Gli ultimi eventi della guerra medio orientale portano alla ribalta negli schermi europei il tema della supply chain security, non più solo dal punto di vista cibernetico, ma anche cinetico, ossia fisico. L’intera operazione condotta da Israele, come vedremo, esemplifica la convergenza dei domini cyber & kinetic.
Ed espone una minaccia che riguarda tutti noi, anche in Occidenti, in tempi di guerra ibrida globale.
L’operazione israeliana contro Hezbollah
Martedì 17 settembre Israele ha portato a termine la prima parte di un’operazione militare capace di sfruttare nuove vulnerabilità nel dominio cibernetico: come risultato migliaia di cercapersone in dotazione a membri di Hezbollah nel sud del Libano, accesi e in ricezione di messaggi, sono esplosi, causando la morte di almeno una decina di persone e ferendone migliaia. Il giorno successivo Israele ha realizzato la seconda parte dell’operazione facendo esplodere radio portatili di tipo walkie-talkie.
Giovedì 19, il Ministro della Difesa israeliano Yoav Gallant ha dichiarato che Israele ha aperto una “nuova fase” della guerra, la quale prevede lo spostamento del centro di gravità delle operazioni belliche verso il Libano.
Dispositivi esplosi, le ipotesi degli esperti
Ad oggi le informazioni sui dettagli dell’operazione compiuta da Israele contro i sistemi di comunicazione di Hezbollah hanno condotto gli esperti a sostenere due ipotesi. La prima ritiene che un malware installato nei dispositivi abbia surriscaldato le batterie con una potenza tale da farle esplodere provocando morti e feriti. Questa ipotesi, tuttavia, non sembra essere largamente sostenuta. La seconda, invece, considera l’inserimento di esplosivo all’interno dei dispositivi, esplosivo che possa essere innescato da remoto. Questa ipotesi è accreditata dal tipo di esplosione analizzata attraverso i video diffusi dai media e sul web.
La complessità della catena di fornitura
Secondo i rapporti del New York Times e del Wall Street Journal, Israele ha fabbricato i cercapersone utilizzando l’azienda ungherese B.A.C. Consulting, la quale opera con il nome di Apollo Systems a Taiwan e grazie alla licenza ottenuta dall’azienda taiwanese Gold Apollo è in grado di produrre i dispositivi. La Gold Apollo ha prontamente comunicato di non essere in alcun modo coinvolta e ha citato proprio la B.A.C. Consulting come azienda produttrice di quei dispositivi. Il rapporto del New York Times riporta che, secondo quanto affermato da diversi funzionari, oltre 3.000 cercapersone erano stati richiesti all’azienda Gold Apollo di Taiwan.
Successivamente, Hezbollah ha distribuito i cercapersone ai propri membri in tutto il Libano e alcuni dispositivi sono stati spediti anche agli alleati di Hezbollah in Iran e Siria.
Focus sulla B.A.C. Consulting
Il rapporto del Wall Street Journal ha aggiunto delle informazioni in più che ci permettono di estendere lo scenario e di soffermarci sulle parti coinvolte. I procuratori di Taiwan mercoledì 18 hanno avviato un’indagine per determinare se esistesse un legame tra la Gold Apollo e l’attacco: l’indagine non ha ancora portato alla luce nessuna prova che possa confermare il coinvolgimento dell’azienda.
Per questo motivo, il focus del report del Wall Street Journal si è spostato sulla B.A.C. Consulting e la sua filiale taiwanese Apollo Systems.
Quest’ultima ad aprile 2024 ha preso in affitto dalla Taiwan Asset Management Corp uno spazio per il co-working a Taipei e ha effettuato la registrazione delle proprie attività di vendita di dispositivi, consulenza e traduzione nel settore delle telecomunicazioni. Le attività della B.A.C. Consulting iniziano nel 2022 con la registrazione delle proprie attività a Budapest, attività che spaziano dalla vendita di dispositivi di telecomunicazione alla produzione di videogiochi. Nel 2023 la B.A.C. Consulting ha realizzato un fatturato di 600 mila dollari. Nonostante tutto ciò non sembri particolarmente atipico quando si tratta di esternalizzazione e internazionalizzazione delle attività di business, un’anomalia sembrerebbe essere rappresentata dal fatto che nella B.A.C. Consulting fosse registrato un solo impiegato, nonché amministratore unico, di cui, fra l’altro, si hanno poche informazioni certe. Sul caso si è esposto anche il portavoce del Governo ungherese, il quale ha dichiarato che l’azienda risulta un intermediario commerciale senza possedere alcun sito produttivo nel Paese e che i cercapersone non sono mai passati attraverso il territorio ungherese.
In cosa consiste il supply chain hacking
Alla luce di tale ricostruzione, seppur ancora parziale poiché occorrerà del tempo per determinare effettivamente quali siano state tutte le parti coinvolte, gli esperti si sono posti un altro interrogativo, ossia come gli apparati israeliani siano stati capaci di penetrare nella catena di fornitura dei sistemi elettronici destinati ai membri di Hezbollah, dato che la B.A.C. Consulting sembrerebbe essere solo il terminale di una lunga catena di aziende. In questo caso si parla di supply chain unsecurity o supply chain hacking, con operazioni sia cyber che kinetic consistenti nella violazione della catena di approvvigionamento al fine di introdurre un componente non previsto dal progetto nei dispositivi con lo scopo ultimo di creare un danno ad un’azienda bersaglio o a un attore statale.
Le aziende potenzialmente coinvolte nell’operazione
Nel caso di Israele, riporta HD Blog, l’operazione di supply chain hacking contro Hezbollah ha richiesto fino a 2 anni di preparativi. Inoltre, sono stati svelati i nomi di ulteriori aziende coinvolte lungo la catena di fornitura dei dispositivi, poiché il gruppo hacker iraniano pro-Palestina Handala Hack team ha diffuso sul proprio sito Tor decine di terabyte di dati esfiltrati da tali aziende. Secondo il gruppo, riporta l’esperto di sicurezza cibernetica Kevin Beaumont sulla piattaforma Media, l’operazione israeliana è stato orchestrata dal Mossad assieme alla compartecipazione dell’Unità 8200 delle forze armate israeliane (IDF-Israel Defence Force) specializzata in SIGINT (Signal Intelligence Unit) ed ELINT (Electronic Signal Intelligence).
In particolare, le aziende partecipanti all’operazione sono state: la Israel Industrial Batteries, la quale ha inserito 30 grammi di esplosivo nelle batterie e nei cercapersone, e la Vidisco, specializzata in fornitura di scanner a raggi X portuali e aeroportuali, è stata incaricata di trasportare i dispositivi modificati per eludere i controlli di sicurezza tramite una backdoor presente nel software dei sistemi di controllo e sicurezza degli aeroporti.
Naturalmente, attaccare la catena di approvvigionamento non è una tecnica nuova nelle operazioni militari e di intelligence. La National Security Agency statunitense, per esempio, ha intercettato hardware e computer destinati a clienti esteri, inserendo malware o altri strumenti di sorveglianza e poi li ha riconfezionati per consegnarli a determinati acquirenti stranieri, come risulta da documenti interni della NSA del 2010. È il motivo per il quale le aziende che producono cifranti o sistemi di criptazione, sempre per fare un esempio, sono estremamente controllate e hanno parti segretate e, allo stesso tempo, aziende che producono sistemi di intercettazione spesso hanno una aspettativa di vita relativamente breve (perché i Governi le usano per colpirsi vicendevolmente anche in chiaro).
Supply chain hacking: una minaccia globale
La creazione o il controllo di società che producono o commerciano dispositivi di comunicazione è una tattica militare consolidata. Tuttavia, quello che, anche a detta di molti osservatori, differenzia questa operazione dalle precedenti è l’utilizzo di queste tecniche di intelligence consolidate per inserire esplosivi (e non strumenti di sorveglianza) in dispositivi tecnologici usati per comunicare, e , per di più, farlo in larga scala e non in un episodio singolo mirato, come accaduto in passato in svariati Paesi non alleati, per poi farli esplodere all’unisono dopo essere riusciti, evidentemente, a venderli all’organizzazione nemica.
I rischi della guerra ibrida
L’organizzazione di un’operazione militare multi-dominio di tale ampiezza e completezza ci permette di soffermarci anche su altri aspetti, più inerenti all’ampliamento dei confini della guerra ibrida. La presenza di vulnerabilità nelle catene di approvvigionamento delle aziende dei Paesi europei si associa a elevati rischi in termini di sicurezza cibernetica ma anche fisica, come illustrato dall’esplosione delle apparecchiature elettroniche. È consentito prefigurare, dunque, uno scenario ipotetico nel quale un Paese ostile possa arrivare a colpire in modo misto, cyber & kinetic, i propri bersagli attraverso l’ingresso improprio nella catena di fornitura di un prodotto anche in Stati totalmente remoti sia all’attaccante che all’attaccato.
Conclusioni
La supply chain security diviene dunque una scienza della sicurezza e della prevenzione che dovrà necessariamente entrare in tutte le politiche di resilienza dei Paesi che vogliamo rendere sicuri.
