Attacco Informatico colpisce quattro aeroporti USA e tre Canadesi: trasmessi messaggi Pro-Hamas

Il Cyberattacco del 15 Ottobre 2025

Martedì 15 ottobre 2025, un’operazione informatica coordinata ha colpito simultaneamente quattro aeroporti in Nord America, causando preoccupazione tra viaggiatori e autorità di sicurezza. L’incidente ha interessato l’Aeroporto Internazionale di Harrisburg in Pennsylvania negli Stati Uniti, e tre scali canadesi: l’Aeroporto Internazionale di Kelowna e quello di Victoria nella Columbia Britannica, oltre all’Aeroporto Internazionale di Windsor in Ontario.

Dinamica dell’attacco e rivendicazione

Un gruppo che si identifica come “Turkish Cyber Islam” o “SiberIslam” ha rivendicato la responsabilità dell’operazione, denominandola “gli esecutori di Abu Obaida” – un riferimento al portavoce militare di Hamas. Gli aggressori hanno affermato che questo rappresentava solo l’inizio di una serie pianificata di attacchi informatici contro infrastrutture occidentali.

L’intrusione ha permesso agli hacker di prendere il controllo temporaneo dei sistemi di comunicazione aeroportuali, inclusi gli schermi informativi dei voli e i sistemi di annunci pubblici. La violazione è durata circa dieci minuti negli Stati Uniti e periodi simili negli aeroporti canadesi, prima che il personale tecnico riuscisse a riprendere il controllo dei sistemi compromessi.

I messaggi trasmessi

Durante l’attacco, i sistemi compromessi hanno trasmesso contenuti di propaganda politica. Gli annunci audio ripetevano slogan come “Palestina libera” accompagnati da insulti volgari diretti al presidente statunitense Donald Trump e al primo ministro israeliano Benjamin Netanyahu. Sugli schermi informativi sono apparsi messaggi che proclamavano la vittoria di Hamas nel conflitto con Israele, definendo il cessate il fuoco recentemente negoziato come una sconfitta per lo stato ebraico.

In particolare, presso l’aeroporto di Kelowna, gli schermi mostravano testi in arabo accompagnati da affermazioni provocatorie sulla guerra, mentre il sistema audio trasmetteva canti e slogan politici. I messaggi non contenevano minacce dirette contro passeggeri, personale aeroportuale o compagnie aeree, limitandosi alla propaganda politica.

Risposta delle autorità e misure di sicurezza

Le autorità aeroportuali hanno reagito prontamente all’incidente. A Harrisburg, per precauzione, un aereo Delta in fase di imbarco è stato sottoposto a ispezione completa prima della partenza. Non sono stati trovati dispositivi sospetti e il volo è decollato in sicurezza con un ritardo limitato.

Il Segretario ai Trasporti statunitense Sean Duffy ha definito l’incidente “assolutamente inaccettabile”, sottolineando come abbia comprensibilmente spaventato i viaggiatori. La Federal Aviation Administration (FAA) ha immediatamente avviato un’indagine in collaborazione con le autorità aeroportuali locali per determinare come gli hacker siano riusciti ad accedere ai sistemi.

In Canada, la Transportation Air Authority ha attivato protocolli di emergenza informatica, mentre la Royal Canadian Mounted Police ha aperto un’inchiesta formale. Il CEO dell’aeroporto di Kelowna, Sam Samaddar, ha confermato l’attivazione immediata del piano di risposta alla sicurezza informatica dell’aeroporto, che ha permesso di disconnettere rapidamente i messaggi non autorizzati.

Impatto operativo e conseguenze

Nonostante la natura allarmante dell’incidente, l’impatto operativo è rimasto relativamente contenuto. All’aeroporto di Kelowna sono stati registrati ritardi su due voli, uno in arrivo e uno in partenza. Windsor ha subito interruzioni minime poiché il terminal era quasi vuoto al momento dell’attacco, senza voli programmati nell’immediato.

Victoria International ha confermato che il problema è stato causato da una vulnerabilità in un software basato su cloud di terze parti, evidenziando come la catena di approvvigionamento tecnologico rappresenti un punto debole nella sicurezza delle infrastrutture critiche.

L’attacco è avvenuto in un momento particolarmente delicato, appena un giorno dopo il completamento dello scambio degli ultimi ostaggi viventi tra Hamas e Israele, parte di un accordo di cessate il fuoco mediato dall’amministrazione Trump. Il timing suggerisce una motivazione politica deliberata, mirata a mantenere alta l’attenzione mediatica sul conflitto israelo-palestinese.

Organizzazioni ebraiche in Nord America hanno espresso profonda preoccupazione per l’incidente. B’nai Brith Canada ha definito l’attacco “profondamente inquietante” e ha richiesto un’indagine approfondita su come attori stranieri siano riusciti a prendere il controllo di infrastrutture aeroportuali canadesi per trasmettere messaggi che glorificano un’entità terroristica riconosciuta.

L’Enigma dell’attribuzione: Analisi critica delle rivendicazioni

Prima di procedere con l’analisi delle vulnerabilità tecniche, è fondamentale affrontare una questione che sta al cuore stesso della sicurezza informatica moderna: chi ha realmente condotto questo attacco? La risposta a questa domanda apparentemente semplice ci porta in un territorio complesso dove la realtà potrebbe essere molto diversa dalle apparenze.

La natura ingannevole del cyberspazio

Per comprendere appieno la complessità dell’attribuzione nel mondo cyber, dobbiamo prima capire come il cyberspazio differisca fondamentalmente dal mondo fisico. Immaginiamo per un momento di essere detective che indagano su un crimine tradizionale: possiamo raccogliere impronte digitali, analizzare traiettorie balistiche, esaminare telecamere di sorveglianza. Nel cyberspazio, invece, ci troviamo in un ambiente dove l’identità stessa è fluida e manipolabile.

Gli attaccanti informatici operano attraverso quello che potremmo chiamare un “labirinto di specchi digitali”. Ogni connessione può essere instradata attraverso server in decine di paesi diversi, ogni traccia digitale può essere deliberatamente falsificata, e persino gli strumenti utilizzati possono essere progettati per imitare le “firme” di altri gruppi. È come se un criminale potesse non solo indossare una maschera perfetta, ma anche teletrasportarsi istantaneamente in diversi continenti, parlare perfettamente qualsiasi lingua e lasciare impronte digitali di qualcun altro sulla scena del crimine.

L’Auto-attribuzione del gruppo “turkish cyber islam”: Elementi di analisi

L’unica fonte per l’attribuzione di questo attacco al gruppo “Turkish Cyber Islam” o “SiberIslam” proviene dai messaggi stessi trasmessi durante l’operazione. Non esistono, al momento della stesura di questo articolo, conferme forensi indipendenti da parte delle autorità investigative. Questa auto-attribuzione solleva immediatamente diverse domande che meritano un’analisi approfondita.

Consideriamo innanzitutto il nome stesso del gruppo. “Turkish Cyber Islam” è una denominazione che combina elementi nazionali e religiosi in modo quasi didascalico, come se qualcuno volesse assicurarsi che l’identità del gruppo fosse immediatamente chiara e inequivocabile. Nella realtà delle operazioni cyber sofisticate, i gruppi tendono ad utilizzare nomi più criptici o tecnici. Questa scelta nomenclaturale potrebbe riflettere sia un gruppo genuino che vuole fare una dichiarazione politica chiara, sia un tentativo di indirizzare l’attenzione verso una specifica comunità.

Il concetto di “False Flag” nelle operazioni Cyber

Il termine “false flag” deriva originariamente dalla guerra navale, quando le navi issavano bandiere di altre nazioni per avvicinarsi ai nemici senza destare sospetti. Nel contesto cyber moderno, una operazione false flag implica condurre un attacco facendolo apparire come opera di un altro attore, solitamente per raggiungere obiettivi strategici che vanno oltre il danno immediato causato dall’attacco stesso.

Le operazioni false flag nel cyberspazio sono particolarmente efficaci per diverse ragioni. Prima di tutto, la natura tecnica degli attacchi informatici rende l’attribuzione definitiva estremamente difficile anche per gli esperti più qualificati. In secondo luogo, il tempo necessario per un’analisi forense completa significa che la narrativa iniziale, anche se falsa, può già aver raggiunto i suoi obiettivi di influenza sull’opinione pubblica o sulle decisioni politiche. Infine, anche quando emergono prove contrarie, il danno reputazionale o le tensioni create possono persistere.

Analisi del Timing: Coincidenza o calcolo strategico?

Il tempismo di questo attacco merita un’attenzione particolare. L’operazione è avvenuta il 15 ottobre 2025, esattamente un giorno dopo il completamento dello scambio finale di ostaggi tra Hamas e Israele nell’ambito dell’accordo di cessate il fuoco mediato dall’amministrazione Trump. Questo timing solleva interrogativi fondamentali sulle motivazioni dietro l’attacco.

Se consideriamo l’ipotesi di un genuino gruppo pro-Hamas, il timing potrebbe riflettere frustrazione per quello che alcuni potrebbero percepire come una capitolazione o un accordo sfavorevole. D’altra parte, se consideriamo l’ipotesi di una false flag, il timing potrebbe essere stato scelto per massimizzare l’impatto mediatico e potenzialmente influenzare la percezione pubblica dell’accordo di pace, creando l’impressione che i sostenitori di Hamas fossero insoddisfatti o che l’accordo non avesse risolto le tensioni sottostanti.

Profilo tecnico dell’attacco: sofisticazione apparente versus reale

Un aspetto particolarmente intrigante di questo incidente è il contrasto tra l’impatto mediatico conseguito e la relativa semplicità tecnica dell’attacco. Gli esperti di sicurezza hanno descritto l’operazione come “non sofisticata” dal punto di vista tecnico, eppure è riuscita a penetrare sistemi di quattro aeroporti internazionali simultaneamente.

Questa apparente contraddizione può essere interpretata in diversi modi. Un gruppo con capacità limitate potrebbe aver avuto fortuna sfruttando vulnerabilità note ma non corrette. Alternativamente, un attore statale sofisticato potrebbe aver deliberatamente “giocato al ribasso”, utilizzando tecniche semplici per nascondere le proprie vere capacità e rendere più credibile l’attribuzione a un gruppo meno sofisticato. È come se un pianista virtuoso suonasse deliberatamente una melodia semplice per far credere di essere un principiante.

Il contesto delle capacità cyber Israeliane

Per valutare seriamente l’ipotesi di una false flag israeliana, dobbiamo considerare le capacità e la storia operativa di Israele nel cyberspazio. Israele è universalmente riconosciuto come una delle principali potenze cyber mondiali, con unità come l’8200 del servizio di intelligence militare che hanno dimostrato capacità estremamente sofisticate in numerose operazioni.

La dottrina di sicurezza israeliana ha storicamente incluso l’uso di operazioni di inganno e disinformazione come strumenti legittimi di guerra. Nel contesto cyber, Israele ha dimostrato la capacità di condurre operazioni estremamente complesse come Stuxnet, che ha richiesto anni di pianificazione e una comprensione profonda dei sistemi target. Se Israele volesse condurre una false flag relativamente semplice come questa, certamente avrebbe le capacità tecniche per farlo in modo convincente.

Inoltre, dal punto di vista strategico, Israele potrebbe avere diversi motivi per condurre una tale operazione. Potrebbe servire a ricordare al pubblico occidentale la minaccia continua del terrorismo, rafforzare il sostegno per le misure di sicurezza, o influenzare l’opinione pubblica riguardo al conflitto israelo-palestinese in un momento critico dei negoziati.

L’Altra faccia della medaglia: Gruppi pro-palestinesi autentici

Naturalmente, non possiamo escludere la possibilità che l’attacco sia stato effettivamente condotto da un gruppo turco pro-palestinese. La Turchia ha una comunità hacker attiva e alcuni segmenti della popolazione turca mantengono forti sentimenti di solidarietà con la causa palestinese. Il governo turco stesso ha spesso criticato le politiche israeliane e ha sostenuto i diritti palestinesi nei forum internazionali.

Esistono precedenti documentati di gruppi hacker turchi che hanno condotto operazioni contro obiettivi israeliani o occidentali in risposta a eventi nel conflitto israelo-palestinese. La relativa semplicità tecnica dell’attacco potrebbe effettivamente riflettere le capacità reali di un gruppo non statale con risorse limitate ma forte motivazione ideologica.

Indicatori forensi e limiti dell’analisi pubblica

Al momento della stesura di questo articolo, né le autorità americane né quelle canadesi hanno rilasciato analisi forensi dettagliate dell’attacco. Questo silenzio potrebbe avere diverse spiegazioni: le indagini potrebbero essere ancora in corso, potrebbero esserci considerazioni di sicurezza nazionale che impediscono la divulgazione, o le prove potrebbero essere ambigue e non conclusive.

In assenza di dati forensi pubblici, possiamo solo speculare basandoci su indicatori indiretti. Questi potrebbero includere l’analisi del malware utilizzato, i pattern di attacco, l’infrastruttura command-and-control, e le tecniche di movimento laterale all’interno delle reti. Tuttavia, anche questi indicatori possono essere deliberatamente falsificati da un attaccante sofisticato.

Le Implicazioni Strategiche dell’Incertezza

L’impossibilità di determinare con certezza l’origine dell’attacco ha implicazioni strategiche profonde. Questa incertezza stessa diventa un’arma nel cyberspazio, creando quello che gli strateghi chiamano “ambiguità strategica”. Gli stati possono condurre operazioni mantenendo una negabilità plausibile, mentre i gruppi non statali possono amplificare il loro impatto apparendo più minacciosi di quanto siano realmente.

Questa ambiguità complica enormemente la risposta delle autorità. Come possono rispondere adeguatamente se non sanno con certezza chi ha condotto l’attacco? Come possono prevenire futuri attacchi se non comprendono le vere motivazioni e capacità degli attaccanti? Queste domande non sono meramente accademiche ma hanno conseguenze pratiche per la sicurezza delle infrastrutture critiche.

La vulnerabilità delle infrastrutture aeroportuali

Questo incidente si inserisce in un contesto più ampio di crescente vulnerabilità del settore aeronautico agli attacchi informatici. Nel primo trimestre del 2025, l’attività ransomware globale è aumentata del 126% rispetto all’anno precedente, stabilendo nuovi record di frequenza e sofisticazione degli attacchi.

Solo un mese prima, nel settembre 2025, un grave attacco ransomware aveva colpito Collins Aerospace, un importante fornitore di sistemi di check-in e imbarco per aeroporti europei, causando interruzioni significative in scali come Heathrow, Berlino e Bruxelles. Quell’incidente aveva costretto il personale aeroportuale a tornare alle procedure manuali, con carte d’imbarco scritte a mano e registrazioni dei bagagli su carta, causando centinaia di voli cancellati o ritardati.

Gli esperti di sicurezza informatica hanno evidenziato come l’attacco di ottobre abbia sfruttato vulnerabilità note nei sistemi di gestione delle comunicazioni aeroportuali. John Sancentio, presidente di Information Network Associates, ha descritto l’attacco come “relativamente non sofisticato” dal punto di vista tecnico, suggerendo che le difese informatiche di base avrebbero potuto prevenirlo.

La facilità con cui gli aggressori hanno ottenuto l’accesso solleva interrogativi sulla preparazione del settore aeronautico contro minacce informatiche. Gli aeroporti, classificati come infrastrutture critiche, dovrebbero teoricamente disporre di protezioni robuste contro intrusioni di questo tipo. Tuttavia, la dipendenza da software di terze parti e sistemi basati su cloud introduce vulnerabilità che possono essere sfruttate da attori malintenzionati.

L’incidente sottolinea l’urgente necessità di rafforzare la resilienza informatica nel settore aeronautico. Gli esperti raccomandano diverse misure chiave:

Prima di tutto, l’implementazione rigorosa di patch e aggiornamenti software per eliminare vulnerabilità note. Molti attacchi sfruttano falle di sicurezza per cui esistono già correzioni disponibili ma non ancora applicate.

In secondo luogo, il monitoraggio costante e proattivo delle reti per identificare attività anomale prima che possano causare danni significativi. Sistemi di rilevamento delle intrusioni avanzati possono identificare tentativi di accesso non autorizzato in tempo reale.

Terzo, lo sviluppo di sistemi di backup e procedure di emergenza che permettano la continuità operativa anche quando i sistemi primari sono compromessi. La capacità di passare rapidamente a sistemi alternativi può minimizzare l’impatto di attacchi futuri.

L’incidente ha anche evidenziato l’importanza della cooperazione internazionale nella sicurezza informatica. Con attacchi che attraversano facilmente i confini nazionali, la risposta non può essere limitata a singoli paesi o aeroporti.

Le autorità statunitensi e canadesi hanno già avviato discussioni per migliorare la condivisione di intelligence sulle minacce informatiche e coordinare meglio le risposte a incidenti futuri. L’Unione Europea, attraverso l’agenzia ENISA, sta monitorando la situazione e valutando se misure simili potrebbero prevenire attacchi analoghi in Europa.

Per i viaggiatori, l’incidente serve come promemoria della crescente interconnessione tra sicurezza fisica e informatica nel trasporto aereo moderno. Mentre le misure di sicurezza fisica negli aeroporti sono state drasticamente rafforzate dopo l’11 settembre 2001, la sicurezza informatica sta emergendo come una nuova frontiera critica.

Le autorità raccomandano ai passeggeri di rimanere vigili e di segnalare qualsiasi attività sospetta, non solo fisica ma anche digitale. La presenza di messaggi anomali su schermi o sistemi audio dovrebbe essere immediatamente segnalata al personale aeroportuale.

L’attacco del 15 ottobre 2025 rappresenta un campanello d’allarme per l’industria aeronautica globale. Mentre il danno operativo è stato limitato e nessuna vita è stata messa in pericolo, l’impatto psicologico e le implicazioni per la sicurezza sono significative.

Il gruppo Turkish Cyber Islam ha dimostrato che anche con capacità tecniche relativamente modeste, è possibile penetrare sistemi di infrastrutture critiche e utilizzarli per diffondere propaganda. La loro affermazione che questo rappresenta “solo l’inizio” suggerisce che ulteriori tentativi potrebbero seguire.

La risposta del settore dovrà essere completa e coordinata, combinando miglioramenti tecnologici, formazione del personale, cooperazione internazionale e investimenti sostanziali in sicurezza informatica. Solo attraverso un approccio olistico sarà possibile proteggere efficacemente le infrastrutture aeronautiche dalle crescenti minacce del cyberspazio.

Man mano che il mondo diventa sempre più digitalizzato, la sicurezza informatica non può più essere considerata un aspetto secondario delle operazioni aeroportuali, ma deve essere integrata come componente fondamentale della sicurezza complessiva del trasporto aereo. L’incidente di ottobre 2025 potrebbe quindi rappresentare un punto di svolta nella percezione e gestione delle minacce informatiche nel settore aeronautico.

L’articolo Attacco Informatico colpisce quattro aeroporti USA e tre Canadesi: trasmessi messaggi Pro-Hamas proviene da Difesa Online.

Il Cyberattacco del 15 Ottobre 2025 Martedì 15 ottobre 2025, un’operazione informatica coordinata ha colpito simultaneamente quattro aeroporti in Nord America, causando preoccupazione tra viaggiatori e autorità di sicurezza. L’incidente ha interessato l’Aeroporto Internazionale di Harrisburg in Pennsylvania negli Stati…

L’articolo Attacco Informatico colpisce quattro aeroporti USA e tre Canadesi: trasmessi messaggi Pro-Hamas proviene da Difesa Online.