IL RUOLO DEL CYBER WARFARE NEL CONFLITTO IN

IL RUOLO DEL CYBER WARFARE NEL CONFLITTO IN SIRIA
di Mario Avantini
L'Arabia Saudita ha dichiarato che sarà fuori legge la diffusione di informazioni tramite
Internet a beneficio di gruppi "terroristici", assumendo una posizione in linea con la decisione
già adottata dalle monarchie del Golfo Persico.
L'agenzia di stampa ufficiale Saudita “SPA” ha reso pubblica l‟approvazione da parte del
gabinetto di una "legislazione unitaria contro la criminalità informatica", adottata dal Consiglio
di Cooperazione del Golfo (CCG) nel mese di dicembre. L‟Agenzia ha dichiarato, inoltre, che la
normativa mira a perseguire coloro che "creano siti e pubblicano informazioni su Internet o in
una rete di computer a beneficio di gruppi terroristici, per agevolare contatti tra i vari esponenti
di appartenenza, per promuovere la proliferazione di correnti di pensiero o la ricerca di
finanziamenti".
Suddetta legislazione vieta anche "la diffusione di idee che potrebbero influenzare l'ordine
pubblico o il buon costume", è quanto dichiarato dall‟agenzia SPA, senza però fornire ulteriori
dettagli. “La maggior parte dei sei stati appartenenti all‟organizzazione GCC (Bahrain, Kuwait,
Oman, Qatar, Arabia Saudita e gli Emirati Arabi Uniti) negli ultimi anni hanno rafforzato le
proprie leggi contro la criminalità informatica.
Probabilmente, una Cyber guerra potrebbe giocare il ruolo più importante in un intervento in
Siria piuttosto che in qualsiasi altro conflitto. Tecniche di Cyber attacchi anonimi potrebbero
essere negabili, poco costose, sempre più efficaci e relativamente prive di rischi, certamente in
termini di proprie vittime. Suddette peculiarità rendono questa opzione estremamente attraente
in tale complesso panorama di situazione precaria.
Come per altre forme di operazioni clandestine, è probabile che da qualche tempo siano state
avviate attività preparatorie alla cyberwar. Le attività Cyber potrebbero essere utilizzate sia per
la raccolta di informazioni, che per la distruzione attiva di obiettivi militari e governativi.
A titolo di esempio, il virus Flame, che è stato lanciato in primo luogo contro l'Iran, , ha
conseguentemente infettato i sistemi informatici appartenenti anche ad altri paesi del Medio
Oriente, tra cui la Siria. Il virus Flame può essere attivato anche per attaccare e prendere il
controllo dei sistemi di computer infettati, raccogliendo informazioni riguardo dati di
registrazione delle intercettazioni su apparecchiature audio e fotocamere, oppure dati di
monitoraggio. intervento attivo di tipo Cyber potrebbe essere focalizzato allo sfruttamento di
eventuali debolezze dei sistemi informatici appartenenti alla difesa siriana (quasi tutti di
provenienza Russa) per agevolare attacchi fisici tradizionali, disabilitando, ad esempio, i sistemi
di comando e controllo, le reti di difesa aerea, i sistemi d‟arma computerizzati e le
comunicazione.
Tali operazioni possono anche avere qualche possibile effetto sulle dotazioni logistiche
dell‟esercito siriano, anche se sarebbero meno vulnerabili in quei sistemi moderni che sono
prerogativa degli eserciti più avanzati.
Al di là dell‟arena militare, un attacco informatico potrebbe essere utilizzato per distruggere le
infrastrutture civili come radio e TV, reti elettriche, reti finanziarie, linee aeree, trasporti e
telecomunicazioni, mettendo in ginocchio l‟intero sistema governativo e militare siriano. In tutti
i casi risulta opportuno, infatti, analizzare anche le capacità e le possibilità che sono a disposizione
del governo siriano. Quindi in prima istanza occorre analizzare il potenziale effettivo di cui dispone
il gruppo di attivisti denominato Syrian Electronic Army, attualmente tra i più attivi e pericolosi
sulla scena dei cosiddetti “hacktivist”. Syrian Electronic Army non è nuovo ad attacchi contro
obiettivi americani e solo negli ultimi mesi ha caratterizzato le proprie azioni con numerose
operazioni di hacktivism e di “social engineering” soprattutto ai danni di soggetti governativi
agenzie di stampa americane, come da ultimo, ad esempio, il famosissimo attacco lanciato contro il
profilo Twitter dell‟Associated Press, in conseguenza del quale, dopo aver annunciato una (finta)
esplosione alla Casa Bianca e il ferimento di Obama, il Dow Jones ha avuto un crollo di 150 punti.
In Siria però non sta avvenendo unicamente una sanguinaria repressione ma da settimane è in corso
anche una guerra in Rete, che si dipana tra sofisticate campagne malware e attività di hacking
effettuate da Syrian Electronic Army. La cyber-war in Siria è realtà ed è la faccia virtuale della
terribile guerra reale che si combatte per strade e quartieri.
Un articolo, intitolato Syria‟s Online Conflict: The Hackers And Their Weapons, di Tom Brewster
pubblicato su Techweek illustra qual è l‟ultima frontiera della cyber-war :
“Cyber repressione: C‟è un nome che ad un cittadino occidentale viene subito in mente appena si
parla di cyber conflitto in Siria – ed è quello della Syrian Electronic Army. Ciò avviene perché
molti dei suoi obiettivi sono stati media occidentali, il che ha colpito l‟inconscio collettivo. Tuttavia
la guerra online è in realtà vasta e complessa, e non si limita ad azioni di hacking. Alcuni attacchi
hanno ramificazioni più profonde dei defacement e degli hijacks dei profili Twitter. Nel mese di
luglio, per due giorni, era stato oscurato un sito Internet allestito per fornire ai siriani avvisi sugli
attacchi dei missili Scud: il sito era andato in tilt non a causa di un disservizio, in un Paese dilaniato
da una guerra civile, bensì era stato messo a KO da un massiccio attacco Disributed denial of
service (DDoS). Il fondatore del sito, Dlshad Olthman, ha dichiarato al giornalista di Techweek di
aver bloccato manualmente gli indirizzi IP usati come parte dell‟attacco fra le 6 del pomeriggio del
9 luglio fino alle 4 della mattina seguente. “Poi mi sono arreso, non potevo andare oltre,” ha
dichiarato. VirtualRoad.org, che offre sicurezza IT ad organizzazioni per la tutela dei Diritti Umani,
ha scoperto che erano state sfruttante ben 10.000 bot nell‟assalto al sito di Aymta (il nome che
significa “Quando” in arabo). La maggior parte degli indirizzi IP provenivano da stati che un tempo
appartenevano all‟ex Unione Sovietica, inclusi la Russia e l‟Ucraina. Altri indirizzi IP avevano base
in Iran. Othman è ormai certo che Nazioni avrebbero sponsorizzato i DDoS. E sospetta che questi
Stati sostengono il presidente Bashar al-Assad. “Si tratta di attacchi governativi –non piccole
organizzazioni private,” sottolinea. “Lo so perché ho lavorato nell’IT per anni, e non avevo mai
visto un attacco di proporzioni simili”.
I DDoS, in questi casi, hanno un impatto profondo nel mondo reale. Lanciato a fine giugno, il sito
Aymta permetteva di selezionare fonti certificate in Siria per condividere informazioni sicure sui
potenziali obiettivi dei missili Scud. Gli Scud sono missili facilmente visibili ma hanno già ucciso
centinaia, forse migliaia, di persone. I dati sulla minaccia degli Scud venivano poi distribuiti alla
popolazione civile via messaggi di testo, email, RSS feed o attraverso una rete broadcast su TV
satellitare o tramite trasmissioni radio-pirata non controllate dallo Stato (è in arrivo anche un‟app
per smartphone). Una mappa, inoltre, indica quali aree sono a rischio SCUD, in modo da evacuare
le zone in pericolo. Se un simile sito va giù, a causa di un Ddos, non è solo un attacco telematico: a
fare la differenza è la chance di vita e di morte. Othman, ingegnere sistemista con la passione per i
Diritti Umani, afferma che solo agli aggiornamenti testuali si erano registrati 3.000 cittasdini siriani.
Altri si iscriveranno, dopo che il tecnico è passato all‘hosting su un servizio cloud proprietario,
scalabile, che si spera rimanga attivo per salvare altre vite dagli attacchi missilistici. Nel Paese le
vittime della guerra civile sarebbero salite a un milione, dunque si spera che il sito rimanga in piedi
e anzi si espanda il più possibile. Anche la National Coalition for the Forces of the Revolution e
l‟Opposizione Siriana hanno il loro sito Web: etilaf.org, oscurato da un attacco DDoS il mese
scorso. Il sito è rimasto offline per giorni, ha detto Tarek al-Jazairi, consulente di new media per la
Syrian National Coalition. Anch‟egli ritiene che molti IP usati negli attacchi provenissero da Russia
e Iran, e non si escludono collegamenti con il Ddos contro Aymta. Poiché il sito diffonde
informazioni per i sostenitori della rivoluzione contro Assad, non stupisce che sia un obiettivo della
cyber guerra. Nell‟era dei bit i DDoS sono un‟arma potente.
Ora passiamo all‟onnipresente Syrian Electronic Army, con i suoi mass defacement, gli hijack di
Twitter eccetera. Un Ma non ci sono solo gli attacchi DDoS a impensierire l‟opposizione contro
Assad. Gli skill offensivi dei nemici hanno molte frecce al loro arco. Citizen Lab ha osservato due
attacchi a metà giugno. Il primo ha coinvolto un pezzo di malware impiantato in un legittimo client
VPN detto Freegate, che l‟opposizione usa per evitare lo snooping da parte del regime. Hacker
infiltrati in gruppi privati di social media sono stati individuati mentre diffondevano software
booby-trapped, contenente un Trojan per l‟accesso da remoto, in genere usato in operazioni di cyber
sorveglianza governative. Esso effettua keylogging, ed è in grado di attivare le webcam delle
vittime e trafugarne i file. Altre campagne anti-ribelli hanno assistito alla diffusione di phishing,
email che sembravano indirizzate a membri dell‟opposizione Siriana, ma i cui link, se cliccati,
infettavano gli utenti con malware. Il software era controllato da server con base in Siria, con
indirizzo SyriaTel IP. SyriaTel è l‟azienda Tlc posseduta da Rami Makhlouf, cugino del Presidente
Bashar al-Assad, in precedenza messo in connessione con la Syrian Electronic Army. Altre
campagne malware erano state individuate nel corso del 2012, a partire da una che sfruttava un
falso sito YouTube e un aggiornamento di Adobe Flash Player per scaricare software malevolo sulle
macchine finite nel mirino. Il sito noto come Syrian Malware adesso traccia gli attacchi, per
impedire ai civili e agli oppositori di cadere in trappole IT.
Il portavoce della Syrian Electronic Army ha spiegato a TechWeek di impiegare malware: “Talvolta
iniettiamo codice in alcune pagine e lasciamo che l’obiettivo le visiti, in modo che il malware invii
le password archiviate nel PC a un sito appartenente alla SEA”. Ma il portavoce nega attacchi
DDoS, che potrebbero invece essere attribuiti a gruppi affiliati. Il gruppo noto come Syrian
Hackers School aveva aperto una pagina Facebook nel 2011 che disseminava software di denial of
service (DoS) per attaccare siti di media (TechWeek non è però stata in grado di ritrovare la pagina
da segnalare). Il portavoce di SEA rifiuta però il coinvolgimento, adducendo che le accuse sono
mosse da al-Jazairi della coalizione, in merito al fatto che il gruppo sarebbe finanziariamente
supportato da Makhlouf, proprietario di SyriaTel e cugino di Bashar al-Assad, con ufficio a Dubai.
“Abbiamo base in Siria… Un gran numero di volontari Siriani appoggia SEA, forse migliaia”. In
effetti non c‟è prova di un collegamento fra SEA e il regime del Presidente, sebbene Bashar alAssad abbia espresso sostegno alle azioni del gruppo fin dal 2011. Gli attacchi di SEA sono iniziati
contro i siti, le pagine Facebook e i profili Twitter dell‟opposizione. “Ma ci sembravano siti
fantocci, così abbiamo iniziato ad attaccare i loro ‘mandanti’, come Qatar, Arabia Saudita e
l’America.” L‟attacco è stato poi condotto contro siti israeliani, a sostegno dei “fratelli Palestinesi”,
e contro i media britannici. Ogni settimana vengono compromessi account di social media e
vengono defacciati siti per propagandare messaggi in aperto sostegno al presidente Bashar alAssad.
L‟Army sembra godere del supporto di altri cyber gruppi, dagli Yemen Hackers ai Muslim Hackers,
dagli Arab Hackers For Free Palestine al Syrian Hackers School. La SEA dice di non vedere grandi
offensive messe in campo da parte gli oppositori. Un gruppo è Al-Nusra Electronic Army, che
potrebbe avere affiliazioni con il fronte reibelle Al-Nusra, che si suppone sia una branca di Al
Qaeda. Accusata del defacement ai danni della Syrian Commission on Financial Markets and
Securities a inizio di agosto, aveva già operato contro il governo Russo a marzo.
Un altro gruppo è composto dai Pirati di Aleppo, che adesso opera in Turchia, vicino ai confini
con la Siria; fondata da un ex della SEA, lavora in parallelo con un altro collettivo, i Falcons of
Damascus. Leader dei Pirati è Ahmed Hiedar, che al Global Post a inizio anno ha dichiarato di aver
hackerato la diretta delle trasmissioni della Tv di stato ben 13 volte.
Helmi Noman, ricercatore senior presso Citizen Lab, si è focalizzato sull‟aspetto settario del cyber
conflitto. Lo scisma fra Sciiti e Sunniti, nell‟Islam, si riflette in Siria, con la setta di Alawite Shi‟ite
del regime che combatte i vari gruppi Sunniti. “L’identità ideologica dei combattenti è visibile nei
messaggi dei defacement lasciati sui siti compromessi dai cyber attacchi. A settembre 2011, per
esempio, hacker si resero protagonisti di “un defacement contro un sito Siriano devoto al Grand
Ayatollah Khamenei, il capo supremo dell‟Iran e figura dell‟establishment conservatore sciita”
Noman precisa a TechWeek. “Il defacement venne dedicateo ai „revoluzionari del popolo siriano‟ e
ai „martiri della Siria‟, ma soprattutto diceva che la „Syria rimarrà un castello di Ahl Al-Sunnah‟,
con cui in arabo si indica la comunità Sunnita.” Ed aggiungeva frasi oltraggiose contro l‟Iran. Altro
tema-chiave è il Potere. Finché il regime controlla le infrastrutture critiche del Paese, i disservizi e i
tilt saranno frequenti: i black-out Internet guadagnano le prime pagine, ma bloccano tutte le forme
di comunicazioni elettroniche causando grandi problemi agli oppositori. “Il problema dei black-out
elettrici sono gravi e impattano le Tlc, non solo Internet,” sottolinea Noman.
Gli ISP sono collegati al governo e si comportano da man-in-the-middle nello snooping, mentre
altri attacchi a livello di rete sono frequenti, secondo Othman. I governativi detengono il controllo
sui contenuti, non solo su Internet ma in tutti i media: possono lanciare e pilotare massicce
campagne di propaganda contro i „ribelli‟.
Nella cyber guerra in Siria, il regime, in Rete, ha il coltello dalla parte del manico.
Traduzione di Syria’s Online Conflict: The Hackers And Their Weapons di Tom Brewster
pubblicato su Techweek Europe