Guerre di Rete - una newsletter di notizie cyber
di Carola Frediani
N.193 - 24 ottobre 2024
(Comunicazioni di servizio)
Specie per i nuovi, ricordo che questa newsletter (che oggi conta più di 14mila iscritti - ma molti più lettori, essendo pubblicata anche online) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione.
In più, il progetto si è ingrandito con un sito indipendente e noprofit di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito → Nel 2024 si è aggiunta Digital Conflicts, una newsletter bimensile in inglese (fatta da me e Andrea Signorelli), che per ora sarà principalmente una trasposizione della newsletter italiana, con alcune aggiunte e modifiche pensate per un pubblico internazionale (e con particolare attenzione all’Europa). Qui invece potete scaricare gratis il primo ebook di Guerre di Rete che si intitola Generazione AI ed è dedicato agli ultimi sviluppi dell’intelligenza artificiale (uscito a settembre 2023).
Qui una lista con link dei nostri progetti per avere un colpo d’occhio di quello che facciamo.
Qui leggete il primo numero.
Qui per iscriversi..
Qui potete scaricare gratis il secondo ebook pubblicato, Il fronte cyber.In questo numero:
- Una diretta martedì sera per parlare del caso Miano e della sicurezza dei sistemi di Giustizia e PA.
- La scomoda verità di Anonymous Sudan
- Le operazioni di influenza via ChatGPT e AI
- Sicurezza sistemi Giustizia, abbiamo un problema (di fondo)
- Piracy Shield, Starlink e altro
APPUNTAMENTO IL 29 OTTOBRE CON LA NOSTRA LIVE:
Martedì 29 ottobre alle ore 21:00 le associazioni Guerre di Rete, Cyber Saiyan e la testata IrpiMedia si incontrano per due ore di approfondimento giornalistico, discussione e raccolta domande dal pubblico sul tema: “Attacchi al Ministero della Giustizia: il caso Miano e le falle nelle Procure”.
Dalle 21 alle 23 potrete seguire in diretta la discussione tra Carola Frediani (moderatrice - Guerre di Rete), Raffaele Angius e Simone Olivelli (giornalisti e autori di un’inchiesta per IrpiMedia, sul caso della prolungata intrusione nei server del Ministero della Giustizia per spiare procuratori e forze di polizia), Eleonora Zocca (giornalista, autrice di un approfondimento per Guerre di Rete su come l’intrusione al Ministero si collochi in un quadro di più ampia insicurezza della PA), Francesco Micozzi (avvocato e docente di Informatica Giuridica).
Sarà possibile interagire inviando le proprie domande a partire da martedì 29 Ottobre, a questo indirizzo: https://bit.ly/casoMiano
Lo streaming potrà essere seguito sui canali sociali di Cyber Saiyan:
Youtube: https://youtube.com/live/l1FIhUlikZE
LinkedIN: https://www.linkedin.com/events/7254782795837849600/
CYBER
La scomoda verità di Anonymous Sudan
Anonymous Sudan era un gruppo, attivo dal gennaio 2023, che è stato protagonista di moltissimi attacchi DDoS, di negazione distribuita del servizio (che mandano offline siti e servizi), contro aziende come Microsoft, Cloudflare, X e Paypal, contro agenzie governative negli Stati Uniti, e in altri Paesi. Aveva anche partecipato a una campagna di hacktivismo contro Israele, OpIsrael, e dopo il 7 ottobre aveva preso di mira le app di allerta per i razzi come RedAlert.
Nel mentre, affittava le sua infrastruttura ad altri gruppi hacktivisti e cybercriminali, e aveva collaborato con il gruppo filorusso Killnet, resosi protagonista di molti attacchi DDoS contro l’Ucraina e altri Stati europei che la sostengono (Italia inclusa, come avevo raccontato qua in newsletter). La collaborazione coi russi era tale che ormai da tempo Anonymous Sudan veniva additato spesso come un gruppo di copertura, un fantoccio, dell’intelligence russa. Per alcuni era un sottogruppo di Killnet.
“Anonymous Sudan si descrive come un gruppo di hacktivisti e afferma di condurre attacchi informatici dall'Africa per conto dei musulmani oppressi in tutto il mondo. Il gruppo ha affermato che i suoi attacchi DDoS (Distributed Denial of Service) del 5 giugno contro Microsoft fossero una rappresaglia per la politica degli Stati Uniti sul conflitto militare in Sudan. Gli Usa stanno cercando di mediare un accordo di pace tra le fazioni in guerra”, scriveva Fortune nel giugno 2023, aggiungendo che invece vari esperti di cybersicurezza lo collocavano, ideologicamente e fisicamente, in Russia.
Bene, ora sappiamo che Anonymous Sudan era davvero composto da sudanesi. Da due giovani sudanesi, due fratelli, di 22 e 27 anni. Che si muovevano apparentemente per motivi hacktivisti, ideologici, su cui aggiungevano un po’ di business e affari affittando i loro strumenti ad altri. E sappiamo che questa storia, come molte altre in passato, è l’ennesimo bagno di umiltà per chiunque (esperti di cybersecurity, threat intelligence, poliziotti, magistrati e giornalisti) affronti questi temi quando ancora non sono scoperte tutte le carte e non sono definiti tutti i contorni.
Anonymous Sudan erano solo due fratelli sudanesi capaci di fare molti danni in giro per il mondo e scambiati, con pochi dubbi, per la creatura di un intelligence russa. Non c’è frase migliore per condensare lo stato ancora “confuso e infelice” (semicit) della nostra cybersicurezza.
Sappiamo tutto questo perché gli Stati Uniti, stando al WashPost, li avrebbero arrestati in silenzio a marzo (in un Paese non dichiarato), ma soprattutto perché giorni fa il Dipartimento di Giustizia ha diffuso la notizia e la loro incriminazione.
Cosa dice l’incriminazione
Secondo gli atti di accusa pubblicati, dall'inizio del 2023 Ahmed Salah Yousif Omer, 22 anni, e Alaa Salah Yusuuf Omer, 27 anni, e i loro clienti hanno utilizzato uno strumento del gruppo, il Distributed Cloud Attack Tool (DCAT) per sferrare attacchi DDoS. “In circa un anno di attività, lo strumento DDoS di Anonymous Sudan è stato utilizzato per lanciare oltre 35.000 attacchi DDoS”, scrivono gli inquirenti. “Tra le vittime degli attacchi figurano obiettivi governativi sensibili e infrastrutture critiche negli Stati Uniti e in tutto il mondo, tra cui il Dipartimento di Giustizia, il Dipartimento della Difesa, l'FBI, il Dipartimento di Stato, il Cedars-Sinai Medical Center di Los Angeles e i siti web governativi dell'Alabama. Tra le vittime ci sono anche le principali piattaforme tecnologiche statunitensi, tra cui Microsoft e Riot Games, e fornitori di servizi di rete”.
Gli attacchi, che a volte sono durati diversi giorni, hanno provocato interruzioni nell’accesso a siti e servizi che hanno interessato migliaia di clienti. Alcuni di questi attacchi hanno avuto implicazioni tangibili e sono quelle per cui i due fratelli rischiano di più: quando hanno bloccato il reparto di emergenza del Cedars-Sinai Medical Center, hanno obbligato la struttura sanitaria a reindirizzare i pazienti in arrivo verso altri ospedali per circa otto ore.
Come li hanno individuati
Gli attacchi e i post di Anonymous Sudan - scrive un agente speciale dell’FBI nell’affidavit - mostrano che almeno in parte le motivazioni sono ideologiche e geopolitiche, sebbene i due amministratori dello strumento lo affittassero a vari clienti.
L’attacco contro PayPal è costato caro ai due fratelli. Perché ha prodotto un'indagine interna della stessa azienda, che ha identificato degli account PayPal usati proprio da Anonymous Sudan. Con quella soffiata l’agente federale che indagava sul gruppo ha ottenuto informazioni sugli account email collegati a tali account Paypal. E ha confrontato i loro indirizzi IP con quelli lasciati dagli amministratori dei server usati per il tool, accessi avvenuti quasi in contemporanea (i server sono stati individuati anche grazie a una attività sotto copertura in cui l’agente ha comprato degli attacchi). Gli IP erano a loro volta associati a un operatore mobile sudanese, nell’area e al momento in cui Ahmed viveva in quella zona. Una volta ottenuto accesso alla casella mail del sospettato, l’agente federale ha potuto vedere molte altre informazioni, tra cui la cronologia del browser che mostrava come l’uomo cercasse su internet informazioni sulle vittime degli attacchi o anche notizie su Anonymous Sudan.
Godzilla, lo strumento d’attacco
Lo strumento utilizzato per gli attacchi - Distributed Cloud Attack Tool (DCAT), ma ribattezzato in modo assai più suggestivo dai suoi amministratori come botnet Skynet o Godzilla - consisteva di tre componenti: un server di comando e controllo (C2), una serie di server cloud che ricevevano i comandi da C2 per inoltrarli a una serie di proxies gestiti da altri (non affiliati), che trasmettevano l’attacco alle vittime.
Scrive l’agente: “questi [ultimi] erano dispositivi configurati per l'inoltro automatico di determinate categorie di traffico Internet. Chiamati anche “Open Proxy Resolver”, questi dispositivi di ‘auto-forwarding’ costituivano la parte pubblica della rete Skynet Botnet e spesso erano le uniche informazioni che una vittima di un attacco Skynet Botnet vedeva”.
“È notevole che due soli individui, con un investimento relativamente ridotto di tempo e risorse, siano stati in grado di creare e mantenere una capacità DDoS abbastanza potente da interrompere i principali servizi online e siti web”, scrive Crowdstrike che come altre aziende tech ha dato un contributo alle indagini. “Il loro successo è derivato da una combinazione di fattori: un'infrastruttura di attacco progettata su misura, ospitata su server in affitto con un'elevata larghezza di banda; tecniche sofisticate per aggirare i servizi di mitigazione DDoS; e la capacità di identificare e sfruttare rapidamente endpoint API vulnerabili che, se sommersi di richieste, avrebbero reso i servizi inutilizzabili e interrotto l'accesso degli utenti”.
E non posso non trovarmi d’accordo con le loro conclusioni: “Il caso di Anonymous Sudan sottolinea l'importanza di affidarsi a informazioni concrete e ad analisi rigorose per comprendere le vere motivazioni di questi gruppi, sfatando ogni precedente idea errata sulla loro affiliazione a soggetti sponsorizzati da Stati. Inoltre, evidenzia il danno potenziale significativo che anche gruppi piccoli e pieni di risorse possono causare nel panorama digitale”.
AI, INTELLIGENCE
Che operazioni di influenza si fanno con ChatGPT e soci
Uno dei leitmotiv sui possibili rischi dell’intelligenza artificiale generativa è che possa agevolare campagne di influenza e di disinformazione. Quelle campagne che abbiamo già visto in atto da anni, e che sono state minuziosamente denunciate e vivisezionate da alcune piattaforme, come Facebook, che pubblicano report sulle campagne coordinate inautentiche smascherate dai loro team di indagine interna.
Ora però la preoccupazione è che la facilità con cui si possono generare contenuti (testi, immagini, video) possa aumentare la scala e l’efficacia di simili operazioni. Ma è davvero così? Sta già avvenendo?
OpenAI (che ha lanciato lo strumento più noto di AI generativa, ChatGPT) ha pubblicato recentemente un report sugli usi ingannevoli dei loro strumenti. “Dall'inizio dell'anno - scrivono - abbiamo bloccato più di 20 operazioni e reti ingannevoli in tutto il mondo che hanno tentato di utilizzare i nostri modelli. Per comprendere i modi in cui attori malevoli (threat actors) tentano di utilizzare l'AI, abbiamo analizzato le attività che abbiamo interrotto, identificando una prima serie di tendenze”.
Cosa emerge dunque? Che effettivamente ci sono dei soggetti statali e commerciali che usano strumenti come ChatGPT per creare commenti che sono poi pubblicati su X e Facebook. Ad esempio per sostenere l’immagine del governo dell’Azerbaijan.
Oppure l'intelligenza artificiale viene sfruttata per produrre immagini e profili falsi sui social media, generare biografie, analizzare post e commenti, redigere risposte in molte lingue e correggerle. Le risposte sono poi pubblicate su X o Facebook.
In un caso OpenAI ha chiuso una serie di account ChatGPT che aveva ricondotto a un threat actor iraniano (già individuato da Microsoft e Meta) che stava invece generando articoli lunghi e brevi commenti in inglese e spagnolo sul tema delle elezioni americane.
Ma hanno avuto un impatto effettivo? In realtà il loro impatto sembra essere piuttosto basso. Per valutarlo i ricercatori usano una scala, The Breakout Scale, che misura quanto una operazione di influenza rimanga su una sola piattaforma o viaggi su più piattaforme (compresi i media tradizionali e i dibattiti politici, un dato cruciale e pesante per valutare se l‘operazione ha avuto successo, il che ancora una volta richiama alle loro responsabilità testate e politica), e quanto resti in una sola comunità o si diffonda in più comunità.
In ogni caso, twitta Ben Nimmo, co-autore del report, “le aziende di AI, e quindi gli investigatori di AI, si trovano in una nicchia unica nello spazio dell'informazione - a metà strada tra i fornitori upstream di cose come le e-mail e le piattaforme downstream di distribuzione come i social media. Ultimo punto: nessuna delle operazioni che abbiamo identificato finora sembra aver raggiunto la diffusione virale o il coinvolgimento del pubblico grazie all'uso dell'AI. I social media sono un ambiente difficile”.
Domanda cruciale: perché sono un ambiente difficile per chi fa operazioni di influenza? Forse non c’è stato ancora un investimento serio da parte di questi attori malevoli, e siamo ancora in una fase di test? O forse dopo anni di processi pubblici nelle audizioni di vari Parlamenti alcuni di questi social media hanno adottato, malgrado i tagli recenti al personale, varie misure per monitorare e frenare questi abusi?
Rispondere a questa domanda significa capire come si possano controllare gli “attori malevoli” (soggetti perlopiù governativi ma non solo) anche nell’era dell’AI, se la distribuzione di contenuti resta in mano alle piattaforme social.
In generale, questo genere di campagne hanno impatti più significativi quando si inseriscono in realtà esistenti, amplificandole, più che creando da zero un fenomeno. Ma, anche in questi casi, valutare il loro reale impatto resta la domanda più difficile, e su cui le risposte restano più evasive.
ITALIA, CYBERSICUREZZA
Sicurezza sistemi Giustizia, abbiamo un problema (di fondo)
"Il caso di Carmelo Miano, ventiquattrenne arrestato lo scorso 2 ottobre a Roma con l’accusa di aver violato ripetutamente i sistemi informatici di Procure della Repubblica e del Ministero della Giustizia, porta all’attenzione – ancora una volta – il tema della sicurezza informatica all’interno della Pubblica Amministrazione.
Miano è senz’altro un abile informatico, ma come è possibile che abbia avuto accesso con cadenza pressoché quotidiana ai sistemi informatici del Ministero della Giustizia?"
(...)"Come se già non bastasse l’esternalizzazione della sicurezza dei sistemi a società terze o l’impossibilità di conoscere le attuali posizioni di server attraverso cui transitano documenti sensibili, ci si aggiungono le criticità nella digitalizzazione di alcune fasi processuali e dei relativi atti che rischiano di far saltare gli incassi dei fondi del PNRR: “desta preoccupazione – scrive il CSM – la scadenza, sostanzialmente imminente, dell’1 gennaio 2025, quando tutta la fase delle indagini preliminari dovrebbe essere gestita telematicamente”.
È notizia recente che, dal primo ottobre, i fascicoli cartacei del Tribunale di Milano si stiano accumulando senza che nessuno possa caricarli digitalmente. È infatti scaduto il vecchio contratto di digitalizzazione degli atti con la società che li inseriva nel sistema. Nella circolare interna, riportata dal Corriere della Sera, si legge che “il Ministero della Giustizia ha stipulato un nuovo contratto con una società diversa nell’ambito del Pnrr, ma non si sa ancora quando la società manderà i nuovi [addetti ndr]”.
Intanto, giorno dopo giorno, i fascicoli cartacei si accumulano sulle scrivanie dell’ufficio preposto presieduto ormai da un solo operatore".
Così scrive Eleonora Zocca in questo articolo su Guerre di Rete.
Ricordo la serata con la live di approfondimento martedì 29 ottobre alle 21 dove parleremo insieme a IrpiMedia di questa vicenda.
APPROFONDIMENTI / LINK UTILI/ LETTURE
CERCAPERSONE ESPLOSI
Le ultime due newsletter erano dedicate al tema dei cercapersone esplosi in Libano. Oggi segnalo solo un articolo di Reuters con alcuni dettagli aggiuntivi su come sarebbe stato inserito l’esplosivo nella batteria.
ITALIA
Chiedere a Starlink di connettere le aree più remote d'Italia non è così semplice
Il piano Italia a 1 giga, finanziato con 3,65 miliardi di fondi del Pnrr, è uno dei progetti centrali per la digitalizzazione e deve essere consegnato entro giugno 2026. Ad aggiudicarsi i lavori sono stati Open Fiber e Fibercop. Il problema è che gli ultimi dati sullo stato di avanzamento dei lavori indicano un livello di completamento del 29%.
È in questo quadro che si inserisce l’idea del governo di affidare a Starlink di Elon Musk una parte della copertura delle aree remote in una fase transitoria. Ma l’idea si scontra con gli obiettivi di connettività fissati dallo stesso Pnrr, essendo la velocità di download offerta da Starlink inferiore agli obiettivi. “Date le differenze tecniche di download, un accordo potrebbe prestare il fianco ai ricorsi delle aziende che hanno già ricevuto l'incarico di cablare le aree remote”, scrive Wired Italia.
STARLINK IN GUERRA
Come arrivano i terminali satellitari alle truppe russe
A proposito di Starlink. È in crescita il mercato nero che porta i terminali Starlink ai russi sul fronte ucraino, e la loro proliferazione sarebbe un fattore importante nei recenti progressi dell’offensiva russa, hanno raccontato soldati ucraini al WashPost.
Bloomberg a giugno calcolava che il contratto con cui il Pentagono paga SpaceX per fornire i servizi Starlink in Ucraina ammontasse a 40 milioni di dollari (contratto esteso fino al 30 novembre).
ITALIA
Il pasticcio di Piracy Shield e Google Drive
La piattaforma antipirateria ha bloccato il download da Google Drive per ore, ma sul suo funzionamento c'erano molti dubbi da prima, scrive Il Post. Per Giovanni Zorzoni, presidente dell’Associazione italiana internet provider, Piracy Shield è illegale, incostituzionale, scrive Repubblica.
EVENTI
Ci vediamo a Lugano il 26 ottobre al Cybersecurity Day di Ated (Associazione Ticinese Evoluzione Digitale).
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Non sei ancora iscritto? Iscriviti qua, è gratuita.
—> INFO SU GUERRE DI RETE
Guerre di Rete è un progetto di informazione sul punto di convergenza e di scontro tra cybersicurezza, sorveglianza, privacy, censura online, intelligenza artificiale, diritti umani, politica e lavoro. Nato nel 2018 come newsletter settimanale, oggi conta oltre 13.000 iscritti e da marzo 2022 ha aggiunto il sito GuerreDiRete.it.
Nell’editoriale di lancio del sito avevamo scritto dell’urgenza di fare informazione su questi temi. E di farla in una maniera specifica: approfondita e di qualità, precisa tecnicamente ma comprensibile a tutti, svincolata dal ciclo delle notizie a tamburo battente, capace di connettere i puntini, di muoversi su tempi, temi, formati non scontati.
Il progetto è del tutto no profit, completamente avulso da logiche commerciali e di profitto, e costruito sul volontariato del gruppo organizzatore (qui chi siamo).
Ha anche una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter li trovate sulle principali piattaforme ma attualmente sono in pausa (Apple Podcasts; Spotify; Google Podcast; Anchor.fm)