Iran-Stati Uniti, il conflitto potrebbe passare anche da attacchi informatici

La risposta dell’Iran all’uccisione del generale Qassem Suleimani potrebbe arrivare anche da attacchi alle infrastrutture digitali. Lo sostengono alcuni esperti di sicurezza informatica che hanno parlato con i colleghi di TechRadar Middle East dei potenziali rischi informatici legati alle ostilità tra i due paesi.

I primi segnali in questo senso sembrano esserci già stati. Alcuni hacker iraniani, già poche ore dopo l’uccisione di Suleimani, avevano rivendicato il defacing (sostituzione illecita della homepage) dei siti della Sierra Leone Commercial Banks e dell’US Federal Depository Library Program. I due portali erano stati messi offline non appena era stato rilevato l’attacco.

Con il crescendo di tensioni e con le minacce dell’Iran in seguito all’uccisione del generale Suilemani, abbiamo ascoltato il parere di Alister Shepherd, responsabile per il Medio Oriente e l’Africa di Mandiant società americana del settore della sicurezza informatica che fa parte del gruppo FireEye. Secondo l’esperto c’è una preoccupazione concreta di possibili attacchi informatici nei confronti di infrastrutture strategiche del settore dell’energia, in particolare del petrolio e del gas.

Secondo Shepherd, un attacco mirato sulle infrastrutture di questo settore potrebbero avere un grande impatto sull'opinione pubblica anche per via delle sanzioni esistenti nei confronti dell’Iran in questo campo.

Shepherd ha inoltre dichiarato che in questo nuovo clima di conflitto, l’Iran potrebbe prendere di mira le industrie del petrolio e del gas dell’Arabia Saudita anche se al momento gli attacchi informatici difficilmente potrebbero avere la stessa portata di quelli avvenuti tra il 2012 e il 2013, come nel caso della compagnia petrolifera Saudi Amco di cui parleremo più avanti.

«Non necessariamente gli attacchi potrebbero limitarsi al settore energetico, dato che abbiamo visto come gli hacker "di stato" dell’Iran abbiano preso di mira molti altri comparti come quello delle telecomunicazioni e della finanza» ha aggiunto il responsabile per il Medio Oriente e l’Africa di Mandiant.

Come risposta alle prime sanzioni degli Stati Uniti, nel 2012 e nel 2013 erano stati porti a segno una serie di attacchi DDoS nei confronti dei siti internet di Bank of America, New York Stock Exchange e Nasdaq.

Due anni dopo alcuni hacker iraniani riuscirono anche a cancellare gli interi server del Sands Casino di Las Vegas.

In termini tecnici si chiamano Advanced Persistent Threat (APT), definizione che riguarda gruppi strutturati e specializzati in attacchi informatici per ragioni economiche e finanziarie e molto spesso supportati da governi locali. 

Ad esempio, team di hacker come APT33, APT34, APT35 e APT39 hanno tutti base in Iran e gli obiettivi dei loro attacchi riguardano in generale un po’ tutti i settori e si estendono a livello mondiale andando oltre i conflitti della reigone mediorientale.

Nel 2012 un malware sviluppato da hacker iraniani e conosciuto come Shamoon 1 era stato identificato come il responsabile della distruzione di migliaia di computer delle compagnie Saudi Aramco e Qatar’s RasGas. La versione Shamoon 2 sarebbe stata la causa principale di altri attacchi simili avvenuti nel 2016 e nel 2017, mentre la terza iterazione del malware aveva colpito nel dicembre 2018 una serie di obiettivi negli impianti petroliferi e nei gasdotti in Medio Oriente. 

• VPN, i provider principali del settore si uniscono sul tema della sicurezza
• Sicurezza, fiducia zero è stata l’espressione più ricorrente nel 2019
• Stati Uniti, hacker aggirano autenticazione a due fattori di alcuni server
• Cosa sono, come funzionano e quanto costano: tutto sui programmi VPN

Al di là di quanto accaduto negli anni scorsi, secondo Shepherd oggi il quadro è molto cambiato: «Sappiamo che oggi la loro capacità di portare avanti attacchi realmente dannosi è molto limitata e dopo gli episodi dal 2012 in poi che hanno coinvolto Shanmoon non abbiamo visto altri attacchi su larga scala dello stesso tipo».

Shepherd spiega che l’Iran ha continuato a sviluppare nuove armi informatiche (Deadwood, Shapeshift e ZeroClear) che però avrebbero apportato solo miglioramenti marginali alle capacità offensive degli hacker, mentre nel frattempo governi e aziende private hanno preso provvedimenti per rafforzare le proprie difese in tema di sicurezza informatica.

Ad ogni modo, anche nel corso del 2019, gli attacchi informatici da parte dell’Iran sono andati avanti anche in seguito alle nuove sanzioni introdotte nel novembre 2018 dagli Stati Uniti nonostante fosse ancora valido il Piano d’azione congiunto globale (PACG) conosciuto comunemnete come l’accordo sul nucleare iraniano, che era stato firmato nel 2015.

«Possiamo aspettarci una risposta sicuramente dura anche sul piano degli attachi informatici per l’uccisione di Suleimani - ha aggiunto Shepherd - Non è escluso dunque che con un Iran che intende rispondere in tutti i modi possibili, possano verificarsi anche cyberattacchi mirati principalmente nei confronti degli Stati Uniti e dei suoi alleati in Medio Oriente».

Il conflitto informatico però potrebbe passare non solo da semplici attacchi diretti ma anche da attività di spionaggio. «Potremmo assistere anche un aumento delle attività su questo fronte con gli hacker iraniani che cercano di ottenere dati di intelligence e avere una più chiara visione delle dinamiche geopolitiche» aggiunge il responsabile per il Medio Oriente e l’Africa di Mandiant. Non è escluso, secondo Shepherd, che gli hacker possano mirare a creare ampie reti di falsi siti di notizie per amplificare la propaganda pro-Iran a livello mondiale e screditare i propri avversari, primo fra tutti gli Stati Uniti.