Un approfondimento a cura del prof. Antonio Teti, Responsabile del Settore Sistemi Informativi di Ateneo, Innovazione Tecnologica e Sicurezza Informatica dell’Università di Chieti-Pescara e docente di IT Governance e Big Data.
Sulla base dell’analisi condotta dai ricercatori di Mandiant e Microsoft sulle operazioni di cyberwar riferibili al conflitto israelo-palestinese, a più di un mese dall’inizio del conflitto, sembra configurarsi uno scenario completamente diverso da quello ipotizzato da molteplici pseudo esperti: i ricercatori delle due aziende sono giunti alla conclusione che le operazioni informatiche legate alla guerra sono state per lo più di natura opportunistica e spesso esagerate in termini di impatto. Gli attacchi condotti a partire dal 7 ottobre scorso, principalmente di tipo DDoS e che hanno interessato i siti web di giornali israeliani, rappresentando il 56% di tutti gli attacchi informatici condotti contro Israele. Un’altra evidenza di particolare rilevanza della inconsistenza di Hamas sul piano cyber è quella prodotta dai ricercatori di Recorded Future, società statunitense di sicurezza informatica, che ha convalidato la cooperazione tra le milizie di Hamas e alcuni operatori cyber collocati fuori Gaza per mantenere online un sito di news collegato all’ala militare Brigate Al-Qassam. Va evidenziato che pochi giorni dopo il primo grande attacco di Hamas contro Israele, un canale Telegram utilizzato da membri e sostenitori di Hamas ha annunciato il lancio di un’app collegata proprio alle Brigate Al-Qassam. L’applicazione, secondo Recorded Future, sarebbe stata prodotta da “terze parti” per diffondere i messaggi di Hamas. Gestire una infrastruttura IT o anche semplicemente un sito web o un’app nella striscia di Gaza è ormai praticamente impossibile: gli attacchi aerei israeliani hanno danneggiato completamente la infrastruttura di rete Internet sull’intero territorio, con l’interruzione dell’erogazione di energia elettrica.
Dopo i ripetuti attacchi di Israele, Hamas ha mantenuto attivi i server web spostandoli ripetutamente utilizzando diversi fornitori di servizi di rete. Sempre secondo Recorded Future, sulla base delle analisi effettuate sui reindirizzamenti IP sospetti al sito web delle Brigate Al-Qassam, ammontavano a circa 90 i domini sui cui era possibile risalire ai siti web gestiti dal gruppo terroristico palestinese. I domini erano gestiti da gruppo hacker noto come TAG-63 (meglio noto come AridViper, APT-C-23, Desert Falcon) e APT-C-23.
Pur essendo un gruppo hackers sponsorizzato da Hamas si ritiene che sia collegato all’Iran’s Islamic Revolutionary Guard Corps (IRGC), ovvero il Corpo delle Guardie Rivoluzionarie Islamiche dell’Iran, ed in particolare alla Quds Force, un’unità specializzata nella cyberwar e nell’intelligence militare, oltre ad essere l’unica entità iraniana conosciuta che fornisce assistenza tecnica informatica ad Hamas e ad altri gruppi terroristici palestinesi.
Poco dopo l’inizio dei combattimenti, secondo le analisi condotte da Mandiant e Microsoft, sono stati creati dei canali Telegram per diffondere i video di massacri compiuti nei kibbutz lungo il confine di Gaza. Ma anche in questo caso, sembra che i media filo-iraniani abbiano prelevato questi video modificandone ampiamente i contenuti, mentre diversi gruppi di hacktivisti iraniani e filopalestinesi hanno affermato di aver violato diversi infrastrutturali critiche israeliane.
Secondo i ricercatori delle due aziende statunitensi, le affermazioni relative alla portata di questi attacchi informatici sarebbe completamente esagerata. Così come sembrerebbe gonfiata la notizia di un presunto attacco ransomware condotto verso una struttura militare israeliana da parte di un gruppo hacker noto come “Soldiers of Solomon”, anch’esso collegato al Corpo delle Guardie della Rivoluzione Islamica dell’Iran. L’attacco avrebbe incluso la massiccia esfiltrazione di dati e screenshot di telecamere connesse a Internet posizionate vicino alla struttura. Ciò che invece appare oltremodo evidente, soprattutto in questo particolare conflitto in corso, è la natura delle operazioni condotte che confermano come il tradizionale impiego di uomini e armi, al contrario degli strumenti fruibili per le cyberwar, rappresentino ancora la metodologia migliore per l’annientamento dell’avversario.