L’attacco ai cercapersone e walkie-talkie di Hezbollah

 

da Guerre di Rete – newsletter di notizie cyber a cura di Carola Frediani

La mattina del 17 settembre in Libano e in Siria migliaia di cercapersone sono esplosi nel giro di pochissimo tempo. Erano i dispositivi utilizzati da Hezbollah, il partito-milizia sciita intervenuto nel conflitto Israele-Hamas dopo il 7 ottobre. Il gruppo aveva chiesto ai suoi membri di abbandonare i telefoni cellulari per timore che potessero essere localizzati o intercettati da Israele e si era affidato a una tecnologia considerata meno tracciabile, meno a rischio di diventare una firma per assassinii mirati.

In un discorso televisivo di oltre sei mesi fa, il segretario generale Hassan Nasrallah aveva invitato i membri di Hezbollah e le loro famiglie nel sud del Libano a rinunciare ai propri cellulari. “Spegnetelo, seppellitelo, mettetelo in una cassa di ferro e chiudetelo a chiave”, aveva detto a febbraio. “Fatelo per amore della sicurezza e per proteggere il sangue e la dignità delle persone”.
Giovedì, dopo le esplosioni, lo stesso Nasrallah ha affermato che i vertici di Hezbollah avevano ancora dei vecchi cercapersone, mentre quelli nuovi utilizzati nell’attacco sarebbero stati spediti negli ultimi sei mesi. Il gruppo ha avviato un’indagine sulle esplosioni. “Il nemico sapeva che i cercapersone erano 4.000”, ha aggiunto.

Secondo fonti della sicurezza libanese raccolte da CNN, Hezbollah avrebbe dunque acquistato i cercapersone mesi fa e il 17 settembre tali dispositivi sarebbero esplosi simultaneamente dopo aver ricevuto un messaggio (dopo aver suonato, secondo fonti libanesi). Secondo un articolo del NYT che cita funzionari americani, Israele avrebbe piazzato cariche esplosive accanto alla batteria di ogni cercapersone, oltre a un meccanismo per la detonazione. La maggior parte dei cercapersone sarebbero stati del modello AR-924 dell’azienda Gold Apollo, ma altri tre modelli erano inclusi nella spedizione (su questo più dettagli sotto).

Le esplosioni già nelle prime ore hanno prodotto un bilancio provvisorio di oltre 12 morti (tra cui due bambini) e oltre 2800 feriti (fonti libanesi, bilancio in crescita), tra cui l’ambasciatore iraniano a Beirut (che sostiene di non aver avuto un cercapersone ma di essere stato vicino a uno di questi, e che comunque è gravemente ferito agli occhi), e panico generalizzato, non solo fra i militanti di Hezbollah: ai medici dell’ospedale dell’Università americana di Beirut è stato detto di gettare via i propri cercapersone, riferisce l’Economist.

Secondo la CNN, l’attacco è stato un’operazione congiunta del Mossad, i servizi segreti israeliani, e dell’esercito. Israele si è rifiutato di commentare pubblicamente le esplosioni. Anche se successivamente il ministro della Difesa israeliano ha dichiarato che sta iniziando una “nuova era” di guerra, “riconoscendo tacitamente il proprio ruolo negli attacchi”, scrive CNN.

Nella giornata del 18 settembre, ancora in Libano, anche un numero indefinito di walkie-talkie è esploso (foto di un walkie-talkie esploso), producendo nelle prime ore un bilancio di vari morti e centinaia di feriti (dato in sviluppo, al momento è di 25 morti e 600 feriti, fonti libanesi riprese da vari media).

Oltre ai walkie-talkie ci sono altri dispositivi tirati in ballo, su cui le informazioni restano però ancora più vaghe e confuse. “Sono state segnalate esplosioni di diversi dispositivi”, ha scritto Al Jazeera. “I principali sono radio walkie-talkie, ma sono stati menzionati anche telefoni cellulari, computer portatili e persino alcuni sistemi di energia solare. Anche diverse automobili sarebbero esplose, ma non è chiaro se l’esplosione sia stata causata dall’auto stessa o da qualcosa al suo interno”.

Per quanto riguarda i walkie-talkie, le immagini di quelli esplosi mostravano etichette con il nome della società giapponese ICOM e assomigliavano al modello IC-V82 dell’azienda. ICOM ha dichiarato giovedì di stare indagando sulla vicenda e non ha potuto confermare se avesse spedito i dispositivi, in parte perché quel modello è stato dismesso 10 anni fa.

“L’azienda di Osaka ha dichiarato che i suoi prodotti destinati ai mercati esteri sono venduti esclusivamente attraverso distributori autorizzati”, e ha già messo in guardia dalle versioni contraffatte dei suoi dispositivi che circolano sul mercato, in particolare dei modelli fuori produzione, scrive Reuters.

La dinamica delle notizie

Prima di andare a sviscerare alcuni nodi di una vicenda che lascia stupefatti, ripercorriamo la dinamica e il flusso di notizie del 17 settembre. Sono le 12 circa (GMT time, 14 in Italia, 15 in Libano) ed escono le prime notizie sul fatto che l’intelligence interna israeliana (Shin Bet) avrebbe bloccato un complotto di un gruppo armato libanese per uccidere un ex alto funzionario della difesa, e che l’attacco era pianificato attraverso dell’esplosivo e un cellulare.

Passa circa un’ora (l’orario dell’attacco è stato successivamente stimato intorno alle 15.30 ore locali) e dal Libano arrivano le prime notizie che membri di Hezbollah sono stati feriti dalle esplosioni dei loro cercapersone. Passa un’altra ora e il ministero della Sanità libanese rilascia una dichiarazione urgente in cui si afferma che “un gran numero di persone con varie ferite sta arrivando negli ospedali libanesi, ed è stato inizialmente determinato che le ferite sono legate all’esplosione di dispositivi wireless che erano in possesso dei feriti”.

Di conseguenza, il ministero invita tutti gli ospedali alla massima allerta e ad aumentare il livello di preparazione per rispondere all’emergenza. E chiede a tutti i cittadini che posseggano dispositivi di comunicazione wireless di starne lontani fino a quando non verrà fatta luce sull’accaduto. E aggiunge che la maggior parte delle ferite sono “al volto, specialmente agli occhi, o alle mani o all’addome”.

Chi ha costruito i cercapersone

Dalle prime immagini dei cercapersone distrutti si ricostruisce che possano essere prodotti da Gold Apollo, un produttore con sede a Taiwan. Ma il fondatore di Gold Apollo, Hsu Ching-kuang, dichiara dopo poche ore che l’azienda non ha prodotto proprio quei cercapersone utilizzati nelle esplosioni in Libano.

Che invece arrivano da una società europea, la Bac Consulting KFT (sede a Budapest), che aveva il diritto di utilizzare il marchio dell’azienda taiwanese. Anzi, “per quanto riguarda il modello di cercapersone AR-924 menzionato nelle recenti notizie dei media [sul Libano], chiariamo che questo modello è prodotto e venduto da Bac”, ha dichiarato lo stesso Hsu Ching-kuang, aggiungendo che i rapporti commerciali tra la sua società e la Bac sarebbero iniziati tre anni fa e descrivendo i trasferimenti di denaro della società ungherese come “strani”.

Bac Consulting aveva pagato Gold Apollo da un conto bancario mediorientale che era stato bloccato almeno una volta dalla banca taiwanese di Gold Apollo, ha detto Hsu.

La pista ungherese

I documenti aziendali al Ministero della giustizia ungherese mostrano che Bac Consulting è stata registrata come società nel maggio 2022, scrive CBS News, con una Ceo di nome Cristiana Barsony-Arcidiacono.
Sempre secondo CBS, Barsony-Aricidiacono nel 2015 avrebbe registrato un’altra società a suo nome in Francia, “specializzata nel settore della consulenza aziendale e in altre attività”, poi sciolta nel 2016.

Giornalisti di DW hanno visitato l’indirizzo ufficiale della Bac a Budapest, ma non hanno incontrato né visto alcun dipendente. Nessuno ha risposto al campanello. Un foglio A4 con il nome della Bac stampato sopra sarebbe l’unico elemento visibile della società. I residenti della casa hanno dichiarato a DW di non conoscere tale società e di vedere raramente della corrispondenza inviata a quell’indirizzo. Sempre secondo dati analizzati da DW, nel 2023 la Bac Consulting aveva registrato un utile al netto delle imposte di 46.400 euro su 546mila euro di ricavi.

Il governo ungherese ha confermato che la Bac è un intermediario commerciale, senza alcun sito produttivo od operativo in Ungheria. Che avrebbe un solo manager registrato all’indirizzo dichiarato e i dispositivi citati non sarebbero mai stati in Ungheria. Nel mentre, dalla Sicilia la madre di Barsony-Arcidiacono, raggiunta da AP, ha dichiarato venerdì che la figlia sarebbe ora sotto la protezione dei servizi ungheresi. Il governo di Budapest non ha confermato.

 

La pista bulgara (e norvegese)

Ma a distanza di poche ore sbucava anche la pista bulgara. La lanciava una testata ungherese, Telex, secondo la quale la Bac Consulting era semplicemente un intermediario nella transazione. E che l’amministratore delegato di Bac, la già citata Cristiana Barsony-Arcidiacono, avrebbe trattato con una società bulgara, Norta Global Ltd, con sede a Sofia. “Anche se sulla carta è stata BAC Consulting a firmare il contratto con Gold Apollo, in realtà è stata Norta Global Ltd. a concludere l’affare. Secondo le nostre informazioni, è stata la società bulgara, e non BAC Consulting, a importare i cercapersone da Taiwan, e la società bulgara è stata anche quella che ha organizzato la consegna delle apparecchiature e le ha vendute a Hezbollah”, scrive Telex.

Secondo documenti esaminati da CBS News, la Norta Global Ltd. è stata registrata come società in Bulgaria nell’aprile 2022, con il suo unico proprietario un cittadino norvegese di nome Rinson Jose. Sul suo sito web – ora offline – Norta Global Ltd è descritta come un’azienda che offre una serie di servizi dall’outsourcing alla consulenza, all’integrazione di tecnologia e pagamenti, all’elaborazione di transazioni commerciali rilevanti.

Ma chi è Rinson Jose? Su questo si sono scatenati i media indiani, perché il norvegese ha origini nel Kerala. La testata indiana Onmanorama ha un profilo su Jose, sostenendo che venga dal distretto di Wayanad, che sia un ex seminarista, figlio di un sarto, poi passato a studi di gestione aziendale. Il giornale dice anche aver contattato i suoi famigliari (in India), secondo i quali ora si troverebbe negli Usa.
“È interessante sapere come una persona nata in Kerala sia in qualche modo presente nell’elenco delle persone che potrebbero essere collegate ai cercapersone”, commenta India Today qualificandosi per il campionato mondiale dell’understatement.
Jose aveva un profilo su Founders Nation, un sito web israeliano di business networking, che elenca diverse organizzazioni con legami, attuali o passati, con le Forze di Difesa Israeliane, scrive il WashPost, aggiungendo che martedì l’uomo sarebbe volato a Boston per partecipare a una conferenza tech, a cui non si sarebbe presentato. Da allora si sono perse le sue tracce.

Ad ogni modo,1,6 milioni di euro sarebbero transitati dalla società bulgara Norta Global, di proprietà del norvegese-indiano Rinson Jose, alla società ungherese Bac, registrata sotto Cristiana Barsony-Arcidiacono. Bac avrebbe poi esternalizzato la produzione e la vendita dei cercapersone alla società taiwanese Gold Apollo, sostiene la tv libanese LBC.

 


Un articolato progetto di intelligence 

Fermiamoci con la cronaca e passiamo all’analisi (provvisoria, claudicante e da prendere con le pinze come qualsiasi altra analisi che si voglia fare in questa fase, di fronte a un evento così complesso e ancora oscuro).

Funzionari attuali e passati dell’intelligence americana e israeliana sentiti dal WashPost avrebbero tratteggiato il seguente quadro. Le esplosioni di cercapersone (e poi walkie-talkie e forse altri dispositivi) hanno rappresentato il culmine di un investimento pluriennale per penetrare nelle strutture di comunicazione, logistica e approvvigionamento di Hezbollah. Molto prima che i cercapersone fossero imbottiti di esplosivo, hanno detto alcuni funzionari, l’agenzia di intelligence esterna israeliana, il Mossad, e altri servizi avevano sviluppato una comprensione dettagliata di “ciò di cui Hezbollah aveva bisogno, quali erano le sue lacune, quali le società di comodo con cui lavorava, dove erano, chi erano i contatti”.
Dopo aver mappato queste reti, è stato necessario creare un’infrastruttura di società, in cui una vende a un’altra che vende a un’altra ancora, il tutto per manovrare più vicino agli agenti di acquisto di Hezbollah, che si affidano a shell company (società di facciata).

Secondo fonti di intelligence sentite da ABC News, l’operazione sarebbe stata progettata addirittura da 15 anni, e la pianificazione dell’attacco avrebbe coinvolto società di comodo, con più livelli di ufficiali dell’intelligence israeliana e di beni che hanno fatto da copertura a una società legittima che ha prodotto i cercapersone. Tuttavia, almeno alcuni di coloro che avrebbero partecipato all’operazione non sapevano per chi stessero effettivamente lavorando.

“Ci sono un sacco di società di facciata, prestanome e personaggi falsi”, ha dichiarato al WashPost Gavin Wilde, ex funzionario della Casa Bianca ed esperto di sicurezza informatica al Carnegie Endowment for International Peace. “Se davvero ci sono persone che sono state delle pedine [involontarie], dovranno vivere nella paura per il resto della loro vita, perché [anche se non erano a conoscenza dell’operazione] Hezbollah non ci crederà”.

 

Analisi tecnica

Ma di che tipo di operazione stiamo parlando? Si tratterebbe di un’operazione di intercettazione della catena di fornitura” (supply chain interdiction). Detto in soldoni, il fulcro dell’attacco sta nella capacità di accesso fisico a dispositivi hardware e alla loro manipolazione, e al successivo controllo dell’approvvigionamento. È dunque soprattutto un’operazione di intelligence tradizionale, prima di essere qualsiasi altra cosa.

“La spiegazione più ovvia è che una piccola quantità di materiale esplosivo fosse nascosta all’interno dei cercapersone. I dispositivi sarebbero esplosi alla ricezione di un messaggio specifico (coded). Si tratta di qualcosa di simile a un ordigno innescato da un telefono cellulare, ma su scala molto più piccola e molto più difficile da individuare”.
“Per decenni, gli eserciti hanno utilizzato tattiche di sabotaggio con quantità variabili di esplosivo per interrompere le catene di approvvigionamento, di solito prendendo di mira le organizzazioni insurrezionali”, hanno dichiarato dei militari britannici esperti di esplosivi all’ong AOAV.org.

Attaccare segretamente la catena di approvvigionamento non è una tecnica nuova nelle operazioni militari e di intelligence. Ad esempio, la National Security Agency statunitense ha intercettato hardware e computer destinati a clienti esteri, inserendo malware o altri strumenti di sorveglianza e poi li ha riconfezionati per consegnarli a determinati acquirenti stranieri, come risulta da documenti interni della NSA del 2010.
Non solo: la creazione o il controllo successivo di società che producono o commerciano dispositivi di comunicazione mi ha fatto immediatamente venire in mente l’operazione pluriennale di Cia e servizi tedeschi sulla produzione e vendita di macchine cifranti ‘bacate’ (di cui scrissi un approfondimento qui).

Ma quello che, a detta di molti osservatori, differenzia quest’operazione è l’utilizzo di queste tecniche di intelligence consolidate per inserire esplosivi (e non strumenti di sorveglianza) in dispositivi tecnologici usati per comunicare, e farlo su scala (e non in un episodio singolo di uccisione mirata, come accaduto in passato da parte israeliana). Per poi farli esplodere all’unisono dopo essere riusciti, presumibilmente, a venderli all’organizzazione nemica.
Per alcuni l’operazione esemplifica la convergenza dei domini cyber e fisici (di cui si parla da un bel po’), ovvero l’uso di attacchi o elementi informatici/cyber per procurare danni fisici. Nello stesso tempo, evidenzia anche anche la progressiva adozione di tattiche asimmetriche da parte di Stati (e non solo da parte di soggetti non statali).

 

Come hanno fatto?

L’Irish Information Security Forum (IISF) ha provato a delineare le diverse fasi di questo attacco:

1) Raccolta di informazioni, infiltrazione, pianificazione
Richiede conoscenza delle decisioni strategiche segrete dei propri target, delle scelte di acquisto, delle reti della catena di approvvigionamento, dei punti di infiltrazione, della raccolta e della trasmissione di intelligence segreta, dell’approvvigionamento dei team di ingegneri. Richiede tante risorse normalmente associate a Stati.

2) Inserimento/intercettazione, manomissione o reingegnerizzazione
Le partite di cercapersone possono essere intercettate in qualche punto della catena logistica. Oppure si possono creare organizzazioni commerciali temporanee per gestire ordini ad hoc. L’inserimento di esplosivi però richiede un’attenta progettazione per garantire che i componenti aggiuntivi sostituiti o fabbricati siano integrati senza alterare l’aspetto esterno o la funzionalità di base dei cercapersone.

3) Attivazione a distanza
Per loro natura, i cercapersone sono stati progettati per consentire meccanismi di attivazione a distanza, come avvisi di prova, avvisi di trasmissione per le emergenze, ecc. Questo meccanismo potrebbe avvalersi di canali di comunicazione sicuri, potrebbe utilizzare il satellite in combinazione con le reti di radiofrequenza esistenti. La sincronizzazione delle esplosioni in più luoghi indica un alto livello di coordinamento e di controllo in tempo reale.

4) Cyber exploitation
Gli attaccanti avrebbero dovuto “sfruttare anche delle vulnerabilità nel firmware del dispositivo, nel metodo di utilizzo o nei protocolli di comunicazione”.

Non solo. L’esecuzione di un attacco di questo tipo avrebbe posto diverse sfide tecniche:

1) Miniaturizzazione degli esplosivi.
L’integrazione di esplosivi nel dispositivo richiede una conoscenza ingegneristica dettagliata sia dell’elettronica che dei componenti esplosivi.

2) Comunicazione sicura
Gli aggressori dovevano individuare un metodo affidabile e sicuro per innescare a distanza il meccanismo di detonazione. Questo avrebbe potuto sfruttare le normali modalità operative in combinazione con un firmware compromesso o altri canali di comunicazione.

3) Sincronizzazione
Il coordinamento della detonazione simultanea di migliaia di cercapersone richiedeva meccanismi di sincronizzazione precisi. Ciò si sarebbe potuto ottenere con un sistema di controllo centralizzato in grado di inviare segnali di attivazione a tutti i dispositivi modificati nello stesso identico momento. Qui finisce la riflessione dell’IISF cui rinvio per maggiori dettagli tecnici.

 

Perché i cercapersone?

I cercapersone (pagers, beepers) lasciano una piccola impronta elettronica rispetto ai cellulari, rendendoli meno vulnerabili ad hacking, sorveglianza e localizzazione. Inoltre sono semplici da usare, hanno una batteria che dura molti giorni, e sono in grado di ricevere messaggi senza appoggiarsi a reti Internet o cellulari.
I cercapersone Gold Apollo possono ricevere messaggi a una frequenza compresa tra 450 e 470 megahertz”, scrive NBC. “Il modello AR-924 è alfanumerico, cioè può inviare messaggi contenenti sia numeri che lettere. Come molti altri cercapersone, l’AR-924 è un dispositivo unidirezionale, cioè non è in grado di inviare messaggi ma solo di riceverli”.

“L’idea è che il pager ascolta sempre ed ha un indirizzo univoco”, commenta a Guerre di Rete un esperto di cybersicurezza che preferisce non essere citato. “Quando gli mandi un messaggio (su una frequenza condivisa, quindi probabilmente hai un limite massimo di messaggi simultanei che puoi inviare, al secondo, per ciascuna frequenza) si attiva, fa beep, decodifica/decripta il messaggio e te lo manda. Tante volte questi device o protocolli supportano messaggi broadcast. Con un segnale sulla giusta frequenza, con la giusta potenza, con la giusta codifica, mandi un bel messaggio broadcast (tipo it alert) che arriva a tutti i pager che sentono il tuo segnale radio.

Ora, così come il processore/micro controllore del cercapersone decodifica e mostra il messaggio, e invia il segnale al buzzer della suoneria, può mandare un segnale simile ad una bomba, se il messaggio contiene una sequenza predefinita. Ovviamente è bene che la sequenza sia abbastanza lunga e randomica, che nessuno, per sbaglio, mandi quel messaggio prima del tempo. Magari sfrutti una violazione del protocollo. Ovviamente si tratta solo di ipotesi. Ci potremo fare delle idee più precise solo avendo maggiori dettagli”.

Secondo fonti libanesi raccolte da Reuters, l’esplosivo usato nei cercapersone era PETN. Anche il NYT sostiene che sia PETN.  Cryptomuseum ha raccolto in una pagina molto utile tutte le specifiche tecniche degli AR-924.

 

 

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password

My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare. Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: