Quanto la guerra USA – Iran fa paura alla sicurezza informatica

Posted on

In seguito all’assassinio del generale Qassem Soleimani provocato da un attacco americano a Baghdad, si è sollevato lo spettro di una cosiddetta “guerra cibernetica” tra Iran e Stati Uniti. L’avvertimento del Dipartimento di Sicurezza Nazionale americano sostiene che l’Iran possieda la capacità di poter minacciare le infrastrutture critiche delle nazioni alleate, suggerendo alle aziende di diffidare delle e-mail sospette e di utilizzare l’autenticazione a due fattori.
La vera paura si identifica in un attacco al sistema di controllo industriale (ICS), in quanto è lì che potrebbe generarsi una vera minaccia per la vita umana.

In breve, l’Iran ha dei veri e propri poteri di hacking, ma resta da vedere esattamente cosa è capace e cosa è disposto a fare.
Nonostante gli attacchi informatici provenienti dall’Iran ci siano sempre stati, la tensione tra Stati Uniti e Iran è aumentata, dobbiamo quindi proteggerci da possibili attacchi, ma questa non è certo una novità.

I maggiori attacchi informatici attribuibili all’Iran

Nel 2012 l’Arabia Saudita irrompe bruscamente nel mondo degli attacchi informatici. Il virus Shamoon infetta i computer della società petrolchimica nazionale dell’Arabia Saudita “Saudi Aramco”. I criminali informatici, dopo aver ingannato un funzionario con una mail di spear phishing sono stati in grado di accedere ai sistemi informatici scatenando uno dei più costosi attacchi informatici della storia. Il 75% dei computer della società petrolchimica nazionale dell’Arabia Saudita hanno subito la cancellazione totale dei dati, causando enormi danni finanziari.
L’attacco è stato attribuito ad un gruppo, sostenuto dall’Iran, chiamato “Cutting Sword of Justice”; di seguito il manifesto pubblicato su Pastebin.

Nel novembre 2016, i computer del governo saudita si sono spenti e i dischi rigidi distrutti. Lo stesso attacco ha colpito due settimane dopo altri obiettivi in Arabia Saudita, infettati dal medesimo malware “Shamoon” in una versione aggiornata.

Il 23 gennaio 2017, una seconda società petrolchimica, la “Sadara Chemical Company” e la “National Industrialization Company” sono state entrambe attaccate con il virus informatico Shamoon. Successivamente, nell’agosto del 2017 un altro malware ha attaccato un’azienda petrolchimica, quest’ultimo diverso e molto più pericoloso, in grado di provocare l’esplosione dell’impianto petrolchimico fortunatamente fallito a causa di un bug nel codice del malware.

Nel 2018 si registrano diversi attacchi a organizzazioni governative, società private e banche, le cui conseguenze sono state il furto di dettagli personali di alcuni dirigenti del Regno Unito, e la compromissione di account di molteplici università con lo scopo di estrapolare informazioni e progetti utili allo Stato iraniano.
Le università maggiormente colpite furono quelle con sede negli Stati Uniti, che hanno incriminato il “Mabna Institute” e nove cittadini iraniani in relazione all’attività del gruppo informatico criminale COBALT DICKENS.
Nel mese di Dicembre un nuovo attacco avviene ai danni di un’azienda petrolchimica italiana “Saipem”, la quale opera in territorio saudita avendo come maggior cliente la società “Saudi Aramco”, anche questa volta con una nuova variante del noto malware “Shamoon”.

Nel 2019 gli hacker iraniani aumentano i loro attacchi colpendo organizzazioni vicine agli Stati Uniti e il dipartimento della sicurezza interna dichiara un aumento di attività informatiche dannose dirette alle industrie e alle agenzie governative mediante l’utilizzo di piccole botnet per mirare allo spionaggio di organizzazioni militari e accademiche.
Negli ultimi mesi è stato possibile notare come il “vecchio” malware Shamoon si sia evoluto con il nome di ZeroCleare e successivamente DUSTMAN compromettendo l’azienda petrolifera nazionale del Bahrain “Bapco”. Quest’ultimi malware si dimostrano essere sempre più distruttivi e performanti. Negli ultimi giorni altri gruppi criminali continuano in questi giorni con il defacement di siti internet governi o aziende vicine agli Stati Uniti, come accaduto al sito internet della Sierra Leone Commerical Bank.

Attori

Attacchi come questi hanno avuto spesso lo scopo di ostacolare gli obiettivi del principe ereditario Mohammed bin Salman di riformare il settore privato saudita, di paralizzare l’economia saudita ma soprattutto indebolire gli Stati che collaborano con gli Stati Uniti d’America.
Attualmente in Iran APT33 e APT34 sono i due maggiori gruppi degni di nota.

APT33 (Refined Kitten/Magnallium/Holmium) divenuto attivo alla fine del 2015 concentra la maggior parte dei suoi attacchi contro l’Arabia Saudita. Eseguono dettagliate scansioni e identificano gli obiettivi vulnerabili praticamente in ogni settore con il fine di comprometterli. Sono noti per l’uso di tecniche di spear phishing per rubare informazioni, password spray e sfruttamento di vulnerabilità note di programmi come Outlook o WinRAR. Il gruppo è diventato famoso nel 2018 per i loro legami con l’ultima ondata di attacchi di Shamoon, è noto per l’utilizzo di una varietà di malware personalizzati, script di Github e tool open-source. I loro attacchi si svolgono solitamente con il phishing e poi con l’esecuzione di una backdoor, che permette al gruppo criminale di installare programmi sulla macchina infetta. APT33 è stata collegata all’Iran attraverso il Centro di sicurezza Kavosh e l’Istituto Nasr, che hanno sede a Teheran e sono collegati al governo iraniano.

APT34 (OILRIG/Muddywater/Helix/Seedworm) attivo da almeno il 2014 ha minacciato di uccidere i ricercatori della sicurezza che stavano indagando su un server compromesso (in seguito rivelato infrastruttura di comando e controllo) oltre a impegnarsi in campagne di spear phishing contro i governi del sud-est asiatico e dell’Asia centrale gestisce un programma di furto di password. Essi utilizzano anche software maligni open-source con piccole personalizzazioni per essere flessibili e adattare rapidamente alle loro operazioni.

In questa coorte di hacker che continua ad attaccare l’Arabia Saudita, sono presenti anche i ribelli “Houthi” aiutati dagli agenti iraniani a dominare il cyberspazio nella guerra civile yemenita.
Questo aiuto permette alla milizia Houthi di comandare il principale fornitore di servizi Internet del Paese, di mettere a tacere il dissenso online, di promuovere la disinformazione, di modificare i siti web governativi e di fare soldi con le valute criptate. Questo gruppo di ribelli ha paralizzato alcuni esperti umanitari e hanno reso più facile il riciclaggio di denaro sporco grazie all’accessibilità delle miniere di crittografia.

Per rafforzare la cyber-difesa dell’Arabia Saudita, il re Salman e il principe ereditario Mohammad ha fondato la National Cybersecurity Authority (NCA) e il National Cyber Security Center (NCSC) il 31 ottobre 2017. La fondazione della NCA ha contribuito a dare priorità alla sicurezza informatica sia nel settore pubblico che in quello privato dell’Arabia Saudita attraverso la consapevolezza delle minacce informatiche e la necessità di rispondere agli attacchi informatici. Questo è stato possibile mediante l’utilizzo di bot per influenzare i social media e l’acquisto di software di spionaggio dalla società italiana Hacking Team o su forum utilizzati da hacker.

Creando un’infrastruttura informatica nazionale, di comunicazione sicura e affidabile, a sviluppare un gruppo capace di professionisti della sicurezza informatica l’Arabia Saudita è ora al 13° posto nel mondo nell’indice globale della sicurezza informatica, guadagnando 33° posizioni rispetto al 2016.