Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Mentre le informazioni ancora risultano confuse, sembrerebbe che i cercapersone esplosi in tutto il Libano siano 3: Motorola LX2, Teletrim, Gold Apollo. Intanto sale il conteggio dei feriti, che sono ad ora 2800, tra i quali 200 in condizioni gravi e 9 morti (tra i quali una bambina).
Le prime indagini suggeriscono che è improbabile che la configurazione standard della batteria del cercapersone sia la causa delle esplosioni. Le autorità propendono invece per la possibilità che i dispositivi siano stati intenzionalmente manipolati con materiali esplosivi. Se all’interno del dispositivo fossero stati piazzati degli esplosivi prima che raggiungesse i membri di Hezbollah, i danni potrebbero essere altrettanto ingenti se fatti detonare da uno specifico segnale.
Il produttore taiwanese associato ai cercapersone esplosi durante un attacco mortale e senza precedenti in Libano contro Hezbollah ha dichiarato che i dispositivi erano stati fabbricati da un’azienda europea (riporta the guardian) mentre il gruppo militante ha incolpato Israele e ha giurato vendetta.
Il cercapersone Apollo Gold Rugged Pager AR-924 e Apollo Gold AP-900 prodotto dalla Gold Apollo Co., Ltd. è stato identificato come uno degli ordigni esplosi, il quale detonando ha ferito centinaia di persone nel Libano. Sono emerse speculazioni su come i dispositivi abbiano potuto esplodere e causare così tante vittime, in particolare un cercapersone Apollo che funziona con batterie alcaline AAA.
Mercoledì, il fondatore dell’azienda, Hsu Ching-Kuang, ha negato di aver prodotto i cercapersone, affermando che erano stati fabbricati da un’azienda in Europa che aveva il diritto di usare il suo marchio. “Il prodotto non era nostro. Era solo che aveva il nostro marchio”, ha detto. “Siamo un’azienda responsabile. Questo è molto imbarazzante”, ha detto.
Sono dispositivi popolari negli anni ’90 e nei primi anni 2000, che sono stati progettati per ricevere e visualizzare messaggi di testo, il che li rende uno strumento di comunicazione essenziale in vari contesti professionali e di emergenza. Nonostante la loro semplicità, funzionano grazie a un sistema sofisticato che garantisce la trasmissione tempestiva e accurata dei messaggi.
La trasmissione di un messaggio inizia da un terminale di paging centrale, che codifica il messaggio in un formato di segnale come FLEX o POCSAG. Questo segnale viene inviato su una banda di frequenza specifica e il cercapersone, ricercando i segnali che corrispondono al suo identificatore univoco, lo riceve tramite la sua antenna.
Il cercapersone decodifica quindi il messaggio e lo visualizza sullo schermo, avvisando l’utente tramite vibrazione, suono o entrambi. Inoltre, può memorizzare più messaggi per una successiva consultazione.
In teoria sì, ma, come dimostrano le informazioni provenienti da fonti aperte, sarebbero necessarie conoscenze e attrezzature specializzate. Il metodo di compromissione più diretto comporterebbe l’intercettazione e la decodifica dei segnali radio. Poiché i cercapersone ricevono messaggi tramite frequenze radio, questi segnali possono essere intercettati da chiunque disponga dell’attrezzatura giusta.
Sebbene i messaggi siano codificati, in genere non sono criptati, il che significa che un messaggio intercettato può essere facilmente decodificato. Attacchi più sofisticati potrebbero comportare la compromissione dell’infrastruttura di messaggistica o la manomissione fisica dei dispositivi durante la distribuzione. Sebbene il cercapersone alfanumerico sia uno strumento di comunicazione affidabile ed efficiente, non è esente da potenziali vulnerabilità.
Gli utenti, in particolare quelli che ricoprono ruoli sensibili, devono essere consapevoli dei rischi e adottare le dovute precauzioni, come l’utilizzo di canali di comunicazione sicuri e il monitoraggio di attività insolite. Con l’evolversi della situazione, gli esperti stanno concentrando i loro sforzi per scoprire la reale portata della manipolazione e le sue implicazioni per l’attuale situazione di sicurezza nella regione.
Al momento, la pista più probabile è un attacco alla supply-chain. Tale attacco differisce dal classico attacco alla catena di approvvigionamento dal classico punto di vista informatico. Secondo quanto riferito a Reuters da un’importante fonte della sicurezza libanese e da un’altra fonte, il Mossad, l’agenzia di spionaggio israeliana, avrebbe inserito una piccola quantità di esplosivo all’interno di 5.000 cercapersone fabbricati a Taiwan e ordinati dal gruppo libanese Hezbollah mesi prima delle detonazioni di martedì.
Da diverse fonti sembrerebbe che in fase di spedizione dei dispositivi, sia stato inserito all’interno un potente esplosivo il PETN.
Tale esplosivo è stato controllato a distanza e fatto detonare attraverso un messaggio radio inviato al dispositivo (anche se tutto questo risulta ancora da dimostrare).
Il tutto potrebbe essere stato architettato in diversi fasi da un attore statale, altamente motivato e finanziariamente supportato. Le fasi potrebbero essere state le seguenti:
Ora risulta da comprendere come l’esplosivo sia stato comandato a distanza e fatto esplodere intorno alle 15:30 della giornata di ieri. Potrebbe trattarsi di una compromissione del firmware oppure di un bug 0day rilevato dai ricercatori oppure semplicemente un banale microcontrollore con esplosivo inserito all’interno del dispositivo programmato per detonare a tempo.
Occorre anche dire che gli Hezbollah avevano deciso tempo fa di non utilizzare gli smartphone in quanto facilmente hackerabili dalle intelligence israeliane e decisero per l’utilizzo dei cerca persona.
Questa sequenza di eventi descrive una possibile manipolazione dei dispositivi che porta alla detonazione controllata da remoto. Va da se che se l’esplosivo è stato inserito nella fase di spedizione, siamo di fronte a uno scenario di attacco totalmente nuovo, complesso e critico anche dal punto di vista politico. Ma se invece l’esplosivo è stato inserito in fase di progettazione, si tratterebbe di un attacco che ha delle pesanti ricadute a livello geopolitico internazionale.
