Fallite le trattative in Qatar e interrotta la tregua, nelle ultime ore diversi attacchi hacker pro Hamas contro istituzioni e aziende dello Stato ebraico. L’analisi di Pierguido Iezzi, amministratore delegato di Swascan
Gli hacktivisti pro Hamas, protagonisti digitali nei primi giorni del conflitto, hanno rialzato la testa dopo il fallimento delle trattative in Qatar e l’improvvisa interruzione della tregua sul terreno, finalizzata allo scambio di ostaggi e prigionieri. Secondo l’osservatorio Cyber war di Swascan – parte del polo italiano per la cybersicurezza di Tinexta Group – già dalle prime ore di venerdì, poche ore dopo alcuni attentati a Gerusalemme, sono riprese le attività offensive della quinta dimensione e due collettivi in particolare hanno rivendicato attacchi contro Israele: Hacktivist of Garuda, un gruppo di origine indonesiana, attivo dal luglio 2022 e specializzato in web defacement; e VulzSec, attivo invece da fine aprile 2023 – anch’esso apparentemente indonesiano – che oltre alla pubblicazione di data leak ha anche effettuato attacchi DDoS.
Inoltre, VulzSec ha annunciato la pubblicazione di un presunto data breach in queste ore del ministero della Difesa israeliano. A queste due realtà si aggiunge il gruppo Anonymous Arabia, che è riuscito a mettere offline il sito di una delle prime 20 compagnie israeliane produttrice di semiconduttori.
La fine della tregua tra le due parti ha quindi riacceso la polveriera: non è da escludere che i movimenti di questi collettivi, apparentemente indipendenti o spontanei, siano in realtà in qualche modo influenzati e sostenuti da organismi statali, vista la precisione nell’agire in concomitanza con quanto accade su diversi piani: dal campo di battaglia all’ambiente cittadino dove si compiono attentati terroristici. Il rischio è quindi che ora, se non tacciono le armi, ai meno esperti e competenti hacktivisti si affianchino elementi più professionali, equipaggiati e letali come le APT (advanced persistent threat). Se ne sono già viste le conseguenze nel luglio del 2022, quando l’infrastruttura IT dell’Albania fu messa in ginocchio da numerosi e coordinati APT collegate alle istituzioni ed agenzie di informazione e sicurezza iraniane.
Nel corso degli attacchi del 2022 all’Albania ne furono individuati almeno quattro dal Microsoft Threat Intelligence: DEV-0861 (ha ottenuto l’accesso iniziale), DEV-0842 (ha attivato il ransomware e il wiper), DEV-0166 (ha esfiltrato dati) e DEV-0133 (ha analizzato l’infrastruttura della vittima), collegati direttamente o indirettamente al Ministero di Informazione e Sicurezza (MOIS) di Teheran. Rimane nei prossimi giorni da monitorare la resilienza e la capacità di risposta degli apparati israeliani, dallo Shin Bet alla rinomata Unità 8200 dell’IDF, unitamente ai gruppi di hacktivisti pro Israele, minoritari nel cyber spazio rispetto a quelli schieratisi a favore di Hamas. Altrettanto interessante sarà comprendere, dopo la ripresa delle ostilità sul terreno, quanto venga amplificato il fenomeno della guerra “partecipata” in ambito cyber.