Cercapersone di Hezbollah esplosi in Libano, in contemporanea martedì scorso: come ha fatto Israele a eseguire un attacco che ha ferito 2800 persone e, per ora, ucciso nove?
Proviamo a mettere insieme un’ipotesi a partire da qualche dato più o meno certo.
Cercapersone esplosi: cosa sappiamo di certo
Sappiamo almeno due cose dalle fonti ufficiali in Librano: i dispositivi sono esplosi più o meno contemporaneamente (dopo avere emesso un suono notifica, spingendo così le persone ad avvicinarli al viso, e massimizzando così i danni) e da alcune immagini sembra trattarsi del pager (cercapersone) prodotto dalla Gold Apollo modello AP 900.
Detto questo partiamo proprio dall’oggetto in questione. In primo luogo, dobbiamo notare che non è alimentato da batterie al litio, ma da più semplici AAA.
Su questa base ipotizzare che in qualche modo siano state surriscaldate appare, nella migliore delle ipotesi, improbabile.
Esplosivo
Questo suggerisce che a causare lo scoppio sia stato dell’esplosivo deliberatamente inserito all’interno del dispositivo. In tal caso appare come ben più consistente la teoria per cui la supply chain è stata compromessa: Israele ha intercettato il carico, manomesso i cercapersone, installato l’esplosivo.
Ovviamente il luogo e il momento in cui la violazione è avvenuta dovrà essere oggetto di una ricostruzione che al momento appare decisamente complicata. Facciamo un passo avanti. Qualcuno ha ventilato l’ipotesi di un malware.
Non è possibile escluderla in assoluto, ma viene da domandarsi come poteva fare esplodere le pile di cui sopra. Si potrebbe obiettare che serviva a fare detonare l’esplosivo. Tuttavia, sembra una soluzione decisamente complicata, quando esistono modi più semplici per raggiungere lo stesso obiettivo.
Come hanno causato l’esplosione: radiofrequenze o sms
Alcuni hanno parlato di radiofrequenze per attivare gli ordigni.
Questo sembra possibile (come già successo negli anni 90 per fare esplodere un cellulare di Hamas, Ndr.), anche se un’alternativa la suggeriscono proprio le funzionalità dello stesso AP 900.
Sul sito del produttore si legge che “Modern pager systems offer additional features such as displaying text messages, supporting two-way communication, and even integrating other communication technologies like SMS or data transmission” (“I moderni sistemi cercapersone offrono funzionalità aggiuntive come la visualizzazione di messaggi di testo, il supporto della comunicazione bidirezionale e persino l’integrazione di altre tecnologie di comunicazione come SMS o trasmissione dati”).
Queste funzionalità aggiuntive, che comprendono la trasmissione dati e il supporto agli sms, forniscono un ulteriore e semplice possibilità per l’attivazione dell’ordigno e spiegano la contemporaneità delle esplosioni. L’ sms poteva contenere comodamente contenere la stringa di comando per la detonazione.
Manomissione software o nano sim per attivare esplosivo
Posto, naturalmente, che i pager fossero stati predisposti a livello software in modo da attivare l’esplosivo all’arrivo di quella stringa di testo o, altra possibilità, fosse stata inserita una nano sim integrata nell’ordigno.
La nano sim può contenere le istruzioni per attivare l’esplosivo all’arrivo del messaggio.
Riassumendo si può dire che “qualcosa di cyber” potrebbe esserci stato, ma al momento non troppo. Altri dettagli potrebbero emergere dalle indagini sulle modalità di compromissione della filiera dei fornitori che probabilmente rappresenta l’aspetto che più da vicino dovrebbe interessare chi si occupa di cyber security.
Ipotizzare che intere partite di prodotti digitali si presentino con dei “malware out of the box” è questione di bruciante attualità per chi è del mestiere e forse adesso lo diventerà anche per il resto del mondo.
Dal Checco: di sicuro usato esplosivo, con manomissione sw e hw del cercapersone
Un punto è assodato secondo Paolo Dal Checco, noto ingegnere forense: “per forza hanno usato un esplosivo, nel cercapersone. Non è sufficiente fare esplodere le batterie per causare quei danni”. Nemmeno se fossero batterie; tanto meno pile, come sembra nel caso in questione.
“Hanno poi dovuto modificare hardware e software perché il cercapersone a comando azionasse il dispositivo”. Il comando può essere arrivato via radiofrequenza o messaggio, sono le ipotesi. Tutto questo con la condizione che il “software doveva comunque continuare a funzionare normalmente, in modo che nessuno si accorgesse dell’alterazione”.
Redazione
Cosa ci insegna questa vicenda e il passato
Se poi si tratta di componenti che sono destinate al mondo delle tecnologie OT o per oggetti IoT, allora lo scenario di un attentato con morti e feriti determinato da un attacco di natura esclusivamente cibernetica diventa qualcosa di molto probabile. Il passato anche recente ha chiaramente dimostrato come eventi di quel tipo siano possibili.
Lo storico caso Stuxnet e i più recenti Triton, Black Energy e Industroyer sono dei moniti. Paradossalmente l’unico freno a un impiego massivo di questa tipologia di armamenti sembrano proprio essere le potenzialità distruttive e l’incontrollabilità di questo tipo di oggetti.
L’utilizzo di armi cibernetiche come quelle che abbiamo visto all’opera nel 2017 con i casi Wannacry e NotPetya ha chiaramente fatto capire agli stati che attacchi su vasta scala sono incontrollabili e il rischio per l’aggressore di colpire stati amici o addirittura di restare vittima delle sue creature è piuttosto elevato.
Non casualmente, a mio avviso, da quel giorno non si sono più visti eventi simili se non per qualche catastrofica disattenzione (vedi Crowdstrike). Tuttavia, le cose potrebbero cambiare, perché come sappiamo ci sono attori il cui obiettivo è proprio produrre un evento disastroso con conseguente effetto mediatico.
Difficile dimenticare l’11 settembre 2001 quando l’inimmaginabile divenne realtà. È trascorso oltre un ventennio e, se allora un attacco cyber non avrebbe mai potuto produrre un effetto paragonabile al crollo delle Torri Gemelle, oggi, complice la pervasività delle tecnologie digitali, la situazione è ben diversa. A tal proposito vale la pena fare un’ultima considerazione. Senza dubbio l’operazione contro Hezbollah ha colpito un tipo di attore che potrebbe essere tentato a rispondere con altrettanta violenza e non con la stessa attenzione chirurgica di chi ha portato a termine questa operazione.
