Paola P. Goldberger
L’8 ottobre, mentre Israele iniziava appena a svegliarsi sulla portata del peggior fallimento dell’intelligence nella sua storia, un gruppo di hacker precedentemente sconosciuto, “MalekTeam”, è apparso online. “Io sono Malek. Ho tutte le vostre informazioni personali. Chiunque serva i sionisti è sotto il mio controllo”, hanno scritto gli hacker nel loro primo messaggio su una popolare applicazione di messaggistica.
Nelle settimane successive gli hacker, che si ritiene siano legati all’intelligence militare iraniana, hanno pubblicato decine di migliaia di registrazioni contenenti informazioni private di cittadini israeliani.
Nella fuga di notizie più dannosa, gli hacker hanno pubblicato centinaia di cartelle cliniche, con informazioni sulla salute personale e sui tipi di ferite dei soldati feriti al confine con il Libano dopo il 7 ottobre.
“Abbiamo più di 500 GB. Vi daremo alcuni esempi: Circa 20000 di cittadini e 5000 dell’IDF”, hanno annunciato gli hacker, sostenendo di essere in possesso di file molto più grandi di quelli disponibili pubblicamente. Il gruppo di hacker sostiene anche di essere dietro l’hacking dell’Ono Academic College e di un importante gruppo di media.
La fuga di informazioni così sensibili non è stata certo una sorpresa per gli esperti informatici israeliani, che da anni mettono in guardia sulle principali vulnerabilità di Israele nel dominio informatico. Più di un anno fa, nel dicembre 2022, il Controllore di Stato aveva già rilevato in un rapporto la mancanza di protezione delle informazioni personali di milioni di cittadini e aveva chiesto un intervento rapido per correggere le carenze, ma poco è stato fatto.
Gli ospedali, che conservano le cartelle cliniche dei soldati e i dati sulle loro ferite, sono stati riconosciuti come particolarmente poco protetti e lontani dall’auto-rappresentazione di Israele come potenza della cybersecurity. Un funzionario israeliano che parla a condizione di anonimato indica che in molti ospedali i sistemi operativi dei computer sono vecchi, c’è poca consapevolezza in termini di cybersicurezza e non c’è budget per questo.
Il funzionario aggiunge che gli ospedali non effettuano valutazioni dei rischi per verificarli costantemente, mentre persone non autorizzate possono entrare nei sistemi.
Tali informazioni private rimarranno online a tempo indeterminato e potranno essere utilizzate per danneggiare gli israeliani in diversi modi, come la modifica dei dati sanitari in modo pericoloso per la vita, il furto di identità, il phishing su misura e i tentativi di ingegneria sociale che possono essere utilizzati per attirare le vittime a condividere informazioni sensibili per preparare attacchi futuri.
Le autorità israeliane responsabili della sicurezza informatica stanno finalmente iniziando ad agire per migliorare la sicurezza informatica, ma il danno è stato fatto e non sono riuscite a impedire la diffusione su larga scala delle informazioni private degli israeliani.
I segnali di allarme ignorati prima del 7 ottobre
A partire dal 2010, il Primo Ministro Benjamin Netanyahu ha fatto della sicurezza informatica di Israele una priorità. Ha lanciato la “National Cyber Initiative”, con il compito di fornire a Israele “capacità da superpotenza nel cyberspazio”. Pochi anni dopo, Netanyahu ha dichiarato che l’obiettivo era stato raggiunto e che Israele era diventato “una potenza della cybersicurezza”. Israele ha iniziato a essere visto a livello internazionale come una potenza della cybersecurity, presumibilmente invulnerabile alle minacce digitali esterne.
Come al confine di Gaza, dove gli allarmi precedenti agli attacchi di Hamas del 7 ottobre non sono stati presi sul serio, l’arroganza ha preso il sopravvento e gli avvertimenti sulle principali vulnerabilità informatiche sono caduti nel vuoto. La dottoressa Tehilla Shwartz Altshuler, dell’Israel Democracy Institute, ha osservato l’anno scorso che “c’è un problema sistemico nella preparazione della difesa informatica di Israele” e che “la sicurezza informatica di Israele è una bomba a orologeria”. In mezzo alla guerra, la bomba sta esplodendo e queste vulnerabilità vengono messe a nudo.
Le falle di Israele sul fronte informatico riguardano le istituzioni pubbliche che sono spesso oggetto di attacchi informatici in tutto il mondo, come ospedali e università. Israele definisce 40 organizzazioni come infrastrutture critiche, concedendo loro più manodopera e finanziamenti e richiedendo il rispetto di determinati standard.
Tuttavia, le organizzazioni importanti che non sono definite critiche sono più problematiche: università e ospedali, che ospitano informazioni di alto valore come i dati sanitari di cittadini e soldati. Nel maggio 2023, il Controllore dello Stato ha messo in guardia sulle numerose carenze di cybersicurezza che mettono le istituzioni statali, compresi gli ospedali e i dati sanitari dei cittadini, a rischio di cadere preda degli hacker.
Il National Cyber Directorate, uno dei principali organi incaricati di garantire la sicurezza informatica del Paese, non ha potuto fare molto in seguito a un rapporto così allarmante. Prima della guerra, il Cyber Directorate operava senza un quadro giuridico che gli garantisse poteri di monitoraggio, supervisione, applicazione e punizione.
Come ha spiegato in un’intervista la dottoressa Rachel Aridor Hershkowitz, ricercatrice sulla sicurezza informatica e sui dati medici presso l’Israeli Democracy Institute: “Dopo un cyberattacco contro un ospedale nel 2021, è successo ben poco, perché il Cyber Directorate non poteva fare nulla, non aveva alcun potere, e il Ministero della Salute ha detto che non aveva soldi da investire nella cybersicurezza degli ospedali. È risaputo che gli ospedali nei domini cibernetici non sono abbastanza protetti, e ora ne vediamo i problemi”.
In parole povere, gli hacker del MalekTeam, sostenuti dagli iraniani, stanno sfruttando le carenze sistemiche della difesa informatica di Israele e condividono i link per scaricare i file contenenti le informazioni sanitarie private degli israeliani. “Abbiamo i file dei soldati che sono stati ricoverati all’ospedale di Ziv negli ultimi 10 mesi. L’ospedale è uno dei principali centri medici del Nord e Hezbollah attacca da lì”, si legge nel messaggio.
Invece di chiedere denaro, come avviene di solito nei cyberattacchi contro gli ospedali di tutto il mondo, MalekTeam condivide informazioni mediche sensibili, come le cartelle cliniche datate dal 2020 al 2023, compresi i registri delle vaccinazioni.
I dati sono stati verificati da Shomrim. Il 18 dicembre 2023 il Cyber Directorate di Israele ha riconosciuto che “gli aggressori sono riusciti a estrarre alcuni dati”, puntando il dito contro l’Iran e Hezbollah per l’attacco, senza specificare la loro natura sensibile.
L’ospedale Ziv è stato vittima ricorrente di attacchi informatici, non riuscendo a impedire agli hacker di accedere a dati sensibili nella guerra in corso. In risposta a questi attacchi e avvertimenti, il portavoce dell’ospedale Ziv ha dichiarato che “abbiamo aumentato la preparazione presso il Ministero della Salute e la Divisione Ospedali Governativi”.
Ancora più preoccupante è il fatto che l’ospedale di Ziv potrebbe essere tutt’altro che un caso isolato. Un funzionario israeliano rivela che negli ultimi mesi ci sono stati molti attacchi contro gli ospedali; non solo contro l’ospedale di Ziv, ma anche contro Mayanei Hayeshua, Emek e l’ospedale psichiatrico Eitanim vicino a Gerusalemme. Non è noto se in questi attacchi siano trapelati dati.
Il Cyber Directorate sta finalmente acquisendo nuovi poteri nella guerra, con un regolamento d’emergenza che gli conferisce la capacità di impartire istruzioni vincolanti alle aziende vittime di attacchi informatici, ma sembra che ciò sia avvenuto troppo tardi. Il dottor Aridor Hershkowitz sottolinea che “non si può fare nulla per le fughe di notizie che hanno già avuto luogo”.
Allo stesso modo, un analista informatico israeliano osserva che, sebbene le agenzie israeliane abbiano migliorato la difesa informatica del settore pubblico e privato israeliano durante la guerra, “la domanda che possiamo porci è se ciò che è stato fatto prima del 7 ottobre sia stato sufficiente a dissuadere l’Iran dall’hackerare attivamente molte aziende in Israele, ottenendo nel tempo un buon punto d’appoggio nel cyberspazio israeliano”.
Sfruttare le debolezze di Israele sul campo di battaglia digitale
Il MalekTeam non è l’unico gruppo affiliato all’Iran ad aver sfruttato le carenze informatiche di Israele. Il Cyber Directorate ha rilevato in un recente rapporto che oltre 15 gruppi associati a Iran, Hezbollah e Hamas hanno attaccato Israele nel cyberspazio dal 7 ottobre.
“A Smotrich, ministro delle Finanze: Siete pronti a pagarne il prezzo?”, chiedono gli hacker legati all’Iran del gruppo di recente formazione “Cyber Toufan”. Dal 7 ottobre, il gruppo ha cercato di indebolire l’economia israeliana condividendo due volte al giorno grandi quantità di dati, hackerati da circa 100 organizzazioni, tra cui servizi governativi come l’Israel Innovation Authority, e aziende di sicurezza informatica sensibili che sono state esaminate dallo Shomrim.
Ogni serie di dati contiene solitamente migliaia di nomi, numeri di telefono, e-mail, indirizzi e password appartenenti a cittadini israeliani. Gli hacker procedono poi spesso a minacciare direttamente le persone presenti nelle fughe di notizie, inviando loro messaggi, tramite le e-mail ottenute nelle fughe, che li invitano a “boicottare il cyber e il tech israeliano”.
Il portavoce del Cyber Directorate riconosce che alcune di queste fughe di notizie hanno avuto luogo, indicando che hanno avuto origine da un singolo hack della società di hosting di siti web Signature-IT, e ha menzionato che nessuna informazione sulle carte di credito è stata memorizzata sui server della piattaforma.
Tuttavia, il ricercatore di cybersicurezza Kevin Beaumont, che ha seguito da vicino questo gruppo di hacker, dimostra che alcune delle vittime di Cyber Toufan non sono clienti di Signature-IT, rivelando che la portata del gruppo si estende oltre la società di hosting di siti web. Inoltre, un terzo delle organizzazioni prese di mira non si è ancora ripreso, e alcune hanno visto i loro dati cancellati dai sistemi interni.
Ancora una volta, queste falle derivano, in parte, da una mancanza di preparazione per la difesa informatica di Israele, osserva Beaumont in un’intervista. Le aziende israeliane devono chiedersi, insieme ai loro fornitori, se sono preparate, dal punto di vista della cybersicurezza, per essere in grado di gestire gli avversari in tempo di guerra”. Nel caso di Cyber Toufan, sembra che i fornitori coinvolti non fossero semplicemente attrezzati per affrontare il livello di minaccia”, ha spiegato.
I gruppi di hacker sostenuti dall’Iran sembrano essere ben consapevoli delle falle informatiche di Israele e delle linee di faglia politica del Paese. Prendiamo ad esempio KarmaGroup, un gruppo che si spaccia per un gruppo israeliano di sinistra e che si affida a un malware, soprannominato “Bibi-Wiper” e compilato il giorno del compleanno di Netanyahu, il 21 ottobre, per causare la distruzione dei dati e la diffusione di fughe di notizie da parte di organizzazioni israeliane, tra cui una società di data-hosting e appaltatori della difesa. “#no2Bibi #no2CrimeMinister”, scrivono, prima di rilasciare le informazioni trapelate, cercando di approfondire le spaccature sociali facendosi passare per un’organizzazione israeliana di sinistra mentre conduce operazioni informatiche.
Il gruppo ha attaccato aziende del settore privato come modo per ottenere un punto d’appoggio nei servizi governativi, spiega un esperto israeliano di sicurezza informatica. KarmaGroup, che è collegato all’intelligence militare iraniana, ha preso di mira e fatto trapelare informazioni da varie istituzioni israeliane, tra cui Octopus Computer Solutions e altre aziende del settore privato”.
“Molto probabilmente il motivo per cui sono state prese di mira queste aziende è il loro collegamento con grandi aziende e agenzie governative. Gli hacker puntano a queste aziende ‘periferiche’ per ottenere informazioni, poiché le agenzie statali possono esercitare un controllo minore sulle aziende private”.
Inoltre, altri gruppi cercano di farsi pubblicità sfruttando l’attuale attenzione internazionale sulla guerra contro Hamas e condividendo un mix di database vecchi e di recente acquisizione appartenenti a israeliani.
Come ha osservato il portavoce del Cyber Directorate, “dallo scoppio della guerra, c’è stato un aumento sul Darkweb e sui social network di menzioni di fughe di notizie di vario tipo. È importante notare che alcuni dei file trapelati pubblicati all’inizio della guerra risalgono a eventi vecchi o riciclati”. Tuttavia, le fughe di notizie risalenti anche a prima della guerra possono contenere informazioni che rimangono attuali e che sono fonte di minacce per gli israeliani.
Fughe informatiche e rischi reali: Minacce per i cittadini israeliani nella guerra in corso
Oltre a esporre le vulnerabilità della difesa informatica di Israele e a minare l’immagine del Paese come potenza informatica invulnerabile, queste fughe di notizie pongono molteplici minacce potenziali ai cittadini israeliani nel contesto della guerra. Questi rischi sono stati particolarmente esemplificati nella guerra in Ucraina, con gli hacker russi che hanno utilizzato i dati trapelati per seminare sfiducia e mettere a rischio i cittadini.
Come riassunto da Aleksandar Milenkoski, ricercatore senior sulle minacce presso la società di cybersicurezza SentinelLabs, “le violazioni dei dati creano opportunità per lo spionaggio, l’interruzione o le operazioni a scopo finanziario con conseguenze potenzialmente gravi, che vanno dagli attacchi su larga scala alla catena di approvvigionamento e alle campagne di phishing mirate fino alle intrusioni nelle reti private e all’appropriazione indebita di risorse finanziarie”.
Ad esempio, all’inizio di novembre 2023, l’IDF ha scoperto profili falsi sui social media, che lavoravano per conto di Hamas e cercavano di entrare in contatto con i soldati per estorcere informazioni sensibili. Questi avatar possono sfruttare le informazioni personali trovate nelle fughe di notizie per apparire più convincenti e attirare i loro obiettivi a condividere informazioni.
Le fughe di notizie rappresentano anche un punto di ingresso per convincenti tentativi di phishing, con l’invio da parte degli hacker di e-mail che invitano le persone a cliccare su un link dannoso, portando a ulteriori violazioni dei dati.
I rischi sono particolarmente elevati anche per i dati medici trovati in alcune fughe di notizie. Queste fughe di notizie non solo violano la privacy dei pazienti e rivelano alcuni tipi di ferite subite dalle truppe israeliane, ma le espongono anche a scenari di pericolo di vita, con gli hacker che modificano le cartelle cliniche dopo aver ottenuto l’accesso a una cartella clinica.
Un funzionario israeliano sottolinea che tali fughe di notizie “possono consentire agli hacker di cambiare un gruppo sanguigno nel sistema, il che può danneggiare la vita umana”. Un soldato ferito, prontamente evacuato da Gaza o dal fronte settentrionale verso un ospedale, può essere esposto a trattamenti sbagliati, con conseguenze fatali e irreversibili, se i medici si basano su dati parziali o errati a seguito di cyberattacchi e fughe di notizie simili a quelle attualmente in corso in Israele.
Non è difficile immaginare come le carenze nel cyberspazio e la mancanza di attenzione agli avvisi preventivi si riversino rapidamente sul campo di battaglia.
Seguici su…