Passa ai contenuti principali

Infrastrutture sotto attacco, compromessi i sistemi audio e display di due aeroporti. “Free Palestine” dagli altoparlanti


Nella serata del 15 ottobre 2025, un episodio tanto inquietante quanto insolito ha attirato l’attenzione dei media internazionali: in almeno due aeroporti – l’Harrisburg International Airport, in Pennsylvania, e il Kelowna International Airport, in British Columbia (Canada) – l’impianto di diffusione sonora (PA, “public address system”) è stato violato da un attore non autorizzato che ha diffuso messaggi politici ad alta voce. In alcuni casi, anche i display destinati a fornire informazioni sui voli sono stati compromessi, propagando slogan a favore della causa palestinese e insulti contro figure politiche come Donald Trump e Benjamin Netanyahu.

Secondo la dichiarazione ufficiale dell’aeroporto di Harrisburg, un “utente non autorizzato” è riuscito a ottenere accesso al sistema PA e a riprodurre un messaggio preregistrato a carattere politico prima che l’impianto fosse spento per le indagini. Il messaggio – durato circa dieci minuti – includeva frasi come “Free Palestine” e insulti contro Trump e Netanyahu, accompagnati da una firma sonora quasi da “tag” hacker: «Turkish Cyber Islam was here». All’aeroporto di Kelowna, le autorità hanno riferito che sia i sistemi audio che i display informativi sono stati infiltrati e che alcune schermate hanno mostrato slogan pro-Palestina. Nonostante i disagi e la confusione generati fra i passeggeri, non sembrano esserci state minacce esplicite né danni materiali gravi: nessun volo è stato annullato per ragioni tecniche legate all’attacco, anche se un aereo in fase d’imbarco a Harrisburg è stato sottoposto a ispezione preventiva.

Al momento non è chiaro chi si trovi dietro l’operazione: il nome “Turkish Cyber Islam” è stato evocato, ma non vi è conferma indipendente che rappresenti un gruppo strutturato o riconosciuto. L’incidente, tuttavia, cade in un contesto in cui gli attacchi cyber su infrastrutture critiche – trasporti, reti elettriche, telecomunicazioni – sono cresciuti in frequenza e audacia negli ultimi anni.

Tecnicamente, che cosa può aver permesso un simile attacco? I sistemi PA degli aeroporti (e di simili spazi pubblici) spesso sono integrati in reti informatiche centralizzate che gestiscono amplificatori, microfoni, router audio, software di gestione dei messaggi vocali, e interfacce di controllo da console remote. Se anche uno solo di questi elementi – ad esempio un server di streaming audio, una console di controllo interna, una porta di rete non protetta, un accesso remoto lasciato aperto – è vulnerabile, l’attaccante potrebbe inserirsi nel flusso audio, sostituire o iniettare messaggi preregistrati, e attivarli su larga scala. Un altro punto debole può essere costituito dai display informativi: quelli dedicati a indicazioni dei gate, orari dei voli e annunci pubblicitari sono spesso collegati a sistemi di gestione centralizzati che, in assenza di adeguate difese (autenticazione forte, segmentazione di rete, monitoraggio degli accessi), possono essere compromessi. L’attaccante potrebbe aver agito sfruttando credenziali deboli, vulnerabilità note nei software di gestione, o attraverso il movimento laterale da un punto iniziale compromesso della rete aeroportuale.

Questo tipo di violazione rientra nel fenomeno ben noto del “broadcast signal intrusion” (intrusione nei segnali di trasmissione), già documentato in passato nei casi – ad esempio – di stazioni radio violate per diffondere messaggi propagandistici o scherzi politici. Quando avviene in infrastrutture pubbliche come aeroporti, l’impatto psicologico è più forte: passeggeri e operatori si trovano immersi in un evento che rompe la normale fiducia sulla sicurezza dei sistemi.
Tag:

Commenti

Posta un commento

Popolari

ClayRat, lo spyware Android che trasforma il telefono della vittima in hub di diffusione

Negli ultimi mesi è emerso uno spyware Android con capacità di propagazione aggressiva chiamato ClayRat, segnalato inizialmente come una minaccia rivolta a utenti russi ma che ora mostra segni di evoluzione e diffusione più ampia. Il nome “ClayRat” deriva dalla console C2 (command-and-control) utilizzata dagli attaccanti per gestire i dispositivi compromessi. La campagna di attacco sfrutta un insieme di tecniche di social engineering e ingegneria web per ingannare gli utenti: vengono creati siti phishing che imitano app popolari come WhatsApp, TikTok, Google Photos o YouTube, con interfacce quasi indistinguibili, testimonianze false, conteggi di download gonfiati e persino fasi di istruzione guidata per persuadere la vittima a scaricare un file APK esterno. In molti casi il flusso parte da canali Telegram gestiti dagli attaccanti, che fungono da repository “ufficiale” per distribuire i droppers. Molti esemplari di ClayRat agiscono da dropper: l’app visibile non è affatto l’agent spia, ...
Posta un commento
Continua a leggere »

Violazione su Discord, rubati dati e documenti d’identità dal sistema di supporto clienti. Compromesso un partner esterno

Discord ha confermato di aver subito una violazione dei dati, ma a differenza di quanto molti temevano, l’attacco non ha colpito direttamente i suoi server o infrastrutture principali. L’origine dell’incidente è stata individuata in un fornitore esterno di supporto clienti, probabilmente il sistema di ticketing gestito da Zendesk, che avrebbe rappresentato il punto d’ingresso per gli attaccanti. Attraverso la compromissione di questo servizio, i criminali informatici sono riusciti ad accedere a informazioni relative agli utenti che avevano contattato l’assistenza Discord. I dati esposti comprendono nomi, username, indirizzi email, indirizzi IP, conversazioni con il supporto e alcune informazioni di pagamento, come il tipo di carta e le ultime quattro cifre. Discord ha anche confermato che una parte delle immagini di documenti d’identità utilizzate per la verifica dell’età, come passaporti o patenti, è stata inclusa nella violazione. Secondo l’azienda, circa 70.000 utenti potrebbero ave...
Posta un commento
Continua a leggere »

Stealit sfrutta la nuova feature “Single Executable Application” di Node.js per veicolare malware

Negli ultimi giorni è emersa una nuova campagna malware che adotta un approccio sofisticato per distribuire un stealer denominato Stealit, sfruttando la modalità Single Executable Application (SEA) di Node.js per eludere rilevamenti e semplificare la diffusione. Secondo il report di Fortinet FortiGuard Labs, l’attacco in corso introduce una variazione rispetto alle versioni precedenti, che impiegavano Electron o altri bundle Node.js più tradizionali. La campagna Stealit si diffonde principalmente tramite file installer fasulli mascherati da giochi o applicazioni VPN, resi disponibili su piattaforme di file sharing come Mediafire o Discord. Il metodo utilizzato consiste nel confezionare script Node.js e risorse correlate all’interno di un unico eseguibile, in modo che l’esecuzione non richieda un runtime Node.js già presente sul sistema bersaglio. Questo approccio permette all’attaccante di ridurre le dipendenze visibili e aggirare controlli che si focalizzano su scenari “classici” di ...
Posta un commento
Continua a leggere »