Il Blog di David Puente

Macron Leaks: dati in cirillico e un nome che porterebbe ad una società russa legata ai ministeri di Mosca

David Puente

Wikileaks ha recentemente condiviso[1] un numero consistente di documenti contro il candidato Emmanuel Macron. Mi sono scaricato l’intero archivio “Macron Leaks” (lo potete fare anche voi qui) perché incuriosito dalle voci diffuse in merito ad una presunta ingerenza russa nella campagna elettorale francese. Ha suscitato particolare interesse il contenuto dei files XLSX presenti nello zip “xls_cedric.rar” nei quali vi sarebbe del codice in cirillico, contenuto che ho voluto verificare di persona.

Ecco il contenuto del file “app.xml” relativo al file “11.xlsx“:

Codice del file “app.xml” relativo al file “11.xlsx” contenuto in “xls_cedric.rar”

Prima di procedere, spiego in breve di cosa si tratta il file “app.xml” e come sono giunto ad esso. Gli XLSX sono in realtà dei files compressi e composti da tanti altri, tra i quali appunto quello sopra riportato. Per accedere a questi contenuti bisogna usare un software come 7-zip, selezionare il file XLSX desiderato ed estrarre i files contenuti in esso.

Files che compongono 11.xlsx, estratti con 7-zip

Ecco i contenuti in cirillico riscontrati:

<vt:lpstr>Листы</vt:lpstr>

<vt:lpstr>Именованные диапазоны</vt:lpstr>

<vt:lpstr>Afgé!Область_печати</vt:lpstr>

<vt:lpstr>JAM!Область_печати</vt:lpstr>

<vt:lpstr>Meetings!Область_печати</vt:lpstr>

<vt:lpstr>Opérations!Область_печати</vt:lpstr>

<vt:lpstr>RECAP!Область_печати</vt:lpstr>

<vt:lpstr>’Strat&amp;com’!Область_печати</vt:lpstr>

<vt:lpstr>’vs 2012′!Область_печати</vt:lpstr>

Le parole in lingua francese al lato dei contenuti cirillici riguardano i fogli in cui è composto il file XLSX una volta aperto con Excel o un programma free come OpenOffice:

I titoli dei fogli del file 11.xlsx

Nel file 16.xlsx trovo un ulteriore riscontro. Visualizzando le proprietà generali tramite LibreOffice trovo qualche data e qualche nome utile:

I dati del file 16.xlsx

Leggendo i metadati utilizzando il software Belkasoft.com trovo un ulteriore conferma di quanto riportato sopra:

Metadata file 16.xlsx

Il documento è stato creato il 5 maggio 2016 da Cédric (tesoriere del partito di Macron), ma l’ultima modifica risulterebbe quella del 27 marzo 2017 ad opera di un tal “Рошка Георгий Петрович“. Chi è costui? Difficile dirlo in realtà, suscita curiosità il fatto che un nome simile compaia (eseguendo una ricerca su Google) all’interno di un elenco caricato sul sito Omega.sp.susu.ru (PDF) dell’università russa chiamata “South Ural State University”:

Il nome compare in un documento della “South Ural State University” (Russia)

Ecco i dati contenuti nel PDF:

Рошка Георгий Петрович
ЗАО «Эврика», специалист
georgypr@yandex.ru

Cosa significa la scritta evidenziata in rosso sopra riportata? È il nome dell’azienda per cui la persona presente nell’elenco dell’università russa lavora, ossia la “Eureka” di San Pietroburgo che opera proprio nel campo informatico per conto del Ministero della Difesa russo, del Ministero degli Affari Esteri e di numerosi altri enti governativi:

ЭВРИКА, Санкт-Петербург
ЗАО “ЭВРИКА” – одна из крупнейших IT-компаний в Санкт-Петербурге. Мы существуем с 1990 года, и наш дружный коллектив насчитывает почти 500 человек.

Постоянными клиентами компании являются Министерство Обороны РФ, Министерство иностранных дел РФ, Министерство экономического развития и торговли РФ, Минздравсоцразвития РФ, Федеральная таможенная служба, Федеральная служба охраны РФ, Центральный Банк РФ, Госнаркоконтроль РФ, Роснедвижимость, Пенсионный фонд РФ, Счетная Палата РФ и многие другие.

Nel 2003 la società di San Pietroburgo si era aggiudicata due commesse per attività legate alla protezione dei segreti di Stato russi.

L’articolo del 2003 dove vengono citate le commesse

A questo punto quanto potremmo fidarci dei contenuti diffusi[1] da Wikileaks?

 

Altre curiosità

Già lo scorso 25 aprile la società giapponese Trend Micro sosteneva che Macron era stato preso di mira da un gruppo hacker accusato di essere collegato con la Russia.

Uno degli indirizzi IP a cui fa riferimento il dominio Wikileaks.org (141.105.69.239) è russo:

inetnum: 141.105.64.0 – 141.105.71.255
netname: RU-HOSTKEY-20110627
country: RU
org: ORG-MTL21-RIPE
admin-c: PC7356-RIPE
tech-c: PC7356-RIPE
tech-c: PC7356-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-by: MTLM-MNT
mnt-routes: MTLM-MNT
notify: support@hostkey.ru
remarks: abuse-mailbox: abuse@hostkey.ru
created: 2011-06-27T08:53:56Z
last-modified: 2017-03-16T11:58:57Z
source: RIPE

 

Nota[1]: inizialmente l’articolo riportava “Wikileaks ha recentemente pubblicato” ed è stato corretto a “Wikileaks ha recentemente condiviso” per risolvere un problema di comunicazione (ovviato già dal link presente sul nome “Wikileaks” che rimandava all’articolo di AGI dove era scritto un termine che era meglio riutilizzare: “diffuso“). Il senso del “pubblicato” riguardava il tweet del 5 maggio alle ore 21:31 dove pubblicava i link utili a scaricare i 9GB di files (attività ripetuta alle 00:22). Come ho scritto in pagina, i gestori di Wikileaks “Ricevono e condividono senza verificare?” e non ho affermato che sia opera di Wikileaks o pubblicati all’interno della piattaforma. Ciò che avrebbero dovuto fare era analizzare e poi diffonderli via Twitter tramite il loro popolare account.