Guerre di Rete - una newsletter di notizie cyber
di Carola Frediani
N.176 - 13 gennaio 2024
Specie per i nuovi, ricordo che questa newsletter (che oggi conta più di 13mila iscritti - ma molti più lettori, essendo pubblicata anche online) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione.
In più, il progetto si è ingrandito con un sito indipendente e noprofit di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito.
In questo numero:
- Cyber armi, da Stuxnet all’Ucraina
- Come armare i video delle celebrità
- AI e lavoratori
- L’Europa e gli spyware
- L’attacco alla British Library allarma le istituzioni culturali
- E altro
CYBER ARMI
L’ingegnere che trasportò Stuxnet
A distanza di oltre 15 anni la storia di Stuxnet (ovvero il malware che sabotò il programma nucleare iraniano, poi ribattezzato la prima nota “cyber-arma”) continua a far parlare di sé.
Un’inchiesta della testata olandese De Volksrant ha infatti rivelato l’identità (e i movimenti) della spia olandese che riuscì a infiltrarsi nell’impianto di arricchimento dell’uranio di Natanz, introducendo il malware, che col tempo avrebbe danneggiato le centrifughe. Ma, afferma la testata, la stessa AIVD - l’agenzia di intelligence olandese - che pure aveva organizzato l’operazione dopo gli incontri con la CIA, non era pienamente a conoscenza dei dettagli. Mentre ancora più all’oscuro delle implicazioni sono stati i politici del Paese.
Che ci fosse anche una manina olandese in mezzo a quella sofisticata operazione di sabotaggio cyber denominata Olympic Games (con Usa e Israele come principali protagonisti, e l’Iran come target) era già emerso nel 2019, con un’inchiesta proprio di De Volksrant e di Yahoo News.
Ma oggi sono usciti molti più dettagli. A cominciare dall’identità di chi avrebbe fisicamente portato Stuxnet a Natanz che - ricordiamolo - era protetta da ingenti misure di sicurezza e non era collegata a internet.
Infatti l’AIVD decise di reclutare un avventuroso ingegnere olandese, Erik van Sabben, che viveva a Dubai, lavorava in un’azienda di trasporti che faceva anche affari con l’Iran e aveva una moglie iraniana. Era insomma una copertura perfetta.
Fu proprio Van Sabben a entrare a Natanz nel 2007 e a installare delle attrezzature che veicolavano Stuxnet. L’ingegnere morì dopo poche settimane aver lasciato di fretta e in agitazione l’Iran a fine 2008, in un incidente di moto a Dubai. Non ci sono elementi per provare che l’incidente sia stato qualcos’altro, anche se “la sua morte improvvisa dopo l'operazione ha sollevato interrogativi tra alcuni dipendenti dei servizi segreti”, scrive Volksrant.
Era la prima volta, almeno per quello che sappiamo, che un malware distruttivo, capace di danneggiare un impianto industriale cruciale, veniva distribuito da alcuni Paesi contro altri. Le conseguenze geopolitiche del sabotaggio via Stuxnet furono importanti. Dopo che si venne a conoscenza dell’operazione, anche altri Paesi iniziarono a sviluppare armi digitali, a partire dallo stesso Iran.
De Volkskrant sostiene che i politici nazionali non sapessero nulla dell'intenzione dell'AIVD di svolgere un ruolo di quel tipo nel sabotaggio del programma nucleare iraniano. Di conseguenza, non ci sarebbe stata alcuna considerazione politica sui rischi o sulla legalità dell’operazione. Ma anche gli agenti dell'AIVD coinvolti nell'operazione non sapevano cosa si nascondesse nell'attrezzatura diretta a Natanz, che si trattasse cioè di un’arma digitale. D’altra parte, l’ex direttore della CIA Michael Hayden ha dichiarato che gli è "sempre piaciuto lavorare con gli olandesi" e che pensa che siano "bravi".
Il senso degli olandesi per le operazioni digitali in effetti non si è fermato a Stuxnet. Nel 2014 e 2015 l’AIVD ha violato i computer del gruppo di hacker russi noto come Cozy Bear, assistendo in diretta all’infiltrazione da parte dei russi dei network dei Democratici americani (e avvisando l’Fbi). Mentre la polizia olandese è stata protagonista di numerose operazioni digitali contro la criminalità, infiltrando mercati neri del dark web e smantellando reti di criptofonini.
Cyber armi nella guerra in Ucraina
Nel frattempo gli attacchi a infrastrutture critiche attraverso cyber armi si sono fatti strada. Ne abbiamo visti diversi nella guerra in Ucraina ad esempio. E proprio un attacco informatico ha colpito, lo scorso 12 dicembre, il più grande fornitore di telecomunicazioni dell'Ucraina, Kyivstar. I suoi 24 milioni di abbonati ucraini alla telefonia mobile e un altro milione di clienti di servizi internet domestici sono rimasti tagliati fuori dalle comunicazioni per giorni. Circa il 30% dei terminali di pagamento cashless di PrivatBank ha smesso di funzionare.
Molti utenti hanno dovuto comprare SIM di altri operatori a causa dell'attacco. Anche il sistema di allarme antiaereo ucraino è stato interrotto, con il mancato funzionamento degli allarmi in diverse città.
Il gruppo Solntsepyok ha rivendicato la responsabilità dell’operazione, pubblicando schermate che mostrerebbero la violazione dell'infrastruttura digitale di Kyivstar. Per l'agenzia statale ucraina per la sicurezza informatica, o SSSCIP, Solntsepyok sarebbe in realtà una copertura per l'agenzia di intelligence militare russa GRU.
L'attacco ha cancellato "quasi tutto", compresi migliaia di server virtuali e PC, ha detto Illia Vitiuk, capo del dipartimento di sicurezza informatica del Servizio di sicurezza ucraino (SBU) in un’intervista a Reuters, descrivendolo come forse il primo esempio di cyberattacco distruttivo che "ha completamente distrutto il core di un operatore di telecomunicazioni".
“Questo attacco è un messaggio, un netto avvertimento, non solo per l'Ucraina, ma per tutto il mondo occidentale, affinché capisca che nessuno è intoccabile”, ha aggiunto.
All’inizio di gennaio però gli hacker ucraini hanno deciso di contrattaccare anche su questo piano. Un gruppo noto come Blackjack e ritenuto collegato ai servizi ucraini ha infatti violato un provider tv e internet di Mosca, M9 Telecom, lasciando senza connessione alcuni residenti della capitale. Il servizio di monitoraggio della connettività internet Netblocks ha corroborato l’impatto dell’attacco. L’azione, secondo una fonte a conoscenza dell’operazione raccolta da Reuters, sarebbe stata una rappresaglia per l’attacco a Kyivstar.
Ne scrive anche il media ucraino Ukrinform.
SOCIAL MEDIA, IMMAGINI E PROPAGANDA
Come armare anche i video auguri
Restiamo ancora un momento sulla guerra in Ucraina, ma spostiamoci sul piano della propaganda e della disinformazione. Un report di dicembre di Microsoft ha segnalato una nuova tattica low-tech: sfruttare i servizi di una app di video messaggi di celebrità per riconfezionare contenuti originali a nuova destinazione d’uso. Per capirci dobbiamo prima spiegare cosa è Cameo.
Si tratta di un’app con cui è possibile comprare un video messaggio registrato ad hoc da una celebrità (che sia iscritta alla piattaforma) da mandare come regalo a una persona, che così potrà ricevere gli auguri personalizzati, o un messaggio motivazionale, dai suoi artisti o personaggi preferiti.
Bene, Microsoft scrive che alcune celebrità americane (come Elijah Wood, Dean Norris, Kate Flannery, e John McGinley) hanno apparentemente registrato dei video, indirizzati a un tal Vladimir, dove la richiesta era di spingerlo a cercare aiuto per abuso di sostanze. Ma questi stessi video sono poi stati utilizzati e modificati per far sembrare che l’invito fosse rivolto a Vladimir Zelensky. A quel punto i messaggi sono circolati sui social media come arma di propaganda. Non è chiaro chi sia stato a organizzare l’operazione ma è chiaro chi era il target.
AI E DEEPFAKES
Il deepfake della celebrità che promuove scam
Ma le celebrità possono essere usate anche con intenti criminali. C’è infatti un’altra notizia che riguarda finti video di personaggi famosi. Questa volta però i video sono realizzati con tecnologie di AI che clonano l’immagine o la voce del VIP. La testata 404media segnala una serie di filmati di AI che sfruttano l’immagine di celebrità come Joe Rogan, Taylor Swift, Ice Cube, Oprah e The Rock in ads usati per vendere truffe Medicare e Medicaid a milioni di persone su YouTube.
Molti degli annunci si basano sulla clonazione vocale tramite AI di un personaggio, abbinato a un video reale dello stesso ma decontestualizzato. Altri riproducono un breve filmato reale di una celebrità, per poi passare alla truffa con un attore o un clone vocale diverso. Gli annunci rimandano a finti siti web dell’U.S. Department of Health and Human Services che offrono false sovvenzioni.
AI E LAVORO
Duolinguo taglia lavoratori per l’AI
Duolingo, l’ azienda che produce la nota app per apprendere le lingue, ha tagliato il 10 per cento dei suoi consulenti (contractors), apparentemente con la motivazione di averli sostituiti attraverso l’AI. "Non abbiamo più bisogno di tante persone per svolgere il tipo di lavoro svolto da alcuni di questi consulenti. In parte ciò può essere ricondotto all'AI", ha dichiarato un portavoce dell’azienda. A novembre l’amministratore delegato Luis von Ahn aveva dichiarato in una lettera agli azionisti che l'azienda stava utilizzando l'AI generativa per produrre "nuovi contenuti in modo drasticamente più rapido" (via Bloomberg).
L’amministrazione Biden e la nuova norma sui contractors
Intanto, l’amministrazione Biden ha preso una decisione che potrebbe avere effetti sui lavoratori tech e della gig economy.
Il 10 gennaio, infatti, il Dipartimento del Lavoro degli Stati Uniti ha pubblicato una norma finale, in vigore dall'11 marzo 2024, che rivede le modalità per analizzare e classificare lavoratori dipendenti o autonomi ai sensi del Fair Labor Standards Act (FLSA).
Questa norma finale ridurrà il rischio che i dipendenti siano classificati erroneamente come autonomi, scrive il Dipartimento del Lavoro.
Accordo coi doppiatori ma non tutti sono contenti
SAG-AFTRA, il sindacato statunitense dei lavoratori dei media e dello spettacolo, ha annunciato un accordo con Replica Studios, società che ha una tecnologia AI per riprodurre voci umane. “L'accordo consentirà a Replica di coinvolgere i membri della SAG-AFTRA con un accordo equo ed etico per creare e concedere in licenza una replica digitale della loro voce. Le voci concesse in licenza possono essere utilizzate nello sviluppo di videogiochi e in altri progetti multimediali interattivi, dalla pre-produzione al rilascio finale”, recita il comunicato SAG-AFTRA. Ma molti doppiatori, che da tempo temono che l'AI li sostituisca, hanno reagito con furia e c’è chi ha definito l'accordo "spazzatura", riferisce BBC.
Anche i doppiatori italiani si sono mossi su questo, scrive Hollywood Reporter. “La questione dell’intelligenza artificiale è stata aggiunta durante le negoziazioni, all’articolo 22 del Ccnl”.
SPYWARE
Come l’Europa non sta reagendo all’abuso di spyware
Nati nel continente che vuole regolare la tecnologia, gli spyware rimangono ancora in un limbo normativo. Dopo Pegasus, Predator: i rischi di abuso contro giornalisti, attivisti e oppositori.
”Ad oggi sappiamo che molti ministri attualmente in carica, il capo politico Nikos Androulakis, giornalisti, direttori di giornali, imprenditori sono stati target del software; e che alcuni di loro erano allo stesso tempo intercettati legalmente dai servizi di intelligence greci”, commenta a Guerre di Rete la giornalista greca Eliza Triantafillou, della testata Inside Story, una piccola realtà di giornalismo investigativo che per prima ha iniziato a seguire la pista spyware in Grecia (di cui abbiamo scritto un anno fa in newsletter).
Leggi l’articolo su Guerre di Rete a firma di Laura Carrer.
CYBERCRIMINE E CULTURA
L’attacco alla British Library suona il campanello d’allarme per le organizzazioni culturali
Lo scorso ottobre la British LIbrary era finita offline dopo un pesante attacco ransomware (che cifra documenti per chiedere un riscatto, in molti casi minacciando anche di pubblicare i dati esfiltrati). Dopo che la biblioteca si era rifiutata di pagare un’estorsione di 600.000 sterline, i cybercriminali (la gang nota come Rhysida) avevano pubblicato online centinaia di migliaia di file sottratti, compresi i dati dei clienti e del personale.
Ora emerge anche che la veneranda biblioteca “sarà costretta a spendere circa 10 volte tanto per ricostruire la maggior parte dei servizi digitali, con un costo stimato tra i 6 e i 7 milioni di sterline”, riferisce il Financial Times, “(...) consumando una parte considerevole dei 16,4 milioni di sterline di riserve non allocate”.
A distanza di mesi dall’attacco informatico, poi, continuano i disagi per gli utenti. Il catalogo online non è ancora disponibile, e anche il funzionamento delle attività nella biblioteca sono rallentate.
A dicembre così la raccontava il New Yorker: “Per coloro che si affidano alle collezioni della B.L (British Library, ndr), e, più in generale, alla sua distribuzione di informazioni digitali gratuite al sistema educativo britannico, le conseguenze del cyberattacco sono state terribili. Fuori dalla Maps Room, che offre l'accesso a quattro milioni e mezzo di documenti che risalgono al XV secolo, un avviso recitava: "Si prevede che l'interruzione di alcuni servizi persisterà per diversi mesi". All'interno, la sala di lettura era vuota, tranne che per due guardie di sicurezza e un bibliotecario in piedi su una sedia (era impossibile consegnare materiali preziosi senza un monitoraggio elettronico). "È così tutto il giorno", ha detto una delle guardie, aggiungendo di ritenere che la biblioteca sarebbe stata in grado di funzionare per Pasqua”.
Non è la prima volta che un’importante istituzione culturale è messa in difficoltà da un pesante attacco informatico. Come ricorda The Art Newspaper - che si chiede come difendere musei e biblioteche - tra il 2022 e il 2023 hanno subito attacchi ransomware anche il Metropolitan di New York, la Toronto Public Library e il Museum für Naturkunde di Berlino.
Quanto avvenuto alla British Library ha infatti messo in allarme molte organizzazioni museali, che si affidano alla tecnologia digitale per i sistemi di prenotazione, la gestione delle collezioni e la documentazione. “Musei, gallerie e archivi sono stati esortati a rafforzare la loro sicurezza informatica”, ha scritto a dicembre Museums Association.
CYBER ASSICURAZIONI
Accordo su Merck
Il gigante farmaceutico Merck avrebbe infine raggiunto un accordo con l’assicurazione che si era rifiutata di coprire le perdite derivanti dal cyberattacco NotPetya del 2017, ascritto ad “atto di guerra” e come tale escluso da una clausola. L'accordo, non divulgato, termina una battaglia giudiziaria durata anni.
Bloomberg LawDATI E SANITA’
Palantir e il marketing
Una settimana dopo aver firmato un contratto controverso con il servizio sanitario nazionale del Regno Unito, Palantir ha lanciato una campagna di marketing per contrastare le critiche alla piattaforma di dati sui pazienti che sta costruendo, violando potenzialmente i termini dell'accordo, scrive Bloomberg.
LETTURE RITRATTO
Come Sam Altman ha conquistato la Silicon Valley
L’ascesa non priva di contraddizioni del wonderboy dell’AI. Sul WashPost (paywall)
Preparatevi per la grande delusione AI - Wired Usa
EBOOK
Scarica gratis il nostro ebook Generazione AI
Il nostro ebook a più firme Generazione AI è scaricabile per tutti da qua.
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Non sei ancora iscritto? Iscriviti qua, è gratuita.
—> INFO SU GUERRE DI RETE
Guerre di Rete è un progetto di informazione sul punto di convergenza e di scontro tra cybersicurezza, sorveglianza, privacy, censura online, intelligenza artificiale, diritti umani, politica e lavoro. Nato nel 2018 come newsletter settimanale, oggi conta oltre 12.000 iscritti e da marzo 2022 ha aggiunto il sito GuerreDiRete.it.
Nell’editoriale di lancio del sito avevamo scritto dell’urgenza di fare informazione su questi temi. E di farla in una maniera specifica: approfondita e di qualità, precisa tecnicamente ma comprensibile a tutti, svincolata dal ciclo delle notizie a tamburo battente, capace di connettere i puntini, di muoversi su tempi, temi, formati non scontati.
Il progetto è del tutto no profit, completamente avulso da logiche commerciali e di profitto, e costruito sul volontariato del gruppo organizzatore (qui chi siamo).
Ha anche una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter li trovate sulle principali piattaforme ma attualmente sono in pausa (Apple Podcasts; Spotify; Google Podcast; Anchor.fm)