Siria e cyber guerra, lo scenario del conflitto fra hacker e armi vere

AziendeCyberwarSicurezzaSoluzioni per la sicurezza
Attacco agli account Twitter di Microsoft firmato da Syrian Electronic Army
1 1 Non ci sono commenti

Non basta il tragico conflitto con le accuse mosse ad Assad dalla comunità mondiale di attacco chimico contro civili inermi. In Siria è anche guerra in Rete, fra sofisticate campagne malware e gli hacker della Syrian Electronic Army. L’ultima frontiera della cyber-war

La guerra civile in Siria, fra i sostenitori e gli oppositori del regime di Assad, miete vittime da molti mesi: un milione, secondo le fredde statistiche. E il Pentagono si è detto pronto ad entrare in azione nel caso in cui il Presidente USA Barack Obama desse l’ordine d’intervento immediato. Il tragico conflitto in Siria, in seguito alle accuse mosse al governo siriano dalla comunità mondiale di attacco chimico contro civili inermi, sta degenerando: anche il Regno Unito si prepara all’intervento. Ma in Siria non c’è solo una sanguinaria repressione, ma da settimane è in corso anche una guerra in Rete, che si dipana fra sofisticate campagne malware, servizi di avvisi di atticci missilistici e attività hacking della Syrian Electronic Army. La cyber-war in Siria è realtà, ed è la faccia virtuale della terribile guerra reale che si combatte per strade e quartieri.

Un articolo, intitolato Syria’s Online Conflict: The Hackers And Their Weapons, di Tom Brewster pubblicato su Techweek illustra qual è l’ultima frontiera della cyber-war.

Cyber repressione: C’è un nome che ad un cittadino occidentale viene subito in mente appena si parla di cyber conflitto in Siria – ed è quello della Syrian Electronic Army. Ciò avviene perché molti dei suoi obiettivi sono stati media occidentali, il che ha colpito l’inconscio collettivo. Tuttavia la guerra online è in realtà vasta e complessa, e non si limita ad azioni di hacking. Alcuni attacchi hanno ramificazioni più profonde dei defacement e degli hijacks dei profili Twitter.

Nel mese di luglio, per due giorni, era stato oscurato un sito Internet allestito per fornire ai siriani avvisi sugli attacchi dei missili Scud: il sito era andato in tilt non a causa di un disservizio, in un Paese dilaniato da una guerra civile, bensì era stato messo a KO da un massiccio attacco Disributed denial of service (DDoS). Il fondatore del sito, Dlshad Olthman, ha dichiarato al giornalista di Techweek di aver bloccato manualmente gli indirizzi IP usati come partedell’attacco fra le 6 del pomeriggio del 9 luglio fino alle 4 della mattina seguente. “Poi mi sono arreso, non potevo andare oltre,” ha dichiarato.

A colpi di Botnet

VirtualRoad.org, che offre sicurezza IT ad organizzazioni per la tutela dei Diritti Uomani, ha scoperto che erano state sfruttante ben 10.000 bot nell’assalto al sito di Aymta (il nome che signnifica “Quando” in arabo). La maggior parte degli indirizzi IP provenivano da stati che un tempo appartenevano all’ex Unione Sovietica, inclusi la Russia e l’Ucraina. Altri indirizzi IP avevano base in Iran. Othman è ormai certo che Nazioni avrebbero sponsorizzato i DDoS. E sospetta che questi Stati sostengono il presidente Bashar al-Assad. “Si tratta di attacchi governativi –non piccole organizzazioni private,” sottolinea. “Lo so perché ho lavorato nell’IT per anni, e non avevo mai visto un attacco di proporzioni simili”.

I DDoS, in questi casi, hanno un impatto profondo nel mondo reale. Lanciato a fine giugno, il sito Aymta permetteva di selezionare fonti certificate in Siria per condividere informazioni sicure sui potenziali obiettivi dei missili Scud. Gli Scud sono missili facilmente visibili ma hanno già ucciso centinaia, forse migliaia, di persone. I dati sulla minaccia degli Scud venivano poi distribuiti alla popolazione civile via messaggi di testo, email, RSS feed o attraverso una rete broadcast su TV satellitare o tramite trasmissioni radio-pirata non controllate dallo Stato (è in arrivo anche un’app per smartphone). Una mappa, inoltre, indica quali aree sono a rischio SCUD, in modo da evacuare le zone in pericolo. Se un simile sito va giù, a causa di un Ddos, non è solo un attacco telematico: a fare la differenza è la chance di vita e di morte.

Cyber guerra in Siria
Cyber guerra in Siria 

Othman, ingegnere sistemista con la passione per i Diritti Umani, afferma che solo agli aggiornamenti testuali si erano registrati 3.000 cittasdini siriani. Altri si iscriveranno, dopo che il tecnico è passato all‘hosting su un servizio cloud proprietario, scalabile, che si spera rimanga attivo per salvare altre vite dagli attacchi missilistici. Nel Paese le vittime della guerra civile sarebbero salite a un milione, dunque si spera che il sito rimanga in piedi e anzi si espanda il più possibile.

Anche la National Coalition for the Forces of the Revolution e l’Opposizione Siriana hanno il loro sito Web: etilaf.org, oscurato da un attacco DDoS il mese scorso. Il sito è rimasto offline per giorni, ha detto Tarek al-Jazairi, consulente di new media per la Syrian National Coalition. Anch’egli ritiene che molti IP usati negli attacchi provenissero da Russia e Iran, e non si escludono collegamenti con il Ddos contro Aymta. Poiché il sito diffonde informazioni per i sostenitori della rivoluzione contro Assad, non stupisce che sia un obiettivo della cyber guerra. Nell’era dei bit i DDoS sono un’arma potente.

La minaccia dei Malware

Ma non ci sono solo gli attacchi DDoS a impensierire l’opposizione contro Assad. Gli skill offensivi dei nemici hanno molte frecce al loro arco. Citizen Lab ha osservato due attacchi a metà giugno. Il primo ha coinvolto un pezzo di malware impiantato in un legittimo client VPN detto Freegate, che l’opposizione usa per evitare lo snooping da parte del regime. Hacker infiltrati in gruppi privati di social media sono stati individuati mentre diffondevano software booby-trapped, contenente un Trojan per l’accesso da remoto, in genere usato in operazioni di cyber sorveglianza governative. Esso effettua keylogging, ed è in grado di attivare le webcam delle vittime e trafugarne i file.

Altre campagne anti-ribelli hanno assistito alla diffusione di phishing, email che sembravano indirizzate a membri dell’opposizione Siriana, ma i cui link, se cliccati, infettavano gli utenti con malware. Il software era controllato da server con base in Siria, con indirizzo SyriaTel IP. SyriaTel è l’azienda Tlc posseduta da Rami Makhlouf, cugino del Presidente Bashar al-Assad, in precedenza messo in connessione con la Syrian Electronic Army.

Altre campagne malware erano state individuate nel corso del 2012, a partire da una che sfruttava un falso sito YouTube e un aggiornamento di Adobe Flash Player per scaricare software malevolo sulle macchine finite nel mirino. Il sito noto come Syrian Malware adesso traccia gli attacchi, per impedire ai civili e agli oppositori di cadere in trappole IT.

Syrian Electronic Army

Ora passiamo all’onnipresente Syrian Electronic Army, con i suoi mass defacement, gli hijack di Twitter eccetera. Un portavoce della Syrian Electronic Army ha spiegato a TechWeek di impiegare malware: “Talvolta iniettiamo codice in alcune pagine e lasciamo che l’obiettivo le visiti, in modo che il malware invii le password archiviate nel PC a un sito appartenente alla SEA”. Ma il portavoce nega attacchi DDoS, che potrebbero invece essere attribuiti a gruppi affiliati.

Il gruppo noto come Syrian Hackers School aveva aperto una pagina Facebook nel 2011 che disseminava software di denial of service (DoS) per attaccare siti di media (TechWeek non è però stata in grado di ritrovare la pagina da segnalare).

Gli hacker di Syrian Electronic Army
Gli hacker di Syrian Electronic Army

Il portavoce di SEA rifiuta però il coinvolgimento, adducendo che le accuse sono mosse da al-Jazairi della coalizione, in merito al fatto che il gruppo sarebbe finanziariamente supportato da Makhlouf, proprietario di SyriaTel e cugino di Bashar al-Assad, con ufficio a Dubai. “Abbiamo base in Siria… Un gran numero di volontari Siriani appoggia SEA, forse migliaia”. In effetti non c’è prova di un collegamento fra SEA e il regime del Presidente, sebbene Bashar al-Assad abbia espresso sostegno alle azioni del gruppo fin dal 2011.

Gli attacchi di SEA sono iniziati contro i siti, le pagine Facebook e i profili Twitter dell’opposizione. “Ma ci sembravano siti fantocci, così abbiamo iniziato ad attaccare i loro ‘mandanti’, come Qatar, Arabia Saudita e l’America.” L’attacco è stato poi condotto contro siti israeliani, a sostegno dei “fratelli Palestinesi”, e contro i media britannici. Ogni settimana vengono compromessi account di social media e vengono defacciati siti per propagandare messaggi in aperto sostegno al presidente Bashar al-Assad.

L’Army sembra godere del supporto di altri cyber gruppi, dagli Yemen Hackers ai  Muslim Hackers, dagli Arab Hackers For Free Palestine al Syrian Hackers School.

Limiti degli oppositori?

La SEA dice di non vedere grandi offensive messe in campo da parte gli oppositori. Un gruppo è Al-Nusra Electronic Army, che potrebbe avere affiliazioni con il fronte reibelle Al-Nusra, che si suppone sia una branca di Al Qaeda. Accusata del defacement ai danni della Syrian Commission on Financial Markets and Securities a inizio di agosto, aveva già operato contro il governo Russo a marzo.

Un altro gruppo è composto dai Pirati di Aleppo, che adesso opera in Turchia, vicino ai confini con la Siria; fondata da un ex della SEA, lavora in parallelo con un altro collettivo, i Falcons of Damascus. Leader deoi Pirati è Ahmed Hiedar, che al Global Post a inizio anno ha dichiarato di aver hackerato la diretta delle trasmissioni della Tv di stato ben 13 volte.

Scismi settari e ruolo del regime

Helmi Noman, ricercatore senior presso Citizen Lab, si è focalizzato sull’aspetto settario del cyber conflitto. Lo scisma fra Sciiti e Sunniti, nell’Islam, si riflette in Siria, con la setta di Alawite Shi’ite del regime che combatte i vari gruppi Sunniti. “L’identità ideologica dei combattenti è visibile nei messaggi dei defacement lasciati sui siti compromessi dai cyber attacchi. A settembre 2011, per esempio, hacker si resero protagonisti di “un defacement contro un sito Siriano devoto al Grand Ayatollah Khamenei, il capo supremo dell’Iran e figura dell’establishment conservatore sciita” Noman precisa a TechWeek.

Syria - Shutterstock - © domdeen

“Il defacement venne dedicateo ai ‘revoluzionari del popolo siriano’ e ai ‘martiri della Siria’, ma soprattutto diceva che la ‘Syria rimarrà un castello di Ahl Al-Sunnah’, con cui in arabo si indica la comunità Sunnita.” Ed aggiungeva frasi oltraggiose contro l’Iran.

Altro tema-chiave è il Potere. Finché il regime controlla le infrastrutture critiche del Paese, i dissirvizi e i tilt saranno frequenti: i black-out Internet guadagnano le prime pagine, ma bloccano tutte le forme di comunicazioni elettroniche causando grandi problemi agli oppositori. “Il problema dei black-out elettrici sono gravi e impattano le Tlc, non solo Internet,” sottolinea Noman.

Gli ISP sono collegati al governo e si comportano da man-in-the-middle nello snooping, mentre altri attacchi a livello di rete sono frequenti, secondo Othman. I governativi detengono il controllo sui contenuti, non solo su Internet ma in tutti i media: possono lanciare e pilotare massicce campagne di propaganda contro i ‘ribelli’.

Nella cyber guerra in Siria, il regime, in Rete, ha il coltello dalla parte del manico.

Traduzione di Syria’s Online Conflict: The Hackers And Their Weapons di Tom Brewster pubblicato su Techweek Europe

Navighi sul Web in sicurezza? Misurati con un QUIZ!

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore