Timori di una rappresaglia cibernetica iraniana. Perché il cybercommand USA invita tutti a essere pronti

iran trump

di Arturo Di Corinto

L'immagine manipolata del presidente Usa Donald Trump preso a pugni in faccia e che sanguina dalla bocca, insieme a un messaggio che vanta la forza cibernetica dell'Iran, è apparsa brevemente sul sito web della Biblioteca federale americana nella giornata di sabato. La firma? "Hacked by Iran Cyber Security Group Hackers. Questa è solo un esempio delle abilità informatiche dell'Iran! Siamo sempre pronti".

Sono però centinaia i siti americani defacciati per rappresaglia dopo l’uccisione del generale e uomo politico Qassem Soleimani da un drone americano. Si tratta di siti minori, gestiti da privati, turistici, commerciali o relativi a servizi ed eventi legati a salute e medicina (https://www.e-cwellness.com/, https://discerningreader.com/, etc).

Nella maggior parte dei casi la firma è la stessa di un hacker che si era fatto conoscere durante tutto l’anno scorso per simili scorribande. Però. Il timore che l’Iran possa ordinare dei cyberattacchi più dannosi esiste eccome. Ne sono convinti al Cyber Command Usa e alcune tra le maggiori aziende americane di cybersecurity come Fire Eye e Crowdstrike, addirittura ne anticipano le mosse. Non a caso, subito dopo la morte di Soleimani le azioni di queste società di sicurezza informatica erano subito salite nonostante il calo dei mercati causato dall'incertezza degli eventi futuri: le azioni di CrowdStrike Inc. sono aumentate del 3,7% e FireEye Inc., del 2,7%. Secondo gli analisti delle due aziende sono a rischio il settore privato e le pubbliche amministrazioni, anche perché, come ha detto l’analista di Forbes Doffman “L’Iran sa che una rappresaglia contro l’esercito statunitense nel dominio cibernetico sarebbe come lanciare dei sassi contro un carrarmato.”

Le opinioni però qui divergono. Da una parte c’è chi teme i gruppi paramilitari cibernetici al servizio dei singoli stati, dall’altra chi non si pone il problema. Secondo Kevin Beaumont, un cyberesperto molto noto in rete, “L'Iran è tra i meglio attrezzati al mondo per operazioni di attacco cibernetico mentre l’Occidente ha una terribile postura (intesa come capacità difensiva). Se agiranno in seguito, lo saprete tutti.”

Secondo l’esperto, e altri analisti, il timore è che possano essere attaccati i sistemi industriali dei bersagli occidentali che non sarebbero abbastanza protetti. Sono i sistemi “cyberfisici”, quelli che, per capirci, sono comandati da software che azionano leve, pompe, valvole, insomma i meccansimi idraulici e meccanici che agiscono sui macchinari che depurano le acque, aggiungono agenti chimici ai prodotti di largo consumo, aprono e chiudono il gas.

È stato Christopher C. Krebs, direttore della Cybersecurity and Infrastructure Security Agency (CISA) a lanciare l’allarme di una potenziale nuova ondata di attacchi informatici condotti da gruppi di hacker collegati all'Iran che prendono di mira le attività statunitensi invitando a “prestare molta attenzione ai vostri sistemi critici, in particolare ICS", e alla catena dei fornitori (la supply chain).
I timori di una rappresaglia cibernetica insomma non vanno sottovalutati. Anche se, come dice il cyberblogger e docente Pierluigi Paganini, “Bisogna stare attenti alle false flag” cioè alle errate attribuzioni di eventuali attacchi e ai depistaggi, “Fanno parte del gioco”, dice.

Esiste una lista pubblica dei bersagli colpiti dagli iraniani negli ultimi anni e comprendono dogane, università e aeroporti di alcuni stati mediorientali e non solo: Libano, Arabia Saudita, Emirati Arabi Uniti, fino alla Corea del Sud. Sono i bersagli delle operazioni condotte dagli hacker di stato iraniani che secondo il gruppo Mitre, operano sotto tanti nomi diversi - Apt33, Apt34, Apt35, OilRig, Charming Kitty e altri -, che condividono, almeno in parte, strumenti, target e infrastrutture, perfino i centri di comando e controllo degli attacchi.

La storia degli hacker di stato iraniani è relativamente recente. Ma le loro attività si sono intensificate dal 2010 dopo il blocco delle centrifughe nucleari causato da un malware, Stuxnet, di creazione americana-israeliana, che aveva infettato i macchinari fisici che gestiscono l’arricchimento dell’uranio.
Nel 2012 e 2013 i nation state hacker iraniani hanno condotto una serie di attacchi DDoS contro la Bank of America e il NASDAQ, e un iraniano è stato processato per essersi introdotto nei sistemi di gestione della diga di New York.
Un altro gruppo, sempre iraniano, autoproclamatosi “Tagliente spada della Giustizia” è noto per avere portato a termine con successo l’attacco nel 2012 contro la compagnia americano-saudita Aramco, bloccandone 30mila computer e le sue stazioni di benzina usando il virus Shamoon. Un virus tornato a colpire sia nel 2016 che nel 2018.
Nel 2005, un altro gruppo di hacker persiani aveva rimpiazzato l’home page della base militare navale di Guantanamo con una che difendeva i Musulmani e condannava i terroristi.
Ultimamente è sempre a un gruppo iraniano che è stato attribuito il tentativo di entrare nella posta elettronica del comitato per la rielezione di Donald Trump. Apparentemente senza riuscirci.

Insomma, secondo molti le attuali capacità cibernetiche iraniane non sarebbero all’altezza di una cyberguerra con gli States, essendo queste prevalentemente orientate al furto dei dati.
Fonti informate ritengono però che solo il gruppo APT34, noto dal 2014, sia in grado di unire alle azioni di spionaggio quelle di sabotaggio, agendo con la tecnica tipica di questi gruppi: stare acquattati prima di sferrare l’attacco. In attesa di un ordine politico, naturalmente.