L'EDITORIALE DELLA DOMENICA. Guerra parallela nel cyberspazio tra Israele e Hamas

di Germana Tappero Merlo

In piena notte, la prima dopo l’attacco terroristico di Hamas, negli uffici di una nota società di intelligence informatica di Tel Aviv, un collega ed amico, esperto di geolocalizzazione e di attivazione di dispositivi non connessi, mi informava che con i suoi collaboratori, e con grande sfinimento, stavano esaminando gli elenchi di persone rapite, uccise o di cui si erano perse le tracce fisiche tracciando quelle digitali dei loro cellulari. L’obiettivo era chiaro: rincorrere rapitori, salvare vite, e dare speranza o risposte ai parenti in ansia. I suoi sforzi e quelli dei colleghi, in pochi giorni, avrebbero portato al ritrovamento di parecchie persone, come quella trentina del kibbutz Ein HaShlosha, terrorizzate dagli assalti e nascoste in anfratti nel terreno per oltre 100 ore.

Dalla geolocalizzazioni alle profilazioni facciali

Nello stesso tempo, con una buona dose di aiuto anche dall’intelligenza artificiale, e dopo aver stilato la lista definitiva dei rapiti e dei morti, la stessa struttura, con altre società colleghe di intelligence informatica, iniziavano a visionare video pubblicati sui social media durante gli attacchi iniziali e quelli che, nel frattempo, provenivano da Gaza, incrociando nomi, numeri, geolocalizzazione appunto, sino alla profilazione facciale, per cercare di collegare identità di rapiti fra i dispersi ma anche per scoprire quelle dei loro aguzzini, i loro covi sotterranei o le loro abitazioni. Uno strumento utile alla caccia all’uomo e a salvare vite, con anche l’intelligence delle fonti aperte (OSINT), del web (WEBINT) e dei social media (SOCMINT), concentrati su piattaforme quali Instagram, Telegram, TikTok, X, per citare le più note. Ciò ha permesso di supportare, e sta ancora attivamente supportando e consolidando, le informazioni utili all’intelligence ebraica dapprima per la rappresaglia aerea mirata ed ora per l’offensiva di terra. Inoltre, raccolto il tutto con il rigore di un database, quelle informazioni forniranno materiale probatorio nei processi ai terroristi catturati nei giorni degli attacchi criminali.

Ma vi è anche il rovescio della medaglia. Se i cellulari sottratti alle vittime massacrate e ai 229 rapiti sono stati utili, allo stesso tempo sono stati fonte di innumerevoli informazioni ai loro aguzzini: entrare nelle chat di comunità dei kibbutz e moshav, ad esempio, ha significato venire a conoscenza di persone, ruoli, luoghi e una pletora di altre informazioni personali e sensibili (“un portone più che una finestra su Israele”) poi utilizzate dai terroristi nei giorni seguenti. Insomma, prima di intercettare o disattivare da Israele i cellulari delle vittime, c’è stata una logorante corsa contro il tempo e lo spirito criminale di Hamas.

Hacktivisti all'attacco

Uno spirito che viaggia in rete, nel dark web in particolare, e che fa proseliti. Ed è così che, ed è noto da ottimi seppur sintetici report usciti nel frattempo[1], accanto alla guerra fisica, sul terreno, si è scatenata una guerra nel cyber spazio, fra organismi di hackeraggio di capacità elevata, interni o ingaggiati da potenze regionali rivali a Israele, soprattutto iraniani, già noti da tempo alle strutture di cyber intelligence, supportati od ostacolati da hacktivisti di entrambi i lati, con superiorità numerica a favore dei palestinesi (150 gruppi, contro i 28 pro-Israele, fra quelli individuati). E mentre attività di DDoS (distributed denial of service)[2], lanciate da importanti quanto criminali strutture di hackeraggio (Anonymous Sudan, KillNet, AnonGhost, Cyber Av3ngers, Team Insane PK’, e altri minori) paralizzavano parte di Israele attraverso attacchi a infrastrutture critiche (i sistemi RedAlert e Tzeva Adom, che avvertono i cittadini israeliani di attacchi missilistici imminenti, così come siti governativi e ministeri, gestori della rete elettrica NOGA, ospedali e media), partiva una sorta di chiamata globale all’assalto cibernetico con eserciti virtuali di hacktivisti che sfruttavano attività di doxing, ossia la ricerca e la diffusione di informazioni private e sensibili[3], e shaming on line (diffusione di immagini violente) al solo scopo di spandere terrore psicologico fra i civili.

Non sono mancati fra gli hacktivisti, inoltre, la condivisione di scoperte e lo sfruttamento di nuove e vecchie vulnerabilità di sistema per sferrare attività congiunte di disinformazione e di defacement, hackerando siti per trasmettere messaggi politici e ideologi contrari o, nel caso in questione, per far pervenire sui cellulari degli israeliani o sui cartelloni pubblicitari digitali sparsi in tutta Israele, foto di persone trucidate e bandiere israeliane in fiamme, celebrando nel frattempo i massacri e istigando a nuove azioni violente. Inoltre, in contemporanea, veniva lanciata una campagna massiccia anche di chiamate e sms minacciosi, casuali oppure in blocco, in una sorta di vero e proprio impazzimento di quel vasto mondo di internet delle cose (IoT) che gestisce comunicazioni, elettrodomestici, sistemi di illuminazione e di allarme di parecchie case e condomini civili di una Israele altamente tecnologizzata. In pratica, il caos, la paura e il tonfo psicologico, compagni e complici di ogni guerra moderna, che è ormai di puro terrore e che, in quei primi giorni, ha supportato Hamas, trovando l’immediato sostegno di hacktivisti e criminali informatici generici anche al di fuori dei Territori.

Le manovre di false flag

Perché, com’è noto nell’ambiente di contrasto al terrorismo in rete soprattutto se nel dark web, per fare ciò non è necessaria grande abilità informatica, tanto che, nella fattispecie, ad operare sono stati, e continuano ad esserlo, giovanissimi smanettoni nativi digitali e simpatizzanti di Hamas, non necessariamente sponsorizzati da Stati nemici ma agenti per propria iniziativa, perché deviati da estremismo ideologico o semplicemente da turpe psichiche, per cui inclini al caos, all’odio e alla violenza fisica, il cui scopo era (ed è ancora) solo quello di infliggere a Israele il massimo numero di vittime civili. La provenienza accertata di questi attacchi cibernetici a basso impatto – cosa non così semplice dato l’anonimato che li caratterizza e per via di manovre false flag, il cui scopo è attribuire un’azione a una fonte diversa da quella reale – ha condotto a responsabilità, fra i più attivi, di hacker russi, indonesiani, sudanesi, egiziani, giordani e della stessa Gaza, da cui il suo isolamento digitale e di corrente elettrica da parte di Israele. In pratica, come già in passato, un cyberspazio che si rivela essere un secondo fronte, una sorta di guerra partecipata con altri mezzi, senza regole di ingaggio definite, se non un radicale odio, in questo caso nei confronti di Israele.

Sono state impiegate pratiche che, fra l’altro, erano state usate con successo contro la Russia all’inizio del conflitto che ancora si sta combattendo in Ucraina, in quella che è stata, ed è ancora, una guerra informatica di crowdsourcing senza precedenti. Con un vantaggio ora per chi contrasta il terrore via web e cellulari, dato che nei circa due anni del conflitto ucraino, gli esperti di sicurezza informatica e i servizi di intelligence di tutto il mondo hanno avuto il tempo di analizzare, prepararsi e cercare di cautelarsi imparando proprio dai fallimenti delle difese informatiche russe. Magra consolazione, forse, ma certamente il monito a tenere sempre allertata l’attenzione sul mondo, giovane e agguerrito, dei cyber hacktivisti, pronti e preparati a creare caos e diffondere odio.

Un esercito parallelo cibernetico

E superato lo shock iniziale, l’Israele cibernetica ha reagito. Aziende informatiche “offensive”, come NSO, Rayzone, Paragon e Candiru, con quelle di intelligence e di difesa digitale, quali Cobwebs, AnyVision e Intelos, a fianco di quelle di servizi di contro-informazione, sovente concorrenti se non addirittura acerrime nemiche sul mercato, si sono compattate, hanno unito gli sforzi delle proprie eccellenze e si sono letteralmente arruolate in una sorta di esercito cibernetico parallelo. In pratica è stata composta una cyberwar room di privati, a cui si sono aggiunti oltre un centinaio di hacker e ricercatori senior del mondo dell’offensiva e della difesa informatica anche al di fuori di Israele, al solo scopo di contrastare questa guerra partecipata di Hamas con i suoi spalleggiatori sul fronte della rete. Dalla ricerca di persone scomparse, identificazione di vittime e rapiti, la missione era quindi cambiata, concentrandosi sulla condivisione di dati per arginare le possibili falle dei sistemi informatici e per consolidare le risorse e gli sforzi di contrasto.

Ma la domanda che ci si è posti sovente in queste settimane riguarda come sia stato possibile cadere vittima di tali attacchi per una Israele altamente tecnologica, che da anni fa della sua eccellenza nell’ingegneria informatica, soprattutto nella difesa, un vanto nazionale e un riferimento mondiale di know how. Le risposte possono avere contorni complessi e colmi di riferimenti tecnici. Ma in questo caso sta emergendo una realtà ben più semplice e per questo dal sapore amaro. Come nel caso dei “blitz alla Isis” sferrati da Hamas contro i civili, poi massacrati, in cui gli strateghi del terrore hanno sfruttato debolezze e vulnerabilità di un sistema di intelligence interna e di vigilanza lungo quel confine, con relativa carenza di una difesa militare adeguata, ebbene, la guerra cibernetica sferrata da Hamas ha sfruttato la grave crisi dei vari settori di intelligence informatica ebraica, in particolare quelli preposti ai ministeri per la difesa civile, alla cui guida Netanyahu, dopo aver scatenato litigi interni, aveva nominato CEO di basso livello professionale, le cui virtù più importanti, pare - e a detta di chi ne ha subito le insipienti decisioni - fossero solo dare ragione al Premier e alla consorte Sara.

L'uso distorto della tecnologia da parte di Netanyahu

Da quelle scelte, la paralisi di attività di aziende come la NSO, il cui sistema Pegasus[4] per idiozia manageriale era stato coinvolto, un paio di anni fa, nel controllo, anche se spionaggio sarebbe più opportuno, di alti funzionari americani in Africa, da cui la reazione piccata di Washington e l’inserimento nella lista nera di NSO, Candiru e altre società accusate di produrre e utilizzare spyware contro strutture statunitensi.

Le ripercussioni di immagine negativa a livello mondiale, con anche le accuse a Netanyahu di aver tentato di “politicizzare” quelle tecnologie, con un conseguente loro utilizzo pro-suo da parte degli organismi di indagine da cui dipendevano le sue vicende processuali, hanno portato all’indietro la lancetta dell’orologio, per cui Israele si è ritrovata ad abbandonare la via di quella che considerava una cyber diplomazia e a navigare a vista, perdendo contratti strepitosi di ricerca e di collaborazioni, oppure a rifiutare, per orgoglio ferito, di dare il via libera alla firma di nuovi accordi internazionali. Da qui, e in breve tempo, la chiusura di molte aziende e una emorragia di cervelli e di competenze dal fantastico mondo dell’informatica ebraica. Questa mancanza di talenti ha danneggiato la preparazione di Israele e ha ostacolato la sua risposta a posteriori. In pratica, e da come emerge da più fonti, l’incompetenza e azzardate decisioni di un vertice politico egocentrico e concentrato sui propri guai giudiziari, accanto a quella dei manager preposti in un settore così delicato per la sicurezza di Israele, hanno minato nelle fondamenta la struttura e l’operatività di ciò che da sempre era l’eccellenza per la difesa e per l’ intelligence informatica israeliane, finendo per danneggiare anche la capacità di Israele di mantenere il suo vantaggio informatico militare che, come emerso in questi giorni, necessita sempre dell’apporto e del know how di aziende private.

Tuttavia ora, e riprendendo le preoccupazioni più volte rivoltemi dall’amico e da altri colleghi, e come già accaduto per il conflitto Russia-Ucraina, si teme che con il prolungamento della guerra ad Hamas ci sia un aumento non solo di minacce di basso livello da parte di hacktivisti, ma soprattutto quelle di criminali informatici, perché i dati trafugati potranno fungere da tassello per lanciare attacchi futuri o, cosa non rara, rappresentare merce pronta per essere venduta a società di frodo a puro scopo di lucro, a cui si aggiungeranno attività di spionaggio per falle di sistema che già si sono registrate e che aumenteranno sicuramente a breve. Tuttavia, come ho cercato di illustrare con questa analisi, sintetica per un mondo complessissimo, vi è sempre l’altro lato della medaglia, ossia che anche Israele ha acquisito nel frattempo più strumenti, competenze sofisticate, e soprattutto informazioni per identificare i nemici, vecchi e nuovi, e mappare ulteriormente traffici finanziari di sponsor locali del terrorismo di Hamas, Hezbollah e Jihad Islamica, con anche il targeting di banche regionali e globali. È stata solo questione di riprendersi dallo shock del terrore e del caos, e l’Israele informatica è parsa competente e agguerrita a difendersi dai nemici esterni, mentre i responsabili interni dei fallimenti operativi e di intelligence, i peggiori nella storia della nazione ebraica, si prevede che verranno indagati a fondo una volta che questa guerra si concluderà.

Note

[1] Fra i quali, M. Gabanelli, G. Santucci, L’escalation in corso della guerra in Rete, “Corriere della Sera”, 23 ottobre 2023, p. 11. [2] Si tratta di un attacco in massa di computer “infettati” in precedenza da virus, che inviano un numero esorbitante di richieste simultanee a un sito o applicazione, bloccandone l’operatività. [3] È stato il caso di un database di un’università, in cui gli hacker hanno fatto trapelare oltre 250mila dati di studenti e personale, e la diffusione dei loro nomi e volti con notizie false di un loro rapimento (“Li abbiamo presi tutti”) e un emoji con coltello, a puro scopo terroristico. [4] Lo stesso Pegasus è stato aggiornato dagli sviluppatori della NSO per adattarlo alle nuove ed urgenti esigente, quali la ricerca e il salvataggio delle persone scomparse o rapite.