I cercapersone esplosi in Libano aprono scenari di nuovi possibili attacchi hacker, che ridefiniscono i confini della guerra cyber, ad opera probabilmente dei servizi segreti israeliani, mettendo per ora fuori gioco Hezbollah in Libano.
Duemilaottocento feriti e almeno dodici morti il 18 settembre, oltre al ferimento dell’ambasciatore iraniano in Libano, è il bilancio provvisorio dell’esplosione da remoto dei cercapersone che i miliziani filo-iraniani usavano per le reti interne di comunicazione, dopo averli usati per rimpiazzare gli smartphone, più facilmente intercettabili. In modo analogo, il 19 settembre sono esplosi walkie talkie, uccidendo almeno 20 persone e ferendone altre 450.
“L’attacco hacker che ha catturato l’attenzione mediatica coinvolge attori malevoli che, a distanza, sono riusciti a interferire con le batterie di dispositivi, provocandone l’esplosione“, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
“Dalle fonti online pare che i dispositivi fossero stati configurati appositamente per poter esplodere grazie a una piccola carica“, aggiunge Paolo Dal Checco, informatico forense.
Ecco cosa sappiamo della compromissione e come questo attacco ridefinisce le frontiere della cyber war.
Indice degli argomenti
Attacco hacker a Hezbollah: esplosi i cercapersone dei miliziani
Secondo Stefano Fratepietro, è un cyber attacco creativo e fantasioso alla Mr. Robot. Vasily Kononov lo definisce un attacco informatico di portata storica contro Hezbollah. Il professor Giovanni Ziccardi, un attacco informatico molto interessante e innovativo.
Le esplosioni sono avvenute in simultanea nelle zone suburbane di Beirut, soprattutto nell’area di Dahiyeh.
“Si presume che la piccola carica (di cui i cercapersone erano dotati per l’esplosione, ndr) dovesse attivarsi solo in caso di perdita o furto“, spiega Dal Checco, “un po’ come quando riportiamo allo stato di fabbrica i nostri telefoni da remoto quando li perdiamo o ce li rubano. La carica, che doveva semplicemente neutralizzare il dispositivo, è però stata sufficiente per ferire le persone, soprattutto perché questi dispositivi si tengono spesso in tasca a contatto con il corpo, per sentirli vibrare o suonare”.
I cercapersone utilizzati: Gold Apollo
Secondo le prime informazioni, i cercapersone sarebbero stati prodotti da un’azienda chiamata Gold Apollo di Taiwan.
Il presidente di Gold Apollo, Hsu Ching-kuang, ha dichiarato mercoledì ai giornalisti che la sua azienda non ha prodotto i cercapersone in questione e che sono stati fabbricati da un’azienda straniera che ha ottenuto la licenza per il marchio della sua azienda circa due anni fa.
Gold Apollo ha poi rilasciato una dichiarazione in cui afferma che i cercapersone sono stati progettati e costruiti da una società chiamata BAC Consulting Kft, registrata a Budapest.
Un’azienda israeliana a produrli
Aggiornamento del 19 settembre: da fonti di intelligence sta emergendo che dietro il produttore ci fosse direttamente Israele, con la società B.A.C. Consulting.
In apparenza, la B.A.C. Consulting era una società con sede in Ungheria che aveva l’incarico di produrre gli ordigni per conto della Gold Apollo. In realtà, faceva parte di un fronte israeliano, secondo tre ufficiali dell’intelligence informati sull’operazione. Hanno detto che sono state create almeno altre due società di comodo per mascherare la vera identità delle persone che creavano i cercapersone: ufficiali dell’intelligence israeliana.
La B.A.C. ha assunto clienti ordinari, per i quali ha prodotto una serie di cercapersone ordinari. Ma l’unico cliente veramente importante era Hezbollah, e i suoi cercapersone erano tutt’altro che ordinari. Prodotti separatamente, contenevano batterie contenenti l’esplosivo PETN.
Cosa sappiamo dell’attacco hacker ai cercapersone
I miliziani di Hezbollah hanno sostituito gli smartphone, troppo a rischio di intercettazione, con i più semplici e low-tech cercapersone. Ma oggi sono stati fatti esplodere a distanza attraverso un geniale attacco informatico.
Vettori dell’attacco hacker in Libano
Ormai è assodato è l’uso di esplosivi inseriti nei cercapersone, azionati a distanza.
Molte fonti ipotizzano un malware come vettore d’attacco, un codice via messaggio di rete o radiofrequenza.
Sky News Arabia riporta che un’azione da remoto, condotta mediante un cyber attacco, ha provocato l’esplosione dei dispositivi di comunicazione dei membri di Hezbollah, che, secondo Kononov, sarebbero stati configurati per l’autodistruzione con lo scopo di blindare il canale.
La compromissione di pager portatili, sfruttati dai miliziani filo-iraniani per comunicare in maniera segreta e tenere il filo dell’organizzazione che, dal giorno seguente dell’attacco di Hamas dello scorso 7 ottobre, bombarda con missili il Nord di Israele, ha fatto sì che i dispositivi, compromessi, siano stati fatti esplodere in contemporanea.
L’esplosivo
“Nei video dei momenti in cui sono avvenute le esplosioni si vede come i soggetti che li indossavano sono stati attratti probabilmente da un suono o da una vibrazione, hanno quindi toccato i cercapersone che mostravano il display acceso e dopo un paio di secondi è avvenuta la detonazione, come se in qualche modo fosse stata innescata qualche routine sul dispositivo, ovviamente da remoto”, evidenzia Dal Checco.
“Da capire è se questo meccanismo sia stato voluto (attrarre l’attenzione del soggetto) oppure se l’attacco prevede che il display si accendesse, emettesse magari un suono e poi esplodesse”, avverte Dal Checco: “Nel primo caso, nell’ipotesi di un delay voluto tra l’accensione del display, eventuale suono ed esplosione, probabilmente l’intenzione era proprio quella di fare in modo che il soggetto estraesse il cercapersone da tasca o borsa portandolo vicino al viso, magari per visionare i dati del chiamante, mirando quindi a ottenere un maggiore danno“.
Ovviamente, “non si può escludere – anzi, pare abbastanza probabile -“, secondo Dal Checco, “che la carica di protezione fosse stata sovradosata per creare un danno anche all’eventuale ladro, sempre nell’ipotesi che la funzionalità di distruzione fosse prevista (e immaginiamo anche nota) da chi ha acquistato i dispositivi. Questo dosaggio spiegherebbe anche il fatto che le detonazioni hanno causato migliaia di feriti e quasi una decina di morti, mentre se la carica fosse stata limitata alla distruzione del solo chip non sarebbero stati coinvolti“.
“Un punto chiave da smarcare è se questa sorta di ‘hidden feature’ era nota agli utilizzatori, se potevano attivarla anche loro da remoto (così come noi possiamo fare il ‘wipe’ dei nostri smartphone connettendoci all’account Google, Apple o Samsung e cancellandone il contenuto) oppure se era stata prevista da un’organizzazione a monte, che aveva distribuito/venduto/regalato i dispositivi senza informare gli utenti di questa funzionalità”, continua Dal Checco.
“Non si può poi escludere che tale funzionalità fosse nota ma non attivata, né dagli utenti né dall’organizzazione che li ha prodotti/distribuiti, ma che qualche attaccante ne abbia scoperto la presenza e il modo di utilizzarla da remoto“, ipotizza l’informatico forense.
Frequenze o codice/malware
Quanto al vettore d’attacco, un’ipotesi nota Claudio Telmon, dell’associazione Clusit, è che i cercapersone siano stati modificati a livello software per reagire a specifiche frequenze radio. Una volta attivati da un segnale radio trasmesso a lungo raggio, i cercapersone potrebbero aver innescato le esplosioni.
Già negli anni ’90 Israele ha ucciso l’artificiere di Hamas Yahya Ayyash mettendo un esplosivo in un telefono che poi è stato fatto esplodere vicino al suo orecchio.
All’epoca Israele ha usato una ricetrasmittente per azionare l’esplosivo, con un comando tramite radio frequenza. A conferma che è possibile farlo anche in via analogica, senza usare malware o pacchetti dati. Non è necessario insomma ipotizzare un attacco cyber sofisticato come quello Stuxnet, worm usato nel 2010 per colpire le strutture nucleari iraniane danneggiando i loro controllori logici programmabili (plc). Stuxnet avrebbe distrutto numerose centrifughe nell’impianto di arricchimento dell’uranio iraniano di Natanz, facendole bruciare.
In alternativa, la manomissione del pager può essere fatta per reagire a un codice mandato via messaggio di rete.
Aggiornamento 19 settembre: l’ipotesi del messaggio con codice sembra essere ormai la più valida secondo fonti di intelligence.
Del resto i sopravvissuti hanno riferito di aver sentito i cercapersone suonare e visualizzare una serie di numeri sui loro schermi circa cinque secondi prima della detonazione.
“Un malware, anche se non in senso tradizionale”, spiega Dal Checco.
La manomissione può essere un’alterazione del software oppure uso di una nanosim integrata con il dispositivo. In entrambi i casi, il sistema o la nanosim fungerebbero così da innesco per l’esplosivo.
Concorda, sul Wall Street Journal del 18 settembre, Robert Graham, amministratore delegato di Errata Security, un’azienda di sicurezza informatica di Atlanta: “ha affermato che “è possibile che gli hacker abbiano fatto esplodere le batterie all’interno dei cercapersone con una pagina contenente codice maligno, ma sarebbe molto difficile. Gli hacker dovrebbero conoscere la marca e il modello dei dispositivi e l’effetto non sarebbe così potente come suggeriscono i video delle esplosioni”, ha detto. Lo scenario più probabile, secondo Graham, è che una spedizione di cercapersone dal produttore sia stata intercettata durante il tragitto verso la destinazione e che all’interno siano stati inseriti degli esplosivi insieme a del codice maligno. Un “page” ossia un messaggio li avrebbe fatti esplodere, quindi.
Surriscaldamento batteria senza esplosivo
Infine, in modo analogo a quanto successo con Stuxnet, si potrebbe pensare che gli attaccanti abbiano fatto surriscaldare i cercapersone con comandi a distanza sempre via trojan, provocando di per sé l’esplosione delle batterie (senza bisogno quindi di mettere esplosivo) tramite un cortocircuito.
“Si ipotizza che abbiano causato un corto circuito nelle batterie agli ioni di litio portando all’esplosione dei dispositivi. Non sono stati ancora rivelati dettagli tecnici, ma si sospetta l’uso di vulnerabilità dei dispositivi o un sabotaggio della fornitura, potenzialmente facilitato da agenti infiltrati”, sottolinea Paganini.
Il corto circuito crea un surriscaldamento e quindi l’esplosione della batteria.
Questo metodo, ipotizzato da Paganini, è considerato ora poco probabile, anche secondo Telmon e Dal Checco rispetto all’uso di una piccola carica di esplosivo. Una batteria da sola non potrebbe causare quel danno. Tantomeno le pile AAA dei cercapersone in questione (com’è emerso successivamente).
Sono a rischio anche i nostri smartphone?
“Per chi si chiede se anche i nostri telefoni cellulari possano essere fatti esplodere da remoto, è improbabile che ciò avvenga anche perché la batteria al litio di uno smartphone può sì prendere fuoco, ma non con una esplosione come quella mostrata nei video dei cercapersone di Hezbollah”, mette in guardia Dal Checco.
“Questo non esclude che, da remoto, le batterie degli smartphone si possano teoricamente fare riscaldare al punto da mandarle in corto circuito, non pare però possibile che si generi un’esplosione, soprattutto perché esistono meccanismi di protezione delle pile al litio che regolano la carica/scarica ma non possono ragionevolmente causarne un corto circuito”.
Chiaramente, “i dispositivi dotati di batterie al litio presentano comunque potenziali rischi ma soltanto quando superano una certa potenza, non a caso vi sono regole ferree che impediscono di portare con sé nella cabina degli aerei power bank oltre una certa dimensione e vietano di portare in aereo oggetti (per esempio monopattini elettrici, ebike, segway eccetera) con batterie al litio di potenza maggiore di quella degli smartphone o dei power bank”, conclude Dal Checco.
Al di là delle ipotesi, tutte affascinanti e plausibili, in attesa delle conferme ufficiali, questo attacco hacker è destinato a ridefinire le frontiere della cyber war, dimostrando quanto la tecnologia possa trasformarsi in un’arma sempre più centrale e letale nei conflitti che si combattono su scala mondiale.
Aggiornato il 18 settembre e il 19 settembre