Il 7 ottobre, a seguito dell’inaspettato attacco di Hamas contro Israele, diversi attori cibernetici si sono rivolti ai social media sia per condannare che per sostenere gli attacchi. Poco dopo, gli hacktivist sono entrati in azione, impegnandosi in defacement e attacchi Distribuited Denial of Service (DDoS) su vari siti web israeliani e palestinesi. Sebbene il contesto di questi attacchi sia unico nella Guerra Israele-Hamas, riflettono in generale uno schema che abbiamo precedentemente osservato in altri conflitti militari moderni. Questi modelli meritano un’attenzione più approfondita.
In mezzo alla Guerra Israele-Hamas, è emerso un campo di battaglia digitale che ripete schemi già visti in conflitti precedenti come la Guerra Russia-Ucraina. Questa esplorazione approfondisce le complessità di quattro possibili ondate di cyber attacchi e ciberterrorismo. Queste fasi non solo illustrano la natura in evoluzione delle minacce informatiche, ma offuscano anche i confini tra i campi di battaglia virtuali e fisici. Nonostante la guerra stia ancora evolvendo a un ritmo veloce, prevediamo che il ruolo della guerra cibernetica possa svolgersi in modo simile alla Guerra Russia-Ucraina e dimostrare le seguenti quattro fasi.
Analizzeremo le seguenti fasi:
- Fase 1: Aumento della Scala e dell’Impatto degli Attacchi
In questa fase iniziale, gli attacchi aumentano in portata, evolvendo da hashtag a defacement e attacchi di tipo distributed denial-of-service (DDoS). - Fase 2: Ampliamento dei Bersagli e Attacchi Più Sophisticati
L’emergere di attori minaccia cibernetica proxy legati agli Stati porta tipicamente a strategie di targeting più sofisticate, compreso il ciberterrorismo. - Fase 3: Operazioni di Ransomware e Bandiere False
Gruppi di ransomware e tattiche ingannevoli diventano parte del panorama cibernetico, influenzando infrastrutture virtuali e fisiche, oltre alla percezione pubblica. - Fase 4: Coordinamento con Operazioni Cinetiche
Gli attacchi informatici sono strettamente coordinati con operazioni cinetiche, influenzando non solo gli aspetti virtuali, ma anche quelli fisici del conflitto armato.
Le quattro fasi della guerra cibernetica
Sebbene i confini tra ciascuna delle seguenti fasi possano sfumare, notando ulteriormente che potrebbero non verificarsi in un ordine specifico e potrebbero sovrapporsi, queste fasi possono contribuire a caratterizzare la tipica progressione della guerra cibernetica tra gruppi statali e non statali.
Fase 1
Aumento della scala e dell’impatto degli attacchi informatici
Il 7 ottobre, a seguito dell’inaspettato attacco di Hamas contro Israele, una serie di attori cibernetici si sono rivolti ai social media, condannando e elogiando le azioni di Hamas. Poco dopo, gli hacktivist si sono uniti attraverso defacements e attacchi di denial of service (DDoS) su vari domini di siti web israeliani e palestinesi.
Gli attacchi iniziali sono iniziati con hashtag che esprimevano sostegno per entrambe le parti. Questa fase è stata intensificata per includere defacements di domini di alto livello (TLD) dei governi israeliani e palestinesi ed è stata estesa alle aziende che operano in queste regioni. Gli hacktivist hanno condiviso strumenti DDoS open-source. Il targeting si è ampliato per includere partner diplomatici di entrambe le parti, riflettendo gli attacchi precedenti contro entità occidentali durante la guerra Russia-Ucraina.
Fase 2
Ampliamento del targeting, maggior sofisticazione
Numerosi gruppi di hacktivist che giurano fedeltà sia alle cause pro-Israele che pro-Hamas sono noti per comunicare attraverso canali online, tra cui Telegram e X (precedentemente Twitter). Non è completamente trasparente fino a che punto questi gruppi stiano coordinando attacchi informatici o ciberterrorismo in relazione al conflitto in corso. Tuttavia, collettivi di hacktivist noti, come Anonymous Sudan e Killnet, hanno dichiarato pubblicamente la loro partecipazione a offensive informatiche contro obiettivi nei territori israeliani e palestinesi.
Anche gruppi di Minacce Persistenti Avanzate (APTs) giocano un ruolo significativo nel conflitto Russia-Ucraina. Tuttavia, avversari supportati dallo stato, che agiscono autonomamente ma con l’approvazione del governo, sono emersi. Non è chiaro in che misura ci sia una coordinazione tra questi gruppi e le agenzie di intelligence statali. Questi gruppi intermedi fornivano una negabilità plausibile ai loro governi ospitanti. Esempi includono Killnet e Anonymous Sudan, che avevano precedentemente preso di mira entità occidentali durante la guerra Russia-Ucraina.
Fase 3
Bandiere false e operazioni di ransomware
Oltre a gruppi proxy e avversari supportati dallo stato, sono intervenuti nel conflitto anche gruppi di ransomware. Killnet ha dichiarato di allinearsi con membri del gruppo di ransomware REvil, e altri avversari come “T.Y.G Team – 1915 Team” hanno affermato di utilizzare attacchi di ransomware contro Israele, possibilmente sfruttando il proprio ransomware come “Gaza Digital Storm”. Ciò ha attirato affiliati e broker di accesso iniziale con apparente accesso alle infrastrutture israeliane e palestinesi.
La Tecnologia Operativa (OT) e le Infrastrutture Critiche all’interno di Israele vengono già indicate come bersagli. Settori delle infrastrutture critiche come le Telecomunicazioni/Comando e Controllo, il Petrolio, il Lubrificante e l’Elettricità sono spesso presi di mira in importanti conflitti militari convenzionali. Pertanto, se Israele sta conducendo operazioni di guerra cibernetica o militare all’interno di Gaza, ci si dovrebbe aspettare che parti delle infrastrutture critiche siano bersagliate nelle fasi iniziali. Questo targeting, reale o percepito, può influenzare la progressione della guerra.
Ad esempio, i “Cyber Av3ngers” hanno dichiarato di aver hackerato con successo la centrale elettrica di Dorad. Questo attacco era stato precedentemente associato a un gruppo sponsorizzato, forse, dallo stato iraniano denominato “Moses Staff”, che a sua volta era stato collegato al gruppo iraniano “Abraham’s Ax”.
Questo incidente, successivamente smentito su piattaforme di social media, potrebbe essere stato prematuramente considerato come un avvertimento. Tuttavia, sottolinea anche che tali gruppi perseguono obiettivi oltre la semplice interruzione; mirano a attirare l’attenzione, coltivare notorietà o suscitare paura, incertezza e dubbio (FUD).
“SiegedSec”, un altro gruppo di hacktivist attivo durante la guerra Russia-Ucraina, ha dichiarato anche attacchi di denial of service contro le infrastrutture israeliane con “Anonymous Sudan”. In Israele, Anonymous Sudan ha anche affermato di aver condotto attacchi di denial-of-service distribuiti (DDoS) sulle app “tzevaadom” e “Red Alert”. Predatory Sparrow (noto anche come Gonjeshke Darande), un gruppo di hacktivist che parla inglese e persiano, è stato responsabile di alcuni degli attacchi informatici più sofisticati, disruptivi e distruttivi contro l’Iran degli ultimi dieci anni, con sospetti di essere uno stato opposto all’Iran. Il gruppo è riemerso su Telegram poco dopo l’inizio della guerra Israele-Hamas, annunciando il loro ritorno.
Fase 4
Coordinazione con operazioni cinetiche
Nella fase iniziale dell’invasione dell’Ucraina nel febbraio 2022, gli attacchi principali di malware wiper contro i sistemi governativi ucraini sono coincisi strettamente con il momento dei bombardamenti russi e degli spostamenti delle truppe. È probabile che, mentre la guerra Israele-Hamas continua, ci possa essere una simile coordinazione con operazioni cinetiche, sia precedendo gli attacchi che avvenendo contemporaneamente.
La coordinazione tra operazioni cibernetiche e cinetiche è probabile che aumenti man mano che la guerra Israele-Hamas prosegue. Potrebbero esserci tentativi di interrompere l’accesso a Internet, simili alle fasi iniziali dell’invasione russa dell’Ucraina. Sono previsti ulteriori attacchi alle infrastrutture, alla connettività e potenziali mira alla Tecnologia Operativa (OT).
Le best practice cyber per le aziende in tempi di guerra moderna
In mezzo alle sfide che sorgono in tempi di conflitto moderno, le aziende devono dare la massima priorità alla sicurezza delle loro operazioni, risorse e dipendenti. Le guerre in corso tra Israele e Hamas, e tra Russia e Ucraina, insieme alla natura in evoluzione delle minacce informatiche e alla loro interconnessione con il mondo fisico, offrono preziosi spunti per costruire la resilienza. Abbracciare queste pratiche e rimanere vigili contro le minacce informatiche può garantire una maggiore sicurezza, resilienza e la capacità di prosperare anche durante i conflitti.
