Come crescono le offensive cyber dell’Iran
Il periodo di forti tensioni tra Iran e Stati Uniti ha raggiunto un picco ieri, quando la Repubblica Islamica ha abbattuto un drone americano. Ma da anni, ormai, gli Stati Uniti accusano Teheran di perpetrare attacchi informatici, sia nella forma di campagne di disinformazione sia di offensive contro aziende e istituzioni al fine di prelevare informazioni sensibili.
Gli analisti di due società di sicurezza, Crowdstrike e Dragos, hanno rivelato di aver fronteggiato una settimana di imponenti campagne di phishing iraniano, mirate a una varietà di obiettivi statunitensi. Responsabile, a detta degli esperti, il gruppo di hacker denominato Apt33, Magnallium o Refined Kitten, il quale lavorerebbe al soldo del governo di Teheran.
Dragos ha individuato nel Dipartimento dell’Energia e in alcuni laboratori nazionali statunitensi una parte degli obiettivi contro i quali le offensive di Teheran si sarebbero dirette.
Anche la società FireEye ha confermato di aver rilevato una vasta campagna di phishing indirizzata sia ad agenzie governative sia a aziende private, non solo negli States ma anche in Europa. Alcuni segnali suggeriscono che la nuova campagna di targeting sia davvero un’operazione di cyber spionaggio, ma i ricercatori hanno notato, rivela Wired, che Apt33 è anche collegato a malware famosi per distruggere i dati: in questo senso, i tentativi di intrusione sembrerebbero solo il primo passo verso una monumentale offensiva informatica.
FireEye ha infatti commentato che mentre Apt33 conta diverse operazioni di spionaggio, possiede anche diversi strumenti offensivi. FireEye ha iniziato ad occuparsi del team nel 2017 quando ha scoperto il malware “dropper”, famoso per aver inserito codici malevoli nei sistemi per distruggerne del tutto i dati.
Da Crowdstrike giungono, invece, informazioni circa i legami tra il gruppo hacker e Shamoon, uno strumento informatico molto aggressivo legato a una serie di campagne di sabotaggio iraniane che hanno colpito tutto il Medio Oriente.
In almeno alcuni dei tentativi di intrusione della scorsa settimana, gli hacker avrebbero inviato alle potenziali vittime una e-mail riguardante il Council of Economic Advisors, un’organizzazione all’interno dell’Ufficio esecutivo della Casa Bianca.
L’e-mail conteneva un link di avvio ad un’applicazione Html o Hta. Quest’ultimo poteva, potenzialmente, anche lanciare script sul computer della vittima dopo aver installato il payload del malware. Powerton (ovvero il malware) cosi come il “trucco” dell’applicazione, sono entrambi strumenti utilizzati tipicamente dal gruppo in questione, e che hanno colpito negli ultimi anni numerosi obiettivi petroliferi nella regione del Golfo Persico.
Gli analisti si dividono insomma, tra l’ipotesi che l’Iran voglia solo spiare gli americani estraendo informazioni sensibili, e quella secondo cui queste manovre rappresentino un percorso di preparazione verso operazioni offensive.
Ad esempio, Joe Slowik di Dragos ha osservato che anche se Apt33 stesse piantando mine “cyber” per un’operazione di distruzione dei dati, questa realtà potrebbe anche non realizzarsi mai, a meno che il conflitto tra Washington e Teheran non si tramuti in una guerra vera e propria.
Qualunque siano le sue attuali intenzioni, conclude la ricerca, l’Iran possiede una lunga storia di attacchi distruttivi contro obiettivi americani e di alleati degli Stati Uniti.
Gli hacker di Teheran hanno aumentato gli sforzi informatici fino ad acquisire una discreta capacità offensiva. Quest’ultima è stata mostrata ampiamente tramite l’attacco informatico perpetrato contro Saudi Aramco tramite Shamoon.
Il Paese ha anche lanciato una serie di attacchi Ddos contro i siti web di molte tra le principali banche statunitensi, offensive non dissimili da quelle che nel 2014 avevano colpito il casinò di Las Vegas Sands. L’anno successivo, a seguito della firma del Joint Comprehensive Plan Of Action da parte dell’amministrazione Obama, e con la revoca delle sanzioni, gli attacchi contro l’Occidente (ma non contro gli avversari regionali dell’Iran) sono in gran parte cessati.
Secondo gli esperti americani, gli attacchi informatici iraniani sono ripresi a causa dell’uscita degli Stati Uniti dall’accordo, e nei prossimi mesi tenderanno ad aumentare con aggressività sempre maggiore.
Fonte: Cyber Affairs
Foto: Land Destroyer, The Iran Observer. Korg.org e Business Insider
RedazioneVedi tutti gli articoli
La redazione di Analisi Difesa cura la selezione di notizie provenienti da agenzie, media e uffici stampa.