Intelligence

Cyber War nel conflitto in Siria

 
 
L'Arabia Saudita ha dichiarato che sarà fuori legge la diffusione di informazioni tramite Internet a beneficio di gruppi "terroristici", assumendo una posizione in linea con la decisione già adottata dalle monarchie del Golfo Persico.

L'agenzia di stampa ufficiale Saudita "SPA" ha reso pubblica l'approvazione da parte del gabinetto di una "legislazione unitaria contro la criminalità informatica", adottata dal Consiglio di Cooperazione del Golfo (CCG) nel mese di dicembre.

L'Agenzia ha dichiarato, inoltre, che la normativa mira a perseguire coloro che "creano siti e pubblicano informazioni su Internet o in una rete di computer a beneficio di gruppi terroristici, per agevolare contatti tra i vari esponenti di appartenenza, per promuovere  la proliferazione di correnti di pensiero o la ricerca di finanziamenti".

Suddetta legislazione vieta anche "la diffusione di idee che potrebbero influenzare l'ordine pubblico o il buon costume", è quanto dichiarato dall'agenzia SPA, senza però fornire ulteriori dettagli. La maggior parte dei sei stati appartenenti all'organizzazione GCC (Bahrain, Kuwait, Oman, Qatar, Arabia Saudita e gli Emirati Arabi Uniti) negli ultimi anni hanno rafforzato le proprie leggi contro la criminalità informatica.

Probabilmente, una Cyber â€‹â€‹guerra potrebbe giocare il ruolo più importante in un intervento in Siria piuttosto che in qualsiasi altro conflitto. Cyber techniques are anonymous, deniable, inexpensive, increasingly effective and comparatively risk-free, certainly in terms of own casualties. Le Tecniche di Cyber attacchi anonimi potrebbero essere negabili, poco costose, sempre più efficaci e relativamente prive di rischi, certamente in termini di proprie vittime. This makes them attractive in this highly complex, precarious and fraught situation.Suddette peculiarità rendono questa opzione estremamente attraente in tale complesso panorama di situazione precaria.

Come per altre forme di operazioni clandestine, è probabile che da qualche tempo siano state avviate attività preparatorie alla cyberwar. Le attività Cyber â€‹â€‹potrebbero essere utilizzate sia per la raccolta di informazioni, che per la distruzione attiva di obiettivi militari e governativi.

A titolo di esempio, il virus Flame, che è stato lanciato in primo luogo contro l'Iran, , ha conseguentemente infettato i sistemi informatici appartenenti anche ad altri paesi del Medio Oriente, tra cui la Siria. Il virus Flame può essere attivato anche per attaccare e prendere il controllo dei sistemi di computer infettati, raccogliendo informazioni riguardo dati di registrazione delle intercettazioni su apparecchiature audio e fotocamere, oppure dati di monitoraggio. 

Flame è in grado di collezionare informazioni monitorando l'utilizzo di una tastiera, registrando dati e intercettando i segnali di apparecchiature audio e video. Un intervento attivo di tipo Cyber potrebbe essere focalizzato allo sfruttamento di eventuali debolezze dei sistemi informatici appartenenti alla difesa siriana (quasi tutti di provenienza Russa) per agevolare attacchi fisici tradizionali, disabilitando, ad esempio, i sistemi di comando e controllo, le reti di difesa aerea, i sistemi d'arma computerizzati e le comunicazione.

Tali operazioni possono anche avere qualche possibile effetto sulle dotazioni logistiche dell'esercito siriano, anche se sarebbero meno vulnerabili in quei sistemi moderni che sono prerogativa degli eserciti più avanzati.

Al di là dell'arena militare, un attacco informatico potrebbe essere utilizzato per distruggere le infrastrutture civili come radio e TV, reti elettriche, reti finanziarie, linee aeree, trasporti e telecomunicazioni, mettendo in ginocchio l'intero sistema governativo e militare siriano. In tutti i casi risulta opportuno, infatti, analizzare anche le capacità e le possibilità che sono a disposizione del governo siriano. Quindi in prima istanza occorre analizzare il potenziale effettivo di cui dispone il gruppo di attivisti denominato Syrian Electronic Army, attualmente tra i più attivi e pericolosi sulla scena dei cosiddetti "hacktivist". Syrian Electronic Army non è nuovo ad attacchi contro obiettivi americani e solo negli ultimi mesi ha caratterizzato le proprie azioni con numerose operazioni di hacktivism e di "social engineering" soprattutto ai danni di soggetti governativi agenzie di stampa americane, come da ultimo, ad esempio, il famosissimo attacco lanciato contro il profilo Twitter dell'Associated Pressin conseguenza del quale, dopo aver annunciato una (finta) esplosione alla Casa Bianca e il ferimento di Obama, il Dow Jones ha avuto un crollo di 150 punti.

In Siria però non  sta avvenendo unicamente una sanguinaria repressione ma da settimane è in corso anche una guerra in Rete, che si dipana tra sofisticate campagne malware e attività di hacking effettuate da Syrian Electronic Army. La cyber-war in Siria è realtà ed è la faccia virtuale della terribile guerra reale che si combatte per strade e quartieri.

Un articolo, intitolato Syria's Online Conflict: The Hackers And Their Weapons, di Tom Brewster pubblicato su Techweek  illustra qual è l'ultima frontiera della cyber-war :

"Cyber repressione: C'è un nome che ad un cittadino occidentale viene subito in mente appena si parla di cyber conflitto in Siria - ed è quello della Syrian Electronic Army. Ciò avviene perché molti dei suoi obiettivi sono stati media occidentali, il che ha colpito l'inconscio collettivo. Tuttavia la guerra online è in realtà vasta e complessa, e non si limita ad azioni di hacking. Alcuni attacchi hanno ramificazioni più profonde dei defacement e degli hijacks dei profili Twitter. Nel mese di luglio, per due giorni, era stato oscurato un sito Internet allestito per fornire ai siriani avvisi sugli attacchi dei missili Scud: il sito era andato in tilt non a causa di un disservizio, in un Paese dilaniato da una guerra civile, bensì era stato messo a KO da un massiccio attacco Disributed denial of service (DDoS). Il fondatore del sito, Dlshad Olthman, ha dichiarato al giornalista di Techweek di aver bloccato manualmente gli indirizzi IP usati come parte dell'attacco fra le 6 del pomeriggio del 9 luglio fino alle 4 della mattina seguente. "Poi mi sono arreso, non potevo andare oltre," ha dichiarato. VirtualRoad.org, che offre sicurezza IT ad organizzazioni per la tutela dei Diritti Umani, ha scoperto che erano state sfruttante ben 10.000 bot  nell'assalto al sito di Aymta (il nome che significa "Quando" in arabo). La maggior parte degli indirizzi IP provenivano da stati che un tempo appartenevano all'ex Unione Sovietica, inclusi la Russia e l'Ucraina. Altri indirizzi IP avevano base in Iran. Othman è ormai certo che Nazioni avrebbero sponsorizzato i DDoS. E sospetta che questi Stati sostengono il presidente Bashar al-Assad. "Si tratta di attacchi governativi -non piccole organizzazioni private," sottolinea. "Lo so perché ho lavorato nell'IT per anni, e non avevo mai visto un attacco di proporzioni simili".

I DDoS, in questi casi, hanno un impatto profondo nel mondo reale. Lanciato a fine giugno, il sito Aymta permetteva di selezionare fonti certificate in Siria per condividere informazioni sicure sui potenziali obiettivi dei missili Scud. Gli Scud sono missili facilmente visibili ma hanno già ucciso centinaia, forse migliaia, di persone. I dati sulla minaccia degli Scud venivano poi distribuiti alla popolazione civile via messaggi di testo, email, RSS feed o attraverso una rete broadcast su TV satellitare o tramite trasmissioni radio-pirata non controllate dallo Stato (è in arrivo anche un'app per smartphone). Una mappa, inoltre, indica quali aree sono a rischio SCUD, in modo da evacuare le zone in pericolo. Se un simile sito va giù, a causa di un Ddos, non è solo un attacco telematico: a fare la differenza è la chance di vita e di morte.  Othman, ingegnere sistemista con la passione per i Diritti Umani, afferma che solo agli aggiornamenti testuali si erano registrati 3.000 cittasdini siriani. Altri si iscriveranno, dopo che il tecnico è passato allhosting su un servizio cloud proprietario, scalabile, che si spera rimanga attivo per salvare altre vite dagli attacchi missilistici. Nel Paese le vittime della guerra civile sarebbero salite a un milione, dunque si spera che il sito rimanga in piedi e anzi si espanda il più possibile. Anche la National Coalition for the Forces of the Revolution e l'Opposizione Siriana hanno il loro sito Web: etilaf.org, oscurato da un attacco DDoS il mese scorso. Il sito è rimasto offline per giorni, ha detto Tarek al-Jazairi, consulente di new media per la Syrian National Coalition. Anch'egli ritiene che molti IP usati negli attacchi provenissero da Russia e Iran, e non si escludono collegamenti con il Ddos contro Aymta. Poiché il sito diffonde informazioni per i sostenitori della rivoluzione contro Assad, non stupisce che sia un obiettivo della cyber guerra. Nell'era dei bit i DDoS sono un'arma potente.

Ora passiamo all'onnipresente Syrian Electronic Army, con i suoi mass defacement, gli hijack di Twitter eccetera. Un Ma non ci sono solo gli attacchi DDoS a impensierire l'opposizione contro Assad. Gli skill offensivi dei nemici hanno molte frecce al loro arco. Citizen Lab ha osservato due attacchi a metà giugno. Il primo ha coinvolto un pezzo di malware impiantato in un legittimo client VPN detto Freegate, che l'opposizione usa per evitare lo snooping da parte del regime. Hacker infiltrati in gruppi privati di social media sono stati individuati mentre diffondevano software booby-trapped, contenente un Trojan per l'accesso da remoto, in genere usato in operazioni di cyber sorveglianza governative. Esso effettua keylogging, ed è in grado di attivare le webcam delle vittime e trafugarne i file. Altre campagne anti-ribelli hanno assistito alla diffusione di phishing, email che sembravano indirizzate a membri dell'opposizione Siriana, ma i cui link, se cliccati, infettavano gli utenti con malware. Il software era controllato da server con base in Siria, con indirizzo SyriaTel IP. SyriaTel è l'azienda Tlc posseduta da Rami Makhlouf, cugino del Presidente Bashar al-Assad, in precedenza messo in connessione con la Syrian Electronic Army. Altre campagne malware erano state individuate nel corso del 2012, a partire da una che sfruttava unfalso sito YouTube e un aggiornamento di Adobe Flash Player per scaricare software malevolo sulle macchine finite nel mirino. Il sito noto come Syrian Malware adesso traccia gli attacchi, per impedire ai civili e agli oppositori di cadere in trappole IT.

Il portavoce della Syrian Electronic Army ha spiegato a TechWeek di impiegare malware: "Talvolta iniettiamo codice in alcune pagine e lasciamo che l'obiettivo le visiti, in modo che il malware invii le password archiviate nel PC a un sito appartenente alla SEA". Ma il portavocenega attacchi DDoS, che potrebbero invece essere attribuiti a gruppi affiliati. Il gruppo noto come Syrian Hackers School aveva aperto una pagina Facebook nel 2011 che disseminava software di denial of service (DoS) per attaccare siti di media (TechWeek non è però stata in grado di ritrovare la pagina da segnalare). Il portavoce di SEA rifiuta però il coinvolgimento, adducendo che le accuse sono mosse da al-Jazairi della coalizione, in merito al fatto che il gruppo sarebbe finanziariamente supportato da Makhlouf, proprietario di SyriaTel e cugino di Bashar al-Assad, con ufficio a Dubai. "Abbiamo base in Siria... Un gran numero di volontari Siriani appoggia SEA, forse migliaia". In effetti non c'è prova di un collegamento fra SEA e il regime del Presidente, sebbene Bashar al-Assad abbia espresso sostegno alle azioni del gruppo fin dal 2011. Gli attacchi di SEA sono iniziati contro i siti, le pagine Facebook e i profili Twitter dell'opposizione. "Ma ci sembravano siti fantocci, così abbiamo iniziato ad attaccare i loro ‘mandanti', come Qatar, Arabia Saudita e l'America." L'attacco è stato poi condotto contro siti israeliani, a sostegno dei "fratelli Palestinesi", e contro i media britanniciOgni settimana vengono compromessi account di social media e vengono defacciati siti per propagandare messaggi in aperto sostegno al presidente Bashar al-Assad.

L'Army sembra godere del supporto di altri cyber gruppi, dagli Yemen Hackers ai Muslim Hackers, dagli Arab Hackers For Free Palestineal Syrian Hackers School. La SEA dice di non vedere grandi offensive messe in campo da parte gli oppositori. Un gruppo è Al-Nusra Electronic Army, che potrebbe avere affiliazioni con il fronte reibelle Al-Nusra, che si suppone sia una branca di Al Qaeda. Accusata deldefacement ai danni della Syrian Commission on Financial Markets and Securities a inizio di agosto, aveva già operato contro il governo Russo a marzo.

Un altro gruppo è composto dai Pirati di Aleppo, che adesso opera in Turchia, vicino ai confini con la Siria; fondata da un ex della SEA, lavora in parallelo con un altro collettivo, i Falcons of Damascus. Leader dei Pirati è Ahmed Hiedar, che al Global Post a inizio anno ha dichiarato di aver hackerato la diretta delle trasmissioni della Tv di stato ben 13 volte.

Helmi Noman, ricercatore senior presso Citizen Lab, si è focalizzato sull'aspetto settario del cyber conflitto. Lo scisma fra Sciiti e Sunniti, nell'Islam, si riflette in Siria, con la setta di Alawite Shi'ite del regime che combatte i vari gruppi Sunniti. "L'identità ideologica dei combattenti è visibile nei messaggi dei defacement lasciati sui siti compromessi dai cyber attacchi. A settembre 2011, per esempio, hacker si resero protagonisti di "un defacement contro un sito Siriano devoto al Grand Ayatollah Khamenei, il capo supremo dell'Iran e figura dell'establishment conservatore sciita" Noman precisa a TechWeek. "Il defacement venne dedicateo ai ‘revoluzionari del popolo siriano' e ai ‘martiri della Siria', ma soprattutto diceva che la ‘Syria rimarrà un castello di Ahl Al-Sunnah', con cui in arabo si indica la comunità Sunnita." Ed aggiungeva frasi oltraggiose contro l'Iran. Altro tema-chiave è il Potere. Finché il regime controlla le infrastrutture critiche del Paese, i disservizi e i tilt saranno frequenti: i black-out Internet guadagnano le prime pagine, ma bloccano tutte le forme di comunicazioni elettroniche causando grandi problemi agli oppositori. "Il problema dei black-out elettrici sono gravi e impattano le Tlc, non solo Internet," sottolinea Noman.

Gli ISP sono collegati al governo e si comportano da man-in-the-middle nello snooping, mentre altri attacchi a livello di rete sono frequenti, secondo Othman. I governativi detengono il controllo sui contenuti, non solo su Internet ma in tutti i media: possono lanciare e pilotare massicce campagne di propaganda contro i ‘ribelli'.

Nella cyber guerra in Siria, il regime, in Rete, ha il coltello dalla parte del manico.

__________________________________________________________________________________

Traduzione di Syria's Online Conflict: The Hackers And Their Weapons di Tom Brewster pubblicato su Techweek Europe

 

Comments   

Smithg310
0 #1 Smithg310 2014-04-22 16:08
You are my inspiration , I have few web logs and very sporadically run out from to brand. ddcaaeeeeedaebd k