Attacco hacker a Hezbollah: cosa sappiamo dei cercapersone fatti ...

I cercapersone esplosi in Libano aprono scenari di nuovi possibili attacchi hacker, che ridefiniscono i confini della guerra cyber, ad opera probabilmente dei servizi segreti israeliani, mette fuori gioco Hezbollah in Libano.

Duemilaottocento feriti e almeno otto morti, oltre al ferimento dell’ambasciatore iraniano in Libano, è il bilancio provvisorio dell’esplosione da remoto dei cercapersone che i miliziani filo-iraniani usavano per le reti interne di comunicazione, dopo averli usati per rimpiazzare gli smartphone, più facilmente intercettabili.

“L’attacco hacker che ha catturato l’attenzione mediatica coinvolge attori malevoli che, a distanza, sono riusciti a interferire con le batterie di dispositivi, provocandone l’esplosione“, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.

“Dalle fonti online pare che i dispositivi fossero stati configurati appositamente per poter esplodere grazie a una piccola carica“, aggiunge Paolo Dal Checco, informatico forense.

Ecco cosa sappiamo della compromissione e come questo attacco ridefinisce le frontiere della cyber war.

Attacco hacker a Hezbollah: esplosi i cercapersone dei miliziani

Secondo Stefano Fratepietro, è un cyber attacco creativo e fantasioso alla Mr. Robot. Vasily Kononov lo definisce un attacco informatico di portata storica contro Hezbollah. Il professor Giovanni Ziccardi, un attacco informatico molto interessante e innovativo.

Le esplosioni sono avvenute in simultanea nelle zone suburbane di Beirut, soprattutto nell’area di Dahiyeh.

“Si presume che la piccola carica (di cui i cercapersone erano dotati per l’esplosione, ndr) dovesse attivarsi solo in caso di perdita o furto“, spiega Dal Checco, “un po’ come quando riportiamo allo stato di fabbrica i nostri telefoni da remoto quando li perdiamo o ce li rubano. La carica, che doveva semplicemente neutralizzare il dispositivo, è però stata sufficiente per ferire le persone, soprattutto perché questi dispositivi si tengono spesso in tasca a contatto con il corpo, per sentirli vibrare o suonare”.

Cosa sappiamo dell’attacco hacker ai cercapersone

I miliziani di Hezbollah hanno sostituito gli smartphone, troppo a rischio di intercettazione, con i più semplici e low-tech cercapersone. Ma oggi sono stati fatti esplodere a distanza attraverso un geniale attacco informatico.

Un malware

“Si ipotizza che abbiano causato un corto circuito nelle batterie agli ioni di litio portando all’esplosione dei dispositivi. Non sono stati ancora rivelati dettagli tecnici, ma si sospetta l’uso di vulnerabilità dei dispositivi o un sabotaggio della fornitura, potenzialmente facilitato da agenti infiltrati”, sottolinea Paganini.

Il corto circuito crea un surriscaldamento e quindi l’esplosione della batteria.

Altri ipotizzano l’uso di esplosivi inseriti nei cercapersone, azionati a distanza.

Molte fonti ipotizzano un malware trojan come vettore d’attacco.

Sky News Arabia riporta che un’azione da remoto, condotta mediante un cyber attacco, ha provocato l’esplosione dei dispositivi di comunicazione dei membri di Hezbollah, che, secondo Kononov, sarebbero stati configurati per l’autodistruzione con lo scopo di blindare il canale.

La compromissione di pager portatili, sfruttati dai miliziani filo-iraniani per comunicare in maniera segreta e tenere il filo dell’organizzazione che, dal giorno seguente dell’attacco di Hamas dello scorso 7 ottobre, bombarda con missili il Nord di Israele, ha fatto sì che i dispositivi, compromessi, siano stati fatti esplodere in contemporanea.

L’esplosivo

“Nei video dei momenti in cui sono avvenute le esplosioni si vede come i soggetti che li indossavano sono stati attratti probabilmente da un suono o da una vibrazione, hanno quindi toccato i cercapersone che mostravano il display acceso e dopo un paio di secondi è avvenuta la detonazione, come se in qualche modo fosse stata innescata qualche routine sul dispositivo, ovviamente da remoto”, evidenzia Dal Checco.

“Da capire è se questo meccanismo sia stato voluto (attrarre l’attenzione del soggetto) oppure se l’attacco prevede che il display si accendesse, emettesse magari un suono e poi esplodesse”, avverte Dal Checco: “Nel primo caso, nell’ipotesi di un delay voluto tra l’accensione del display, eventuale suono ed esplosione, probabilmente l’intenzione era proprio quella di fare in modo che il soggetto estraesse il cercapersone da tasca o borsa portandolo vicino al viso, magari per visionare i dati del chiamante, mirando quindi a ottenere un maggiore danno“.

Ovviamente, “non si può escludere – anzi, pare abbastanza probabile -“, secondo Dal Checco, “che la carica di protezione fosse stata sovradosata per creare un danno anche all’eventuale ladro, sempre nell’ipotesi che la funzionalità di distruzione fosse prevista (e immaginiamo anche nota) da chi ha acquistato i dispositivi. Questo dosaggio spiegherebbe anche il fatto che le detonazioni hanno causato migliaia di feriti e quasi una decina di morti, mentre se la carica fosse stata limitata alla distruzione del solo chip non sarebbero stati coinvolti“.

“Un punto chiave da smarcare è se questa sorta di ‘hidden feature’ era nota agli utilizzatori, se potevano attivarla anche loro da remoto (così come noi possiamo fare il ‘wipe’ dei nostri smartphone connettendoci all’account Google, Apple o Samsung e cancellandone il contenuto) oppure se era stata prevista da un’organizzazione a monte, che aveva distribuito/venduto/regalato i dispositivi senza informare gli utenti di questa funzionalità”, continua Dal Checco.

“Non si può poi escludere che tale funzionalità fosse nota ma non attivata, né dagli utenti né dall’organizzazione che li ha prodotti/distribuiti, ma che qualche attaccante ne abbia scoperto la presenza e il modo di utilizzarla da remoto“, ipotizza l’informatico forense.

Frequenze

Un’altra teoria, nota CLaudio Telmon, dell’associazione Clusit, è che i cercapersone siano stati modificati per reagire a specifiche frequenze radio. Una volta attivati da un segnale radio trasmesso a lungo raggio, i cercapersone potrebbero aver innescato le esplosioni.

Già negli anni 90 Israele ha ucciso l’artificiere di Hamas Yahya Ayyash mettendo un esplosivo in un telefono che è stato fatto esplodere vicino al suo orecchio.

All’epoca Israele ha usato una ricetrasmittente per azionare l’esplosivo, con un comando tramite radio frequenza. A conferma che è possibile farlo anche in via analogica, senza usare malware o pacchetti dati. Non è necessario insomma ipotizzare un attacco cyber sofisticato come quello Stuxnet, worm usato nel 2010 per colpire le strutture nucleari iraniane danneggiando i loro controllori logici programmabili (plc). Stuxnet avrebbe distrutto numerose centrifughe nell’impianto di arricchimento dell’uranio iraniano di Natanz, facendole bruciare.

Surriscaldamento batteria senza esplosivo

In modo analogo a quanto successo con Stuxnet, si potrebbe pensare che gli attaccanti abbiano fatto surriscaldare i cercapersone con comandi a distanza sempre via trojan, provocando di per sé l’esplosione delle batterie (senza bisogno quindi di mettere esplosivo) tramite un cortocircuito. Questo metodo, ipotizzato da Paganini, sembra invece meno affidabile secondo Telmon rispetto all’uso di una piccola carica di esplosivo.

Sono a rischio anche i nostri smartphone?

“Per chi si chiede se anche i nostri telefoni cellulari possano essere fatti esplodere da remoto, è improbabile che ciò avvenga anche perché la batteria al litio di uno smartphone può sì prendere fuoco, ma non con una esplosione come quella mostrata nei video dei cercapersone di Hezbollah”, mette in guardia Dal Checco.

“Questo non esclude che, da remoto, le batterie degli smartphone si possano teoricamente fare riscaldare al punto da mandarle in corto circuito, non pare però possibile che si generi un’esplosione, soprattutto perché esistono meccanismi di protezione delle pile al litio che regolano la carica/scarica ma non possono ragionevolmente causarne un corto circuito”.

Chiaramente, “i dispositivi dotati di batterie al litio presentano comunque potenziali rischi ma soltanto quando superano una certa potenza, non a caso vi sono regole ferree che impediscono di portare con sé nella cabina degli aerei power bank oltre una certa dimensione e vietano di portare in aereo oggetti (per esempio monopattini elettrici, ebike, segway eccetera) con batterie al litio di potenza maggiore di quella degli smartphone o dei power bank”, conclude Dal Checco.

Al di là delle ipotesi, tutte affascinanti e plausibili, in atytesa delle conferme ufficiali, questo attacco hacker è destinato a ridefinire le frontiere della cyber war, dimostrando quanto la tecnologia possa trasformarsi in un’arma sempre più centrale dei conflitti che si combattono su scala globale.