Questa volta sono state tre le vittime illustri del Syrian Electronic Army (Sea). Il sito del New York Times, e quelli di Twitter e dell’ Huffington Post Uk. La notizia del parziale blackout delle tre aziende, e in particolare della signora in grigio, avvenuto ieri sera, ha certamente scosso la Rete, riportando alla ribalta un gruppo di hacker la cui parabola sembra decisamente in ascesa.Ma vediamo cosa è successo e soprattutto chi sono gli autori della tripletta. Innanzitutto non si è trattato di una violazione dei server delle vittime, né di un comune attacco DDoS (cioè di negazione distribuita del servizio) che manda offline i siti inondandoli di richieste. Gli hacker hanno agito colpendo il Dns (Domain Name System), cioè quel sistema che risolve i nomi di dominio ( www.wired.it) in indirizzi IP (194.244.45.213).
Secondo vari esperti di cybersicurezza, questo specifico attacco ha fatto leva sui registrar, cioè su quelle organizzazioni attraverso le quali si compra e gestisce un dominio. Quello del Times (ma anche di Twitter e dell’ Huffington Post) sono gestiti dall’azienda Melbourne IT. Violando la sicurezza di quest’ultima, gli attaccanti sono quindi riusciti a fare modifiche sui name server (i server dei nomi di dominio) per il NYTimes.com senza autorizzazione.A quanto pare, il Sea è riuscito ad accedere al pannello di controllo di Melbourne IT attraverso un precedente attacco di phishing, il vero tallone d’Achille della sicurezza informatica: cioè si invia una mail finta con un link malevolo a un dipendente dell’impresa nel mirino e se abbocca gli si rubano le credenziali di accesso a un sito.
Una tecnica impiegata dallo stesso Sea anche in un altro clamoroso hack: la violazione dell’ account Twitter dell’Ap lo scorso aprile, quando gli hacker siriani riuscirono a twittare ai due milioni di seguaci della prestigiosa agenzia di informazione la notizia che c’erano state delle esplosioni alla Casa Bianca e che Obama era stato ferito. Per inciso, quella volta fecero crollare il Dow Jones di 150 punti.Ma chi sono i componenti del Syrian Electronic Army? Emersero sulla scena pubblica nel maggio 2011, quando iniziarono una serie di attacchi contro vari siti di informazione, che sono divenuti col tempo uno dei loro target preferiti. Si definiscono hacker filogovernativi, pro-Assad, e dicono di voler controbilanciare la narrazione negativa fatta dai media occidentali sul regime.
Tra le loro vittime si annoverano il Washington Post, Al Jazeera, Human Rights Watch, il Telegraph, l’ Independent, ma anche il profilo Twitter del meteo della Bbc, la cui violazione risultò in una serie di tweet abbastanza comici.Spesso le loro vittime sono state colpite proprio sugli account Twitter. Al sito di cinguettii gli hacker siriani hanno giurato vendetta dopo che il loro stesso profilo è stato chiuso più volte: 15, per la precisione, e per questo il loro attuale account si chiama @Official_SEA16.Sulla reale agenda politica e sui legami del Sea col regime ci sono interpretazioni diverse. Alcuni considerano il gruppo una banda di troll sofisticati, e sebbene certamente filo-Assad, non necessariamente allineati o inquadrati dal governo di Damasco. Questa tesi si basa anche sulla natura scherzosa dei messaggi postati attraverso i loro hack e sul fatto che gli autori siano probabilmente molto giovani. Alcuni di loro, in varie dichiarazioni alla stampa, hanno sempre negato di essere al soldo del regime, e di muoversi in autonomia.Tuttavia altri ricercatori di security e attivisti siriani anti-Assad accusano il gruppo di avere forti legami col governo e addirittura di diffondere malware tra gli oppositori del regime per carpirne informazioni: di essere insomma il braccio elettronico del sistema di sorveglianza siriano.
A sostenere questa tesi è tra gli altri uno studio firmato Hp, una delle ricerche più dettagliate sul Sea, secondo la quale nell’estate 2012 il gruppo fece attacchi mirati sui computer di oppositori del regime attraverso un trojan chiamato DarkComet e distribuito via Skype. Era un malware che sotto le mentite spoglie di una applicazione per aumentare la sicurezza del popolare software di VoIP prendeva invece possesso del pc dell’utente tracciando il suo IP e altre informazioni che venivano poi inviate a un altro indirizzo controllato dal governo.Il rapporto Hp riferisce anche come il gruppo sia considerato tra le 10 crew più abili al mondo. E come sia composto da un cuore di 8 individui, tra i 18 e i 20 anni circa, con un'altra ventina di sodali che si aggregano a seconda del momento. Alcuni di loro hanno pseudonimi noti, con cui in passato hanno rilasciato interviste: Th3Pr0, Shadow, SEAHawk e Ch3ckM4teIl loro rapporto con altri hacker e crew famose non è particolarmente amichevole.
In passato si sono scontrati più volte contro Anonymous, che era sceso in campo con la OpSyria, una operazione a sostegno degli oppositori del regime siriano. D’altra parte i due gruppi si sono trovati fianco a fianco nel condurre una campagna contro il governo turco e la sua repressione delle recenti proteste di piazza, formando una inedita e temporanea alleanza.