Il sito di NPR (National Public Radio) ha pubblicato un lungo racconto di come lo US Cyber Command e la NSA (ricordo che il primo è “nato da una costola” dell’NSA, e che le due organizzazioni ancora condividono la stessa sede e lo stesso Comandante) hanno condotto la più grande operazione cibernetica contro l’ISIS.
L’anno è il 2016 ma solo ora abbiamo il racconto di quella giornata. Quattro squadre, tutte in uniforme, con tecnici pronti a violare servizi online dell’ISIS e dei suoi affiliati. Nella stanza erano presenti analisti e linguisti a supporto dei cyber-soldati della Joint Task Force ARES, assieme a esperti di antiterrorismo e specialisti di informatica forense. Per mesi avevano mappato i network del nemico, e ora ognuno di loro aveva il suo target e aspettava l’ordine di attacco.
L’Operazione Glowing Symphony è nata quando alla NSA si sono accorti che l’ISIS usava sempre gli stessi 10 server per compiere la maggior parte delle operazioni. Un errore da attribuire alla pigrizia degli amministratori di sistema, che non compartimentavano sufficientemente le loro attività online.
Grazie a diverse azioni preliminari – fra cui messaggi di phishing incautamente aperti dall’ISIS e che hanno consentito ai militari USA di accedere ad alcune risorse del nemico – la NSA e il Cyber Command avevano finalmente la possibilità di dare una poderosa “spallata” alle operazioni mediatiche dei terroristi. Il loro obiettivo era “deny, degrade and disrupt“, ovvero impedire, degradare e interferire con la propaganda dell’ISIS sulla rete.
Uno dei problemi che hanno dovuto affrontare gli USA era capire come comportarsi quando le infrastrutture informatiche del nemico erano ospitate a fianco di siti e risorse “innocenti”, come ad esempio un server condiviso in un paese alleato (magari un servizio acquisito con carte di credito rubate). La precisione in quei casi doveva essere chirurgica, assicurandosi di colpire unicamente i servizi dell’ISIS senza degradare quelli di altri soggetti civili, una eventualità che avrebbe potuto portare nazioni alleate a sentirsi vittima di “fuoco amico”.
L’operazione in tutto è durata cinque o sei ore, ma dopo il primo strike – che ha di fatto impedito all’ISIS di usare i suoi canali e le sue risorse online, con file persi e account bloccati – è arrivata la seconda fase dell’operazione. Con il controllo dell’infrastruttura cyber del nemico, nei giorni seguenti la task force ARES ha iniziato a creare ai combattenti ISIS problemi intermittenti, come la cancellazione di risorse, la modifica dei video, il blocco temporaneo di alcuni domini o indirizzi e-mail, il tutto facendoli sembrare temporanei, senza insospettire troppo gli avversari.
Il risultato fu che la propaganda ISIS dopo quell’attacco non riuscì più a riprendersi. La loro popolare rivista online Dabiq saltò alcune uscite, per poi chiudere definitivamente. I siti web in lingua straniera non tornarono più online. L’app mobile di Amaq Agency, il loro notiziario ufficiale, sparì dalla circolazione.
Inoltre tre anni dopo l’Operazione Glowing Symphony, nonostante l’ISIS sia riuscita a rimettere online alcune risorse, la task force ARES è ancora silenziosamente presente all’interno dei suoi network informatici.
Il racconto completo è disponobile qui: How The U.S. Hacked ISIS