SEA
Sicurezza

Il Syrian Electronic Army colpisce ancora (anche l’Italia)

A cadere questa volta sono i siti di testate come Forbes, Telegraph e CBC ma anche Repubblica e Il Secolo XIX. Tutta colpa di un piccolo widget

Li avevamo conosciuti nell’aprile del 2013 per un post beffa su Twitter, quello in cui uno dei più autorevoli account, la Associated Press,  annunciava che il presidente Obama era stato ferito. A postare la falsa notizia erano stati proprio gli hacker che nel giro di qualche giorno finirono con il violare anche i cinguettii di una dozzina di profili del Guardian. A distanza di tempo, e proprio nel giorno del Ringraziamento 2014, i siriani hanno mosso nuovi attacchi ai siti di altre testate internazionali.

Tra i colpiti ci sono la CNBC, CBC, Telegraph, Forbes, Independent e il Boston Globe. Questa volta però pare che l’attacco non sia arrivato direttamente ai giornali ma veicolato tramite l’hacking di un widget, utilizzato da tutti i siti colpiti, che ha permesso di intrufolarsi dentro l’archivio di GoDaddy, un fornitore di servizi di hosting (risalendo codice per codice). In questo modo gli hacker sono riusciti a modificare gli indirizzi DNS dei portali associati a Gigya, una piattaforma di gestione dati, anch’essa usata dalle testate compromesse.

Non è chiaro se gli hacker sapessero già che una violazione a Gigya avrebbe permesso un’escalation di questo tipo oppure se l’obiettivo fosse proprio la piattaforma con sede a Mountain View. L’attacco odierno, se possibile, è più grave di quelli avvenuti nel 2013. In quel caso, tramite una serie di email pirata, gli hacker avevano cercato di rubare le credenziali di accesso alla AP e Guardian ingannando i gestori delle pagine (ad eempio tramite email phishing). Questa volta invece si tratta di un’azione di hacking molto più tecnica, che mette in luce le qualità informatiche dei partecipanti al Syrian Elecronic Army (SEA).

Modificando i DNS di Gigya (ovvero le stringhe numeriche associate alle parole di un indirizzo www), i siriani hanno reindirizzato il traffico web delle persone che digitavano, ad esempio, www.forbes.com, verso altre pagine (e quindi altre stringhe), costruite ad-hoc per mostrare il messaggio “Sei stato hackerato”.

Una scritta che hanno visto comparire anche i lettori di alcuni siti italiani, come Repubblica e Il Secolo XIX. Anche queste, come altre testate nazionali, sono clienti di Gigya e hanno sofferto lo stesso effetto “specchietto per le allodole” messo in piedi dagli hacker. Il motivo di tanto disturbo? Sensibilizzare l’opinione pubblica, e in particolare i politici, sul poco impegno (militare e mediatico) contro l’Isis. I ragazzi  del SEA sono infatti dichiaratamente filo-Assad in un contesto che vede il governo siriano combattere da anni contro l’Isis. In questo panorama gli smanettoni dell’esercito elettronico avevano già scelto da che parte stare. 

© Riproduzione Riservata

Commenti