Chi, quest’oggi, ha visitato alcuni tra i principali siti di informazione a livello internazionale, ha visto comparire il messaggio “yoùve been hacked by the Syrian Electronic Army (SEA)“. Tra le testate italiane, fra le più importanti ad essere colpite c’è il nome di Repubblica.it.
Dopo l’apertura della finestra pop-up, il browser veniva automaticamente reindirizzato verso un sito web collegato al SEA.
A livello internazionale, ad essere presi di mira siti come The Independent, The Chicago Tribune, CNBC, PC World, Forbes, Telegraph e molti altri.
Come è potuto avvenire l’attacco?
Iniziamo subito col fare chiarezza: nessun sito web è stato direttamente attaccato e nessun dato degli utenti è stato sottratto. Più semplicemente, gli aggressore di SEA hanno trovato un minimo comune denominatore fra tutte le testate: l’utilizzo del sistema di commento offerto dalla società israeliana Gigya.
Neppure i server di Gigya sono stati direttamente attaccati. Piuttosto, SEA ha nuovamente utilizzato un cliché già ripetutamente impiegato in passato nel caso di analoghi attacchi (Gruppo siriano attacca Twitter e due testate occidentali). Gli aggressori sono riusciti a modificare i contatti WHOIS di Gigya intestandosi la proprietà degli stessi e alterando i server DNS di riferimento (DNS autoritativi). Così facendo, tutte le richieste dirette dal browser verso il dominio gigya.com hanno potuto essere dirottate verso i server di SEA.
Per SEA, quindi, è bastato sfruttare una lacuna nella gestione dei dati dei domini prendendo di mira GoDaddy, il provider (registrar) che gestisce i domini di Gigya. Tutti i siti web che richiamavano una qualunque risorsa dai domini di Gigya, sono risultati immediatamente interessati dall’attacco.
Quale migliore occasione del giorno del ringraziamento, che si festeggia oggi negli Stati Uniti, per sferrare l’aggressione?
Che cos’è Syrian Electronic Army (SEA)?
Il Syrian Electronic Army è un gruppo di giovani informatici considerato vicinissimo alle posizioni del presidente siriano Bashar al-Assad. L’obiettivo del SEA è quello di bersagliare testate giornalistiche occidentali ed organizzazioni umanitarie con il preciso scopo di attirare l’attenzione sulle vicende siriane. Inoltre, il SEA vuole farsi portavoce della continua protesta contro le iniziative repressive assunte dagli Stati Uniti, dalla Gran Bretagna e dagli altri stati occidentali nei confronti della Siria.
È andata ancor bene che gli aggressori del SEA si sono limitati a visualizzare messaggi intimidatori e slogan filogovernativi. Tentativi di sfruttare le più comuni vulnerabilità software (in primis del browser e dei plugin maggiormente diffusi) avrebbe permesso di mietere molte vittime a livello globale.