Gli attacchi mirati che coinvolgono dispositivi modificati, come cercapersone o cellulari trasformati in ordigni esplosivi, rappresentano una delle tecniche più ingegnose adottate in operazioni di intelligence. Questi dispositivi non solo attraggono l'attenzione delle vittime con suoni o vibrazioni, ma utilizzano anche tecnologie obsolete che risultano estremamente difficili da intercettare. Questo rende tali strumenti particolarmente interessanti per organizzazioni come Hezbollah, che sfruttano cercapersone per comunicare in modo sicuro e affidabile, riducendo il rischio di tracciamento da parte delle agenzie di intelligence.
Hezbollah, ad esempio, utilizza cercapersone principalmente per motivi di sicurezza. A differenza degli smartphone moderni, che emettono segnali costanti e sono dotati di funzioni GPS integrate, i cercapersone sono dispositivi a senso unico che ricevono messaggi senza trasmettere costantemente la posizione dell'utente. Questo rende molto più complicato per le autorità o per le agenzie di intelligence, come il Mossad israeliano, tracciare la posizione esatta di chi li usa.
I cercapersone, essendo tecnologicamente semplici, non sono integrati nelle reti cellulari globali o in Internet, limitando così il tipo di attacchi informatici che potrebbero essere portati avanti contro dispositivi più avanzati. Inoltre, essi si basano su segnali radio, il che li rende particolarmente affidabili in aree con scarsa copertura mobile o in situazioni in cui le reti cellulari sono state interrotte, come nelle zone di conflitto o durante operazioni di sicurezza.
Il dispositivo utilizzato per l'attacco è Il cercapersone AP900 che lavora su frequenze UHF (400-470 MHz) e VHF (100-174 MHz).
La modulazione utilizzata per l'attivazione di questi dispositivi è la Frequency-shift keying, FSK uno schema di modulazione di frequenza in cui le informazioni digitali vengono codificate su un segnale portante spostando periodicamente la frequenza della portante tra diverse frequenze. Lo spostamento di frequenza di ±4,5 kHz viene utilizzato insieme a una spaziatura dei canali di 25 kHz, nota come "wideband".
Il sistema di trasmissione utilizza Codewords a 32 bit, di cui 21 bit sono dedicati alle informazioni (bit 31-11), 10 bit alla correzione degli errori (bit 10-1), e un bit di parità (bit 0). Queste Codewords si basano su un codice BCH binario (31, 21), che offre una distanza di Hamming di 6 bit. Tale distanza consente di rilevare e correggere fino a 2 errori per Codewords, aumentando l'affidabilità del sistema di trasmissione.
Le Codewords possono essere di due tipi: indirizzo o dati, le Codewords di indirizzo Contengono 18 bit di indirizzo (bit 30-13) e 2 bit di funzione (bit 12-11), mentre le Codewords di dati: Trasportano 20 bit di dati (bit 30-11).
Ogni batch di trasmissione inizia con una parola di sincronizzazione (0x7CD215D8), seguita da 16 Codewords che possono essere indirizzi o dati. Le Codewords inutilizzate all'interno di un batch vengono riempite con un valore inattivo di 0x7A89C197.
Sebbene l'indirizzo trasmesso abbia 18 bit, l'indirizzo effettivo utilizzato dal ricevitore è di 21 bit. I 3 bit mancanti sono derivati dalla posizione della coppia di Codewords all'interno del batch. Questa tecnica consente al dispositivo di risparmiare energia per buona parte del tempo e di riattivarsi solo quando viene trasmessa la coppia di Codewords che lo identifica, ottimizzando così il consumo energetico.
Per questo motivo la mia convinzione è che l'attacco sia stato propagato attraverso la propagazione di segnali radio nell'area interessata tramite droni e o mezzi navali, segnali che hanno attivato in sincro tutti i device che evidentemente erano stati riprogrammati utilizzando un secondo indirizzo identificativo di massa che ha coperto l'intera serie di device commercializzati nella zona.
Altra particolarità dell'attacco è rappresentata dalla tecnica utilizzata per innescare l'attenzione del bersaglio. Come documentato dai filmati apparsi in rete, i dispositivi coinvolti hanno nella prima fase emesso segnali, come un suono o una vibrazione, che hanno indotto le vittime a interagire con il dispositivo. Una volta che il display si accende, il soggetto tende a toccare o esaminare il dispositivo, attivando inconsapevolmente la sequenza di detonazione. Dopo pochi secondi dall'interazione, l’esplosione si verifica, portando alla morte o a ferite gravi.
Questa modalità di attivazione, che potrebbe sembrare progettata appositamente per attirare la vittima, indica una precisione chirurgica nell'intenzione di massimizzare il danno. L'obiettivo, infatti, è quello di causare danni diretti alla persona che lo utilizza, spesso mirando al viso o alla testa.
Nel momento in cui scrivo questa analisi sono accertate 18 vittime ed oltre 4000 feriti, dimostrazione che l'operazione di manomissione degli apparati ha coinvolto un'intera produzione che potrebbe essere stata sostituita poco prima della consegna, ulteriore considerazione dato il numero alto di feriti è che la pianificazione dell'operazione sia partita dall'analisi delle comunicazioni di Hezbollah per poi passare alla produzione in serie di questi apparati.
È ipotizabile che l'operazione abbia coinvolto incosapevolmente il produttore che ha ricevuto un doppio ordinativo, uno dalla rete di Hezbollah l'altro da un trader che ha agito inconsapevolmente per l'agenzia di intelligence Israeliana. All'arrivo del container in Libano potrebbe essere avvenuta la sostituzione degli apparati con quelli modificati.
Non è la prima volta che l'intelligence israeliana ricorre a dispositivi modificati per colpire i propri avversari, ad esempio nel caso di Yahya Ayyash, noto leader di Hamas, soprannominato "l'ingegnere", per le sue capacità nella costruzione di ordigni esplosivi venne utilizzato un telefono cellulare modificato con esplosivo occultato al suo interno. Nel 1995, alcuni agenti dei servizi segreti israeliani entrarono in contatto con un familiare di un importante membro di un'organizzazione armata palestinese, convincendolo a collaborare. In cambio, il parente chiese denaro e documenti per lui e sua moglie, ma le autorità israeliane lo misero di fronte a una scelta obbligata, minacciando di rivelare il suo tentativo di contatto con le forze nemiche.
Il collaboratore ricevette un telefono cellulare, convincendolo che fosse uno strumento per monitorare le comunicazioni del suo familiare. In realtà all'interno del dispositivo era nascosta una carica di 15 grammi di RDX. Poco tempo dopo, in una mattina di gennaio del 1996, durante una conversazione intercettata dagli agenti israeliani, il comando decise di attivare l'ordigno a distanza, chiamado il cellulare ed una volta ottenuta la diretta conferma dell'identità dell'interlocutore azionare il comando che fece esplodere all'alteza della testa il cellulare.
Quello che è certo e che in questo momento Hezbollah stia rivedendo l'intero sistema di comunicazione interno a seguito di questa operazione di Command and Control Disruption una strategia di guerra finalizzata a neutralizzare la capacità di un nemico di coordinare, dirigere e gestire le proprie forze militari.
Questo tipo di operazioni mirano a interrompere la comunicazione e il processo decisionale, lasciando le forze avversarie isolate, disorganizzate e incapaci di rispondere efficacemente agli attacchi. L'obiettivo principale della disarticolazione dei centri di comando e controllo è impedire la comunicazione tra i leader militari e le truppe sul campo, rendendo inefficace la capacità del nemico di coordinare manovre e risposte oltre che isolare le unità militari sul campo, impedendo il supporto reciproco e aumentando la confusione operativa.
Privare il nemico della capacità di prendere decisioni strategiche, interrompendo il flusso di informazioni chiave e la pianificazione tattica, può essere il preludio di un'operazione di terra Israeliana in territorio libanese.
* vice presidente Associazione Italiana Sicurezza Sussidiaria responsabile dipartimento CyberSecurity
Immagini: web