Dopo l’omicidio del generale Qasem Soleimani, comandante dell’esercito della guardia rivoluzionaria iraniana, non sono ancora ben chiare quali saranno le reazioni del governo di Teheran all’azione militare americana: esistono, tuttavia, numerosi scenari che prevedono oltre alla messa in campo di armi tradizionali anche l’utilizzo di strumenti cibernetici in una vera e propria cyberwarfare. In effetti, una serie di attacchi di defacement contro centinaia di siti web americani è già avvenuta negli ultimi giorni.
Tale tecnica, che consente di cambiare la home page di un sito web, è stata sfruttata per veicolare l’immagini grottesca del presidente Trump sanguinante e preso a pugni dalla “mano iraniana” inneggiando alla vendetta. Il portale della U.S. Federal Depository Library Program e della Commercial Bank of Sierra Leone sono le vittime più illustri.
Indice degli argomenti
Cyberwarfare USA-Iran: i retroscena
Durante una prima fase della cyberwarfare, tali operazioni erano state attribuite ai cosiddetti script kiddies o a simpatizzanti del regime. Tale analisi non è stata del tutto condivisa dagli esperti del settore, in quanto il defacement potrebbe indicare anche una compromissione dell’infrastruttura più in profondità.
A tal proposito va ricordato che negli ultimi anni l’Iran ha intrapreso un piano di sviluppo avanzato per colmare il gap con gli altri stati nell’ambito cyber security. Lo stato islamico, infatti, ha deciso di investire nel settore in maniera significativa, quando esso stesso è stato vittima di un attacco avanzato sotto forma del worm Stuxnet.
Il malware (sviluppato in collaborazione tra Stati Uniti e Israele) sfruttava una vulnerabilità di tipo 0-day del sistema operativo Windows per propagarsi all’interno della rete e compromettere i sistemi informatici delle centrali nucleari iraniane. Il blocco dei sistemi informatici ha provocato, in alcuni casi, ingenti danni ai reattori e alle centrifughe per l’arricchimento dell’uranio.
Symantec ha stimato che nel 2010 il 60% dei PC infetti con Stuxnet di tutto il mondo erano situati in Iran. Questo avvenimento descrive il primo attacco ai danni di uno stato perpetrato attraverso un’arma cibernetica, in quanto un attacco condotto prevalentemente in ambito informatico ha generato ripercussioni sul mondo reale. Si stima, inoltre, che Stuxnet abbia ritardato il piano nucleare iraniano di circa due anni.
I threat actor della cyberwarfare iraniana
Ad oggi le principali attività informatiche sponsorizzate dallo stato iraniano vengono portate avanti da gruppi APT (Advanced Persistent Threat). Ovvero gruppi di attaccanti avanzati in grado di ottenere l’accesso non autorizzato ad infrastrutture informatiche, mantenendo la loro presenza all’interno della rete per molto tempo prima di essere individuati.
I threat actor principali della cyberwarfare nello scenario mondiale fanno riferimento ai seguenti gruppi: APT33, APT34, APT35, APT39, CopyKittens e MuddyWater. Di seguito si riportano alcune delle caratteristiche peculiari di tali gruppi.
APT33
Conosciuto anche con i nomi di Elfin Team, Refined Kitten, Magnallium e Holmium, ha operato per la prima volta nel 2013. Ad essi sono attribuiti numerosi attacchi contro obiettivi negli Stati Uniti, In Corea del Sud e in Arabia Saudita con lo scopo di sabotare organizzazioni nel settore aereospaziale, petrolchimico e della difesa.
APT34
Conosciuto anche con il nome di OilRig e HelixKitten, è uno dei più famosi gruppi APT supportato dal governo iraniano. Attivo dal 2014, ha effettuato una serie di attacchi contro le infrastrutture critiche di numerosi paesi, tra cui Emirati Arabi, Giordania e Bahrein.
I suoi obiettivi hanno incluso aeroporti, agenzie di sicurezza, aziende del settore energetico e istituzioni governative. Il gruppo utilizza diversi strumenti per ottenere l’accesso non autorizzato alle reti. Tra cui tecniche di phishing, utilizzo di malware, keylogger e strumenti di dumping delle credenziali.
APT35
Conosciuto anche con il nome di Phosphurus, Ajax Security, NewsBeef e Charming Kitten, è uno dei gruppi APT iraniani più pericolosi, nonostante utilizzi tecniche considerate poco sofisticate.
APT35 ha fatto la sua prima apparizione nel 2014, effettuando attacchi contro agenzie governative e società che lavorano nel campo della tecnologia e dell’esercito. La maggior parte degli obiettivi ha sede negli Stati Uniti, in Israele e nel Regno Unito.
APT39
Identificato per la prima volta alla fine del 2018, ha portato avanti una serie di attacchi finalizzati allo spionaggio industriale. Rivolgendosi principalmente al settore delle telecomunicazioni e dell’information technology, le attività di APT39 si sono concentrate su aziende negli Stati Uniti, in Turchia, Spagna, Egitto, Iraq e Arabia Saudita.
Si pensa che il gruppo utilizzi strumenti di hacking per eseguire operazioni di localizzazione e sorveglianza contro individui chiave. Le modalità hanno indotto gli esperti a ritenere probabile che stiano conducendo attività di spionaggio per il governo.
CopyKittens
Identificato per la prima volta nel 2015, utilizza malware ed exploit per ottenere l’accesso ai sistemi, cifrare e rubare dati sensibili. il gruppo ha principalmente attaccato obiettivi strategici negli Stati Uniti, Giordania, Turchia, Israele, Arabia Saudita e Germania. Nello specifico gli attacchi portati a segno si sono concentrati verso istituzioni governative ed accademici, nonché su società di difesa e IT.
Il gruppo è tornato alla ribalta nel 2017 per la campagna definita Operation Wilted Tulip, una vasta campagna di spionaggio informatico rivolta alle organizzazioni governative.
MuddyWater
Attivo dal 2017, è il gruppo APT più recente di matrice iraniana. Specializzato in tecniche di cyberspionaggio, ha concentrato le proprie attività nel Medio Oriente. In particolare, Arabia Saudita, Libano e Oman; solo di recente ha ampliato i propri attacchi anche ad organizzazioni europee e nordamericane. Gli obiettivi principali sono organizzazioni governative, telecomunicazioni e aziende petrolchimiche.
Cyberwarfare: i pericoli dell’Iran
Chiaramente anche se l’Iran dispone di tali gruppi, gli analisti del settore concordano che le capacità offensive messe a disposizione dallo stato islamico non sono al livello di Russia e Cina. Tuttavia, va ricordato che nel passato hanno colpito duramente più di una volta, mettendo fuori servizio 30 mila stazioni di benzina della Saudi-Aramco con il virus Shamoon e cancellando i dati del casinò Sands di Las Vegas. Anche alcuni enti finanziari statunitensi sono stati vittima di attacchi DDOS. Istituti come Bank of America, Capital One, JPMorgan Chase e PNC Banks, nonché la Borsa di New York e il Nasdaq – hanno subito una sospensione momentanea dei loro servizi. Lasciando centinaia di migliaia di clienti impossibilitati ad accedere ai loro conti bancari.
Gli esperti di intelligence attribuiscono all’operato iraniano pure il blackout avvento nel 2015 in Turchia. A farne le spese in questo caso è uno stato, subendo un’interruzione dell’energia elettrica di 44 delle 81 province e lasciando 40 milioni di persone senza corrente per 12 ore.
In effetti i timori maggiori sono dovuti a quello che potrebbe accadere, in quanto questi gruppi hanno la possibilità di sfruttare le reti precedentemente compromesse per portare avanti attacchi più sofisticati. Ciò si evince nelle parole di Christopher C. Krebs, direttore del CISA, che dichiara che “i gruppi iraniani utilizzano strumenti denominati wiper sempre più evoluti per cancellare in maniera definitiva i dati all’interno di un pc o un server”.
L’utilizzo di strumenti che effettuano una cancellazione definitiva dei dati o la loro cifratura, trova riscontro anche nel recente attacco condotto ai danni della compagnia italiana Saipem. La società dichiara di essere stata vittima di una variante del malware Shamoon (aka DistTrack) che ha reso inutilizzabili i dati presenti in oltre 400 server e 100 workstation. Fortunatamente l’azienda avendo un sistema di backup, non ha subito perdite irreversibili.
Un altro aspetto da non sottovalutare è dato dalle parole di Joe Loveless della Neurstar che afferma che “i recenti attacchi DDoS contro le infrastrutture informatiche USA e dei suoi alleati in Medio Oriente possono essere un diversivo per guadagnare l’accesso all’interno dei sistemi”.
Inoltre, le ulteriori sanzioni dichiarate dal presidente Trump ai danni dello stato islamico potrebbero inasprire ulteriormente la situazione. Alla luce dei fatti sono maggiormente esposte tutte le aziende (non solo statunitensi) del settore energetico, petrolchimico, governativo e della difesa. Con l’evolversi della situazione, potrebbero subire attacchi di varia natura con lo scopo di sabotare le reti informatiche di impianti industriali o rendere inutilizzabile le comunicazioni telematiche.
Cyberwarfare USA-Iran: le ricadute sulle aziende
Considerando questo contesto di tensione crescente, le aziende devono essere pronte a reagire per neutralizzare eventuali minacce.
Ovviamente non è possibile per un’azienda alzare improvvisamente i propri livelli di sicurezza, ma sicuramente è possibile istruire i vari CSIRT e SOC aziendali per intercettare e riconoscere le metodologie e gli strumenti utilizzati dai gruppi iraniani.
Va ricordato che questi APT (ad eccezione di pochi casi) per effettuare la compromissione iniziale del sistema ricorrono a tecniche comuni di social engineering, phishing e password spraying. Quindi risulta di fondamentale importanza portare avanti anche dei programmi di security awareness, volti ad aumentare il livello di consapevolezza del personale.
