattaforma. Ciò che avrebbero dovuto fare era analizzare e poi diffonderli via Twitter tramite il loro popolare account.
Devi effettuare l'accesso per postare un commento.