Corriere della Sera, 23 ottobre 2023
Il conflitto parallelo si combatte in rete
Dal 7 ottobre il mondo si interroga sul rischio di escalation del nuovo conflitto tra Israele e Hamas. In realtà l’escalation è già avvenuta nella guerra informatica, che va ormai necessariamente considerata come uno dei piani dei conflitti. Si può vedere ricostruendo una cronologia che incrocia i due livelli: le azioni sul territorio e gli attacchi cyber.Diluvio (informatico) Al-Aqsa7 ottobre, ore 6.35: le sirene avvertono del lancio dei primi razzi di Hamas.
6.33/7.04: il gruppo hacker Anonymous Sudan lancia attacchi contro due app, Tzeva Adom e RedAlert, utilizzate per diramare messaggi di allerta alla popolazione israeliana su attacchi imminenti. Si tratta di attacchi DDoS, distributed denial of service: l’aggressore attiva i propri «eserciti» di computer infetti per indirizzare un volume enorme di richieste simultanee verso un sito o un’app, che viene paralizzata dall’abnorme sovraccarico di traffico.
9.46: gli aerei israeliani iniziano a colpire Gaza.
16.18: Anonymous Sudan attacca il sito del Jerusalem Post, con un’altra azione DDoS, facendolo crollare per 12 ore. Punto importante: sabotare sistemi di allerta alla cittadinanza e canali di informazione può essere considerata un’azione di guerra collaterale.
18.10: un altro gruppo hacker, Cyber Av3ngers, manda offline il sito della Israel Electric Corporation.
150 gruppi pro HamasDal 7 al 17 ottobre, gli analisti della società di sicurezza informatica Swascan hanno individuato 178 gruppi di attivisti cyber che stanno partecipando al conflitto a diversi livelli. Tra questi, circa 150 sono pro Hamas, e hanno basi (dichiarate) in uno scenario molto ampio rispetto al teatro di guerra: Marocco, Yemen, Iran, Sudan, Malesia, Indonesia, Russia, Bangladesh, Emirati Arabi. Poco più di 20 gruppi sono pro Israele, con basi nella stessa Israele e in India.
Un rapido identikit di alcuni gruppi rende evidente quale sia la vastità dello scacchiere. Cyber Av3ngers (pro Hamas) è un gruppo iraniano: oltre alla Israel Electric Corporation, ha aggredito altre infrastrutture critiche come l’Israel Independent System Operator (Noga), gestore della rete elettrica. E ancora: gli hacker filorussi Killnet hanno dichiarato guerra cibernetica contro Israele e si sono alleati con Anonymous Sudan. Collaborazione definita con la creazione del gruppo Killnet Palestina, a cui hanno aderito gli altri hacker filorussi di UserSec.Interactive content by FlourishLa «guerra partecipata»Secondo giorno di guerra, dalla notte inizia a dipanarsi uno degli attacchi più significativi della cyberwar.
8 ottobre, ore 1.29: il gruppo AnonGhost annuncia di aver trovato una vulnerabilità nell’applicazione RedAlert (stavolta non è un sovraccarico di traffico verso l’app ma un’operazione estremamente più complessa e che richiede un’elevatissima competenza tecnica). Invece di una notifica di pericolo in tempo reale, gli hacker fanno comparire su molti telefonini israeliani il messaggio «fuck Israel». Poco dopo, diffondono il codice di vulnerabilità su un gruppo Telegram, mettendo l’arma a disposizione di altri. In giornata creeranno tensione inviando messaggi su «imminenti eventi nucleari».
10.58: il sito di Hamas viene attaccato da Indian Cyber Force (esempio di «controffensiva»).
14.52: Cyber Av3ngers afferma di aver compromesso la centrale elettrica Dorad (il sito non è raggiungibile).
16.59: Killnet attacca il sito del governo israeliano.
17.18: Anonymous Sudan fa una chiamata alle armi sul proprio canale Telegram. Questo è il livello meno sofisticato, ma comunque di forte impatto, della guerra cibernetica: proselitismo, disinformazione, diffusione di fake news.
Codici di vulnerabilità condivisiHamas è bandita da Facebook, Instagram e Google, ma attiva su Telegram: su due account dell’organizzazione islamista, i follower in 10 giorni sono passati da 300 mila a un milione. La cronologia mostra come il conflitto si sia subito allargato in uno scenario di guerra partecipata. Un’escalation in ambito cyber. Le piattaforme informatiche consentono una partecipazione sia a gruppi molto strutturati dal punto di vista ideologico e di competenze informatiche, sia a gruppi di livello inferiore, sia ai «cani sciolti», permettendo a soggetti sparsi per il mondo di entrare nel conflitto. Spiega Pierguido Iezzi, ceo di Swascan: «Quello che abbiamo visto con RedAlert è l’esempio più lampante dei rischi connessi alla guerra partecipata: un attivista o un gruppo di elevata capacità tecnica scopre una vulnerabilità e poi la condivide. In questo modo, altri gruppi o singoli, con competenze inferiori, possono innescare quel tipo di attacchi. Teniamo presente che dietro etichette anonime o schermate potrebbero essere attivi anche gruppi con legami più alti a livello istituzionale nei propri Paesi di riferimento».
Hacker e attivisti in azione9 ottobre, ore 5.15: Indian Cyber Force attacca il ministero dei Trasporti della Palestina.
5.38: TeamHerox rende irraggiungibile il sito di un ospedale israeliano.
17.02: Ghosts of Palestine attacca il ministero degli Esteri di Israele. Questa timeline è ridotta agli eventi salienti, ma la sequenza degli attacchi informatici è uno stillicidio.
10 ottobre, 00.33: Dark Cyber War colpisce il ministero degli Esteri palestinese.
1.01: YourAnonTl3X rende irraggiungibile il sito dell’Agenzia spaziale israeliana.
15.22: Blackfield vende informazioni personali di membri dell’esercito israeliano sul forum Ramp.
19.55: Stucx Team aggredisce il sito del ministero della Sanità israeliano, e invita altri gruppi di hacker a partecipare all’attacco. Si rivela così un altro punto chiave nello scenario della guerra partecipata: tra i gruppi pro Hamas c’è stata una forte condivisione di obiettivi. Se più gruppi si concentrano sugli stessi target (ognuno con la propria schiera di computer infettati) l’urto degli attacchi DDoS è moltiplicato. In più: la condivisione allarga la schiera dei potenziali attaccanti, soprattutto quando mette a disposizione strumenti sofisticati che non tutti i gruppi avrebbero nel proprio bagaglio tecnico. «Questa strategia, almeno nelle proporzioni, segna una marcata differenza rispetto al versante cyber del conflitto Russia/Ucraina», commenta Pierguido Iezzi. Mentre nel mondo si moltiplicano i contatti diplomatici, la guerra cibernetica va avanti in parallelo a bombardamenti e lanci di missili.
Un mondo senza confini11 ottobre, ore 00.56: AnonGhost attacca di nuovo l’app RedAlert.
20.55: su un forum, un utente pubblica 400 mila contatti whatsapp israeliani.
E ancora.
12 ottobre, ore 6.28: SilentOne «acceca» il sito dell’Autorità palestinese dell’Energia. Dalle 23 poi, diversi gruppi hacker iniziano a scagliare attacchi DDoS l’uno contro l’altro. IndianCyberForce (pro Israele) contro Skynet (pro Hamas). Cyber Army of Russia contro Killnet, con l’obiettivo di riportare l’attenzione sul conflitto Ucraina-Russia. Infatti molti gruppi attivi sul teatro ucraino hanno spostato il loro campo d’azione sul conflitto Israele/Hamas.
14 ottobre, ore 7.22: su un forum compare una lista di vulnerabilità di obiettivi israeliani (sul modello di ciò che è accaduto per l’app RedAlert).
17.36: Haghjoyan afferma di aver violato 4.150 telecamere a circuito chiuso di alta sicurezza israeliane.Sono azioni di un conflitto altamente asimmetrico: Israele possiede i migliori sistemi di difesa sul fronte cyber, ma Hamas si muove in ambito più analogico. Anche per questo probabilmente le antenne dell’intelligence non sono state efficaci per intercettare la minaccia.Però in concomitanza con l’inizio del conflitto, il fronte dell’aggressione cyber contro Israele si è acceso in modo estremamente rapido e in proporzioni molto ampie. Questo lascia intuire un coordinamento (benchè non dimostrabile) fra i gruppi hacker più radicalizzati sparsi per il mondo, che poi attirano altri attivisti non direttamente coinvolti.