La rappresaglia cibernetica iraniana dopo il raid Usa

I timori di una rappresaglia cibernetica dopo l'uccisione del generale Soleimani da parte di un drone americano cominciano a concretizzarsi. Sono almeno 150 i siti americani finora defacciati dai sostenitori del regime degli Ayatollah. Così da stamattina il conflitto tra Usa e Iran suscita un timore in più, quello di un'escalation militare nel cyberspace.

Per alcuni l'allarme sarebbe concreto proprio a causa del modus operandi degli hacker di stato islamici che avrebbero già infiltrato le infrastrutture critiche dell'avversario e di potenziali altri bersagli alleati degli Stati Uniti. Questi hacker, noti come Minacce avanzate persistenti (APT, Advanced Persistent Group), proprio per la tecnica che usano di infiltrare i sistemi e stare quieti fino al momento giusto per un attacco, sono quelli che preoccupano di più gli analisti.

Gli iraniani però non sono gli unici a usarli. I componenti di questi gruppi di hacker esperti provengono spesso dal mondo dell'intelligence e sono usati dagli stati per spiarsi a vicenda, influenzare le dinamiche politiche e destabilizzare l'economia degli avversari usando sofisticate strategie.

Ma chi a dovrebbe affidare la rappresaglia cibernetica il Paese che ha giurato vendetta al nemico americano per l'uccisione del generale Soleimani? L'unica risposta su cui gli analisti concordano è che potrebbero entrare in azione i gruppi ‘di lingua farsi' noti come APT 33, 34 e 35, tra cui il più pericoloso sarebbe il gruppo paramilitare cibernetico APT 34, conosciuto anche con i nomi di OilRig o Helix Kitten. Ma è noto che il gruppo è impegnato nello spionaggio piuttosto che nel sabotaggio. E, dopo la rivelazione via Telegram quest'anno di una decina dei suoi componenti, sarebbe più debole di prima.

E tuttavia negli ultimi anni usando una serie di tool informatici non sempre sosfisticati avrebbe raccolto una notevole quantità di dati infiltrandosi in dogane, università e aeroporti di alcuni stati del medio ed estremo oriente come il Libano, l'Arabia Saudita, il Bahrain. Obiettivi in linea con la politica iraniana di diventare il maggiore attore geopolitico dell'area.

Adesso però potrebbero puntare i loro cybermissili verso l'Occidente. Secondo l'Associated Press: “Gli hacker di stato iraniani sono tra i più aggressivi al mondo per la capacità di iniettare malware capace di colpire sia il settore pubblico che quello privato” Per cui funzionari Usa di cybersecurity raccomandano di essere “extra vigilant.”

In effetti nel 2012 e 2013, in risposta alle sanzioni, i nation state hacker iraniani hanno condotto una serie di attacchi DDoS contro la Bank of America e il NASDAQ e almeno uno di loro è stato processato per essersi introdotto nei sistemi di gestione della diga di New York e poi dentro i server del Sands Casino in Las Vegas, di proprietà di Sheldon Adelson, che si era dichiarato a favore di un attacco nucleare contro il paese islamico, provocando danni per 40 milioni di dollari.

Un altro gruppo iraniano, autoproclamatosi “Cutting Sword of Justice” è noto per avere portato a termine con successo l'attacco nel 2012 contro la compagnia arabo saudita Aramco, bloccandone 30 mila computer e le sue stazioni di benzina usando il virus Shamoon. Un virus tornato a colpire sia nel 2016 che nel 2018.

Adesso John Hultquist, di FireEye, azienda di cybersecurity, ritiene che gli attacchi, in parte cessati dopo l'accordo con Obama sul nucleare, potrebbero ricominciare, facendo danni enormi soprattutto ai sistemi critici dei piccoli comuni: ospedali, banche, energia e trasporti. Attacchi capaci di cominciare con la compromissione di un account e diffondersi sull'intero network informatico.

In effetti la storia finora nota degli hacker iraniani include attacchi di bassa intensità con una serie di defacement e questo fatto sarebbe in linea con quanto accaduto nelle ultime 24 ore. Nel 2005, un gruppo iraniano aveva rimpiazzato l'home page della stazione militare navale di Guantanamo con una che difendeva i Musulmani e condannava i terroristi.

Da allora, fino al periodo di calma degli accordi sul nucleare, si erano dedicati a sostituzioni di persona sui social ma solo APT34, noto dal 2014, sembra essere stato in grado di usare un potente mix di strumenti informatici noti e meno noti, per realizzare campagne di spear phishing (furto mirato di dati), usando account compromessi insieme a tattiche avanzate di social engineering (insieme di tecniche per sfruttare la fiducia degli interlocutori online).

È lecito aspettarsi quindi degli attacchi più sosfisticati: le operazioni cibernetiche possono essere molto efficaci a fronte di costi contenuti rispetto alle guerre convenzionali, l'attribuzione degli attacchi è sempre assai difficile e non esistono leggi internazionali che stabiliscano come intervenire in risposta a un cyberattacco da parte di uno stato sovrano.

Tuttavia la decisione dei paesi Nato di considerare il cyberspace come il quinto dominio sottoposto alla sua protezione militare, dopo la terra, il mare, l'aria e le stelle, è il contesto in cui la guerra cibernetica dichiarata potrebbe diventare una realtà in caso di escalation del conflitto.