Il potenziale offensivo di Teheran: la cyberwar sciita
La maggior parte delle “imprese” dedite alla pirateria informatica delegate da ogni Stato su input di particolari uffici, formano dei sottogruppi all’interno della gerarchia politica o militare nazionale.
L‘Iran non è diverso e impiega almeno una mezza dozzina di gruppi di Advanced Persistent Threat (APT) che agiscono, seppur in modo autonomo, dietro il giuramento di fedeltà al leader supremo, l‘ayatollah Ali Khamenei, e alla causa della rivoluzione sciita.
Fox Kitten, alias Pioneer Kitten, alias Parisite, è un noto APT pensato per agire a stretto contatto con il regime iraniano, utilizzando strumenti open source disponibili gratuitamente per sfruttare le vulnerabilità nel software Virtual Private Network (VPN) e Remote Desktop Protocol (RDP). Una volta ottenuto l’accesso a un sistema, utilizzano le procedure di tunneling SSH per crittografare la comunicazione con i programmi impiantati e impedire il rilevamento. Pertanto, Fox Kitten può controllare i computer infetti da remoto per rubare grandi quantità di dati sensibili.
In genere si concentrano su obiettivi di alto valore nei settori tecnologico, della difesa, della sanità, dell’ingegneria, del governo e della finanza. La maggior parte degli attacchi è contro organizzazioni del Nord America e Israele, il che offre un altro indizio sulle loro origini.
charming kitten
Il “Gattino affascinante” Charming Kitten, alias Phosphorus, alias Newscaster, è un altro APT attivo dal 2014. Il gruppo è noto soprattutto per due eventi altamente pubblicizzati. E’ il gruppo legato al disertore statunitense Monica Witt, un ex agente dell’intelligence dell’aeronautica americana fuggita in Iran nel 2013 e iniziando a fornire al governo di Teheran numerose informazioni riservate. Attualmente la Witt collabora con Charming Kitten per prendere di mira il personale militare occidentale suscettibile di un potenziale reclutamento in favore della causa sciita.
Un altro hacker affiliato alla Charming Kitten si è reso responsabile dell’hackeraggio HBO del 2017, un episodio famoso per essere stato riprodotto nella sceneggiatura di un episodio della serie “Il Trono di Spade”. Non esattamente una divulgazione di segreti di stato, ma comunque una situazione imbarazzante.
Il Dipartimento della Giustizia degli Stati Uniti sostiene che sia Witt che l’hacker della HBO lavorano a stretto contatto nell’ufficio Charming Kitten che utilizza tecniche di phishing per impersonare entità affidabili. Si rivolgono principalmente a giornalisti, attivisti, accademici e istituzioni governative con campagne ingannevoli. Gli hacker rubano le informazioni sull’account delle loro vittime ed analizzano i loro contatti.
Rocket Kitten, alias TEMP.Beanie, alias Timberworm, è un altro APT gestito dallo Stato iraniano che si concentra sullo spionaggio contro i nemici mediorientali e l’opposizione interna. Secondo una ricerca della società di sicurezza informatica Checkpoint, quasi il 50% delle sue attività sono dirette all’Arabia Saudita. Il gruppo favorisce lo spear phishing e l’ingegneria sociale per compromettere le vittime.
Il risultato più noto di Rocket Kitten è arrivato nel 2016, quando hanno hackerato con successo Telegram, il popolare client di messaggistica privato. La comunicazione privata è qualcosa di molto prezioso in paesi senza libertà di parola come l’Iran. Rocket Kitten ha sfruttato una politica di attivazione dell’account per ottenere l’accesso a oltre 20 milioni di account Telegram iraniani che hanno portato a una seria repressione delle attività antigovernative.
Anche i cyber attacks condotti nel mese di dicembre 2020 contro aziende israeliane, sembrano potersi attribuire agli hacker iraniani indotti all’azione dalla leadership di Teheran come primo gesto di ritorsione alle azioni militari condotte dallo Stato ebraico, primo nella lista di quelli sospettati di azioni “non ortodosse” condotte contro il regime.
Secondo il website specializzato The Stringer, ripreso dall’autorevole Treadstone71 che si occupa di cyberintelligence, dietro gli attacchi informatici contro Israele, quello contro l’Amital Data di circa un mese fa e una serie di altre società addette alla logistica e alle spedizioni, vi sarebbero gli hackers iraniani che, peraltro, hanno affermato di aver violato anche i server della società israeliana di produzione di chip Habana Labs, acquisita da Intel nello scorso anno.
hackers iran
La natura dei recenti attacchi rafforza la valutazione che gli hacker fossero stati impiegati in operazioni di offensiva informatica iraniane finalizzate, secondo alcune fonti, anche a sabotare la consegna dei vaccini Covid-19 che Israele aveva acquistato.
Le caratteristiche che suggeriscono tale teoria, includono la mancata richiesta di riscatto da parte degli hacker e, in entrambi i casi, il particolare malware utilizzato del tipo Pay2key, già utilizzato in passato in una serie di attacchi a dozzine di aziende e organizzazioni israeliane, come riferito dagli analisti di Check Point. Tuttavia, è praticamente impossibile giungere all’identità degli aggressori in base al malware utilizzato poiché è pratica comune per i gruppi di hacker scambiare strumenti o aggiornare il malware utilizzato da altri per nascondere ogni traccia.
Il malware Pay2key risulta comunque associato agli hacker iraniani già da diversi mesi. Si tratta di un tipo di malware relativamente nuovo, identificato per la prima volta nello scorso mese di giugno. Sebbene sia stato collegato agli hacker iraniani, non è chiaro se lo abbiano sviluppato da soli o lo abbiano acquistato da altri. Una delle caratteristiche del suo utilizzo, fino ad ora, è che i suoi attivatori tendevano a richiedere riscatti inferiori allo standard di mercato.
Esistono due tipi di attacchi comuni al mondo della crittografia – ha detto a Calcalist Gal Ben David, uno dei fondatori della società israeliana di cyberintelligence IntSights – C’è un ransomware che crittografa i dati dell’azienda attaccata e richiede il trasferimento di denaro per rilasciare le informazioni sequestrate e poi ci sono strumenti di crittografia che semplicemente distruggono i dati violati, rendendoli irrecuperabili. Il secondo metodo viene utilizzato a scopo di sabotaggio e quindi si ritiene che venga usato da Stati o organizzazioni ostili che attaccano una specifica azienda”.
Ben David tende a credere che l‘ultima serie di hack non costituisca un attacco iraniano “ufficiale” contro Israele, principalmente a causa del software utilizzato. “Generare titoli è l’ultima cosa che le organizzazioni di spionaggio desiderano quando scelgono quale attacco eseguire – ha spiegato – In questo caso, gli hacker hanno utilizzato il ransomware che ha assicurato che l’attacco sarebbe stato svelato. Se un attore a livello statale avesse voluto sabotare la catena di fornitura di vaccini di Israele, l’avrebbe fatto sembrare un malfunzionamento “.
Potrebbero, a titolo di esempio, sabotare i sistemi frigoriferi, che sono collegati al software del sensore, facendo sì che il programma presenti la corretta temperatura necessaria per la conservazione, mentre le unità effettive sono inattive, ha suggerito ancora Ben David. Inoltre, “nessuno si assumerebbe la responsabilità di danneggiare i vaccini, nemmeno uno Stato nemico. Trovo difficile credere che se ci fosse un tentativo di danneggiare la fornitura di vaccini, qualcuno lo avrebbe rivendicato. Sarebbe difficile dimostrare che anche l’Iran è dietro (l’operazione, ndr), dal momento che le agenzie statali sono brave a nascondere le informazioni. Uno dei motivi per cui gli hacker russi sono stati scoperti in passato è stato a causa della loro scarsa conoscenza della lingua inglese (tecnica, ndr). Le organizzazioni di spionaggio, compresi gli iraniani che sono molto preparati in cyber, non hanno alcuna carenza di questo tipo e non si comportano in questo modo “.
Il fatto che non appaia come un attacco coordinato da Teheran non esclude il coinvolgimento di hacker iraniani. Al contrario, “molto probabilmente è un caso di spontaneo attivismo anti-sionista, ovviamente rivolto agli israeliani. Questo si combinerebbe con la ricerca effettuata da Check Point che collega il malware agli iraniani “, ha concluso Ben David.
