Cyberguerra siriana

Tra ribelli, regime e comunità internazionale è in corso una battaglia di attacchi hacker e campagne malware per reprimere il dissenso e carpire informazioni militari.

Negli ultimi giorni, il conflitto siriano continua a mostrare gli aspetti più tragici e la portata internazionale di uno scontro la cui risoluzione appare purtroppo lontana. Ma c’è un’altra guerra che parallelamente vede confrontarsi il governo di Bashar al-Assad, i ribelli e la comunità internazionale. Un conflitto che ora, dopo l’intervento diretto di Trump, è pronto a tornare a inasprirsi. Il campo di battaglia è la rete, e le armi usate sono attacchi hacker, campagne malware e DDoS; l’obiettivo è reprimere il dissenso, carpire informazioni militari e attaccare i media che offrono un’immagine non gradita del regime.

La cyberwar siriana è lo specchio virtuale del conflitto che dal 2011 interessa la regione, uno scontro informatico che trova il punto di contatto con la realtà fisica nella capacità di uccidere. “Non si tratta di bombe, naturalmente” spiega Juliana Ruhfus, reporter senior di Al Jazeera English, incontrata recentemente nell’ambito del Festival Internazionale del Giornalismo di Perugia, “ma gli attacchi hacker servono al regime siriano per impossessarsi di informazioni riguardo i ribelli per poi colpirli fisicamente”. Ruhfus ha pubblicato nel 2014 Pirate Fishing, un’inchiesta interattiva sulla pesca illegale in Sierra Leone, tema su cui nel 2012 aveva girato un web-documentary. Quest’anno a Perugia ha presentato #Hacked – Syria’s Electronic Armies, un altro newsgame dedicato alla cyberwar siriana: l’utente-lettore può investigare nello spazio virtuale della guerra informatica, usando virus e malware. “Ciò significa”, ha spiegato la creatrice, “che bisogna contattare gli hacker buoni, i cosiddetti white hat, e quelli cattivi”. In tutto questo, bisogna evitare che il proprio avatar venga hackerato e che le informazioni entrino in possesso del SEA. Ed è proprio il Syrian Electronic Army il soggetto principale di questa guerra.

La cyberguerra
Nato nel 2011, dopo l’esplosione della rivoluzione diffusa anche sui social network, l’organismo supporta non ufficialmente l’attività di propaganda del presidente Bashar al-Assad, colpendo, tramite attacchi hacker e “website defacement” (attacco su un sito che modifica l’aspetto di una pagina) le attività di organizzazioni umanitarie, ribelli, attivisti e media occidentali. “Reagiscono al fatto che molte testate internazionali come il Guardian o il New York Times”, spiega Rufhus, “dicono la verità in merito alle torture compiute dal regime siriano, presentando quindi un’immagine che il governo reputa distorta”. E scomoda. Il rapporto del Sea con il regime non è mai stato dimostrato ma sono numerose le fonti che lo attestano, tra cui la stessa Rufhus, che da più di cinque anni studia il conflitto informatico siriano. Per esempio, secondo i media internazionali, a capo dell’esercito di hacker c’è Rami Makhlouf, cugino di Assad. Nell’era delle comunicazioni telematiche, delle fake-news e della post-verità, la pirateria informatica è la nuova frontiera per la propaganda retorica e autoritaria.

Sono noti ormai alle cronache gli attacchi perpetuati dal 2011 ad oggi contro il profilo Twitter dell’Associated Press, della BBC, di France 24 e della National Public Radio statunitense. La vicenda che riguarda l’AP resta sicuramente la più eclatante. Nell’aprile del 2013, un tweet della agenzia di stampa ha annunciato che “la Casa bianca è stata colpita da due esplosioni che hanno coinvolto il presidente Barack Obama”. Una bufala bella e buona che, pur essendo stata corretta in pochi secondi, ha causato il panico tra i trader e gli investitori del Down Jones.

Tra le vittime di questi attacchi c’è stato anche, nel 2013, il presidente della FIFA, Sepp Blatter, probabilmente a causa dei Mondiali fissati in Qatar per il 2022. Sul suo profilo Twitter è comparso un messaggio che annunciava le sue dimissioni in seguito alle molte accuse di corruzione. Gli esperti di sicurezza informatica – citati dal Guardian nel 2013 dopo l’attacco subito dalla testata – sostengono che “l’obiettivo del Sea è farsi pubblicità, dimostrare la sua presenza e influenza creando imbarazzi tra i media e i politici occidentali”. Naturalmente, nella logica del conflitto, le vittime di defacement sono in particolare giornali e agenzie di stampa inglesi, statunitensi (New York Times, Forbes, Usa Today) e francesi, sia perché sono quelli che più raccontano, con i loro inviati sul posto, le atrocità del regime sia perché Usa, Francia e Inghilterra sono maggiormente coinvolti militarmente nel sostegno ai ribelli. Ma non sono mancati anche media italiani come Repubblica.it, colpito indirettamente nel novembre del 2014 insieme ad altri siti del Gruppo Espresso. Quel giorno alcuni utenti hanno visto aprirsi un pop-up con il messaggio “You’ve been hacked by the Syrian Electronic Army (SEA)” che reindirizzava a un sito esterno. A firmare il tutto c’era “Un gruppo di giovani siriani che non appartengono a nessun ente governativo”.

Il Sea quindi tenta di mascherare l’appartenenza al regime di Assad, ma i messaggi e gli attacchi smentiscono il loro tentativo di indipendenza politica. Come ogni esercito di repressione che si rispetti, il Sea ostacola anche l’attività dei giornalisti siriani: “Ho ricevuto attacchi sul mio blog” ha raccontato a Perugia Zaina Erhaim, membro dell’Institute for War and Peace Reporting e giornalista in Siria, “ed è sempre più difficile fare informazione libera online quando il regime di Assad con il suo organo controlla la rete. Inoltre ha dalla sua anche le forze informatiche russe”. Nonostante minacce e pressioni, Zaina continua fedelmente a portare avanti il suo lavoro di reporter, addestrando una schiera di citizen journalists a Damasco a difendersi da attacchi informatici.

C’è anche un altro campo d’intervento in cui opera il Syrian Electronic Army, un raggio d’azione ancora più inquietante rispetto ai messaggi e agli attacchi in ambito informatico e propagandistico. A farlo emergere è stato, prima ancora delle inchieste di Juliana Ruhfus, Tom Brewster del TechWech Europe’s Security Correspondent in un approfondito lavoro pubblicato nel 2013 su Silicon. L’esperto, rifacendosi come fonte a Virtual Road – sito che offre sicurezza informatica ad organizzazioni impegnate nella difesa dei diritti umani – faceva notare che gli indirizzi IP da cui erano partiti i diecimila bot contro il sito di ribelli arabi “Aymta” provenissero da territori russi e ucraini. Da queste zone sarebbero partiti anche i DDoS (il DDoS è un attacco informatico che mira ad arrestare il flusso di utenti su un sito) per oscurare i siti che offrono informazioni su come localizzare i missili Scud. Siti come Aymta sono molto importanti nel contesto conflittuale perché una volta individuate le postazioni di lancio dei missili, i ribelli possano far evacuare le zone pericolose. Se il Sea, però, tramite i suoi attacchi, forse supportati dalla Russia, oscura queste informazioni, favorisce l’azione dei missili, lanciati dal governo di Assad. Ecco quindi, per tornare alle parole di Ruhfus, che le bombe virtuali ed informatiche del Sea Electronic Army intervengono anche in ambito militare. E, come nel caso dell’esercito informatico dell’Isis, operano nel diffondere panico e terrore. Ma se di guerra o cyberguerra si tratta, dobbiamo individuare anche i nemici di questo squadrone di hacker legati ad Assad.

Lotta al Sea
I nemici sono i governi occidentali con gli Usa in prima linea con agenzie con FBI, CIA e NSA. L’FBI recentemente ha dato la caccia mondiale a due pirati informatici, Ahmad Al Agha e Firas Nur Al Din Dardar, noti online come “Th3 Pr0” e “The Shadow”. Sono accusati di essere membri del Sea e di aver diffuso bufale su presunti attacchi terroristici. Su di loro pende una taglia di centomila dollari. In questa guerra c’è anche l’intervento di Anonymous con la sua costola, il People Liberation Front, attivo da tempo con il programma #OpSyria.

Se gli attacchi del Sea verso media e potenze occidentali sembravano essersi fermati al 2013, negli ultimi giorni, dopo i missili ordinati da Donald Trump, gli hacker di Assad potrebbero tornare a farsi sentire. Il rischio è molto alto e di certo #Hacked, il newsgame di Juliana Ruhfus, non potrà cambiare le cose. Ma è il modo migliore per scoprire come si muovono gli hacker siriani e come affrontare i loro pericoli. Il newsgame, basandosi sulla realtà, può offrire un utile strumento di conoscenza e mappatura per chi si occupa di sicurezza informatica per aziende e privati.  Ma si può ipotizzare uno scenario ancora più DIY. Si presume che chi acceda al gioco nutra un certo interesse – o sia già attivo come hacker – per il mondo dei codici e dei virus e pertanto, trascinato dall’esperienza di combattere il Sea, potrebbe decidere di passare dall’intrattenimento all’azione, diventando un cyber-soldato al fianco dei ribelli, come già accade con Anonymous, contro le scorribande virtuali dei pro Assad. Così il conflitto siriano assumerebbe sulla rete, ancora di più, il carattere di scontro mondiale.