In questi giorni parlare di cyberwarfare sembra poco sensato, e soprattutto, rispetto ai missili, appare come il male minore. Tuttavia, visto che bene o male se n’è parlato più volte, proviamo ad analizzare la possibilità di un simile risvolto, alla luce di quello che già sappiamo. Del resto, da giorni diversi esperti di geopolitica e sicurezza informatica sottolineano la possibilità che lo scontro tra Usa e Iran, al netto dei raid convenzionali e dei tragici errori che purtroppo già ci sono stati, possa riversarsi infine sul terreno della cybersicurezza. A questi si sono aggiunti gli alert ufficiali del governo Usa (US-Cert) e dell’FBI (CNN) su possibili risposte cyber di rappresaglia all’uccisione del generale Soleimani. Tale prospettiva (probabilmente da inquadrare più nel medio-lungo termine) ci interessa perché rischia di alimentare una serie di attacchi informatici dagli esiti imprevedibili, con possibili ripercussioni anche su altri Paesi, aziende, infrastrutture.

Leggi anche >> L’assassinio di Suleimani, la catena di eventi da 40 anni a oggi, le responsabilità degli USA

Il rischio è alto per una serie di ragioni: portare lo scontro al livello cyber conviene sia all'Iran che agli Usa. L'Iran, come vedremo tra poco, ha già dato prova di avere capacità e intenzioni per muovere attacchi dannosi e non solo simbolici (il punto importante da tenere sempre a mente è che non è necessario avere capacità particolarmente avanzate per fare danni a una società digitalizzata ma vulnerabile). Gli Usa non sono stati a guardare in merito alla cyberwarfare, e da tempo anche su questo piano l'amministrazione Trump ha scelto una politica più aggressiva e proattiva, sposando una serie di tattiche ibride (che mescolano attacchi informatici, disinformazione, leaks) che fino a un po' di tempo fa sembravano appannaggio solo dei suoi avversari; il fronte cyber e il momento di confusione fanno gioco anche ad altri attori malevoli, che potrebbero provare a inserirsi, con diversi scopi, nello scontro, sfruttando una delle caratteristiche principali degli attacchi informatici di Stato che non è tanto la mancata attribuzione (dato il giusto tempo e risorse, molti degli attacchi vengono infine attribuiti a qualcuno, specie quando dietro ci sono gruppi organizzati) ma la facilità con cui possono essere negati (deniability).

L'inizio dello scontro informatico

È ormai quasi materia scolastica il fatto che una delle pietre miliari della cyberwarfare sia stata piantata proprio in Iran, con Stuxnet. Si tratta di un malware sofisticato con cui, attraverso un'operazione pianificata per anni, americani e israeliani hanno sabotato il programma di arricchimento dell'uranio iraniano, modificando surrettiziamente il funzionamento delle centrifughe degli impianti di Natanz.

Stuxnet è stata ribattezzata da alcuni come la prima "cyber-arma", nel senso che era un malware in grado di sabotare/danneggiare dei sistemi fisici. L'operazione israeliano-americano (poi nota come Olympic Games) ha avuto una serie di conseguenze, tra cui una accelerazione dell'Iran rispetto agli investimenti e ricerca in cybersicurezza e cyberwarfare (su tutta la vicenda raccomando il libro Countdown to Zeroday di Kim Zetter). Non a caso da allora si sono moltiplicate incursioni digitali e APT (Advanced Persistent Threats, ovvero semplificando: gruppi organizzati che muovono attacchi informatici ripetuti a obiettivi specifici) attribuiti da vari ricercatori all'Iran.

Alcuni di questi sono collegati alle tre entità militari iraniane che si occupano di cyber operazioni: le Guardie rivoluzionarie iraniane o pasdaran (IRGC), il Basij e l’Organizzazione per la difesa passiva (NPDO). L’IRGC sarebbe dietro a una serie di attacchi contro target e infrastrutture americane e israeliane; il Basij sarebbe una organizzazione paramilitare controllata dai guardiani della rivoluzione (IRGC) che gestisce anche dei volontari e una rete di proxy; NPDO si occuperebbe di protezione delle infrastrutture (vedi l’analisi del Center for Strategic and International Studies).

Ad oggi, Valigia Blu ha contato oltre 20 APT (Advanced Persistent Threats) ricondotti all'Iran (basandomi su vari report, come quello del Thai Cert, tra i più recenti). Gran parte di questi gruppi però sono identificabili con una sola campagna, e molti di questi si concentrano soprattutto su forme di spionaggio più o meno avanzato. Ma alcuni sono stati protagonisti invece di operazioni di impatto. Si tratta di OilRig (o APT34); Elfin (o APT 33); e MuddyWater. E in almeno due casi sembrano avere stretti legami con i militari o l’intelligence del Paese.

OilRig e l'industria petrolifera

È senz'altro l'attore che genera più preoccupazione. È stato infatti il protagonista dell'attacco Shamoon (o Disttrack), un malware distruttivo che nell'agosto 2012 ha colpito l'azienda petrolifera saudita Saudi Aramco, mettendo fuori uso oltre 30mila postazioni dell’azienda, con un tempo di recupero di 5 mesi per tornare alla normalità. Il software malevolo (che pochi giorni dopo colpì anche un'altra società del settore, la qatariota Rasgas) sovrascriveva il Master Boot Record (il primo settore di un disco essenziale per l’avvio) dei computer compromessi, sostituendolo con l'immagine di una bandiera americana in fiamme, e rendendo le macchine inutilizzabili.

Nel 2016 il malware è tornato ad attaccare organizzazioni saudite, ma anche israeliane, turche e americane, rimpiazzando l'immagine della bandiera Usa con quella del piccolo Alan Kurdi, il bambino siriano affogato nel Mediterraneo (Symantec). E poi ancora è riemerso in Medio Oriente, in Arabia Saudita e negli Emirati, nel dicembre 2018, in una versione nuova, più distruttiva, perché aggiunge un software malevolo che cancella i file dai computer (tecnicamente, un wiper) prima che Shamoon sovrascriva il Master Boot Record. Il senso di questo raddoppio è rendere più difficile se non impossibile anche il recupero dei file dagli hard disk attraverso tecniche forensi (Symantec 2).

Di questo nuovo attacco è tra l'altro stata vittima anche una azienda petrolifera italiana, Saipem, secondo la quale sarebbero stati colpiti fra i 300 e i 400 server e un centinaio di computer personali. All'epoca l'azienda, controllata di Eni e CDP Equity, in un comunicato aggiungeva che il cyberattacco aveva colpito server in Medio Oriente, India, Aberdeen (Scozia) e in modo più limitato in Italia; e che appunto si trattava di una variante del malware Shamoon. Inoltre scriveva che l’attacco aveva portato a una cancellazione di dati; e che erano in atto le attività per ristabilire la piena operatività sui siti colpiti (della vicenda avevo scritto in dettaglio).

Nella relazione finanziaria annuale del 2018, Saipem ha poi confermato che "l’attacco ha comportato la cancellazione di dati e infrastrutture, effetti tipici del malware", aggiungendo di aver ripristinato però tutti i servizi infrastrutturali senza perdite di dati. “Shamoon è un wiper attivo già dal 2012 utilizzato principalmente contro target sauditi, nel corso degli anni evolve e viene chiamato Shamoon 2 e Shamoon 3”, commenta a Valigia Blu Alberto Pelliccione, Ceo di Reaqta, società di cybersicurezza che fu tra le prime a individuare la riemersione di questo malware nel dicembre 2018. E che si era occupata di tracciare anche un altro gruppo, Muddywater. “A sorpresa nel dicembre 2018 appare una nuova variante che sembra prendere di mira per la prima volta proprio Saipem. Immediatamente si notano delle similarità ma il malware manca di alcuni elementi che lo caratterizzavano e in particolare non sembra avere la capacità di propagarsi in autonomia. Questo ‘dettaglio’ rende chiaro un elemento: l’attacco contro Saipem viene governato manualmente e il wiper viene diffuso da un operatore umano che controlla alcune macchine compromesse”.

I wiper, i malware che cancellano file, sembrano essere una costante nella regione. Secondo l’autorità nazionale saudita per la cybersicurezza, ancora lo scorso 29 dicembre è stato usato un software malevolo di questo tipo contro alcuni target dell’area, non identificati (Yahoo News). Non è stato finora attribuito all’Iran o ad altri.

Tornando a OilRig (o APT34) è interessante notare anche che proprio su questo gruppo nel 2019 ci siano stati degli strani leak, che hanno riguardato alcuni dei suoi strumenti di hacking (Zdnet) e che ne hanno probabilmente rallentato o compromesso le attività. Secondo i misteriosi leaker, questi strumenti (e quindi OilRig) arriverebbero dal MOIS o VEVAK, l’intelligence iraniana. Altri leak successivi hanno invece colpito l’APT MuddyWater e un altro gruppo iraniano, “Rana Institute”, specializzato in attacchi contro sistemi industriali. Chi sarà stato a fare questi leak?

APT33 (o Elfin) e i sistemi di controllo industriale

APT33 è un altro gruppo considerato emanazione del governo di Teheran, con connessioni con il Nasr Institute, un contractor gestito sia dalle unità cyber del Basij sia dalla principale agenzia di intelligence del Paese, la già citata VEVAK o MOIS, secondo le società Kaspersky e Fireye. Attivo almeno dal 2013 e dedito allo spionaggio, con target in Arabia Saudita, Stati Uniti e altri Paesi, e un'attenzione all'industria aeronautica e il settore dell'energia. Ma negli ultimi anni avrebbe sviluppato anche capacità “distruttive” e un interesse per sistemi di controllo industriale. In particolare, secondo una presentazione tenuta lo scorso novembre alla conferenza CyberwarCon da un ricercatore Microsoft, Ned Moran, negli ultimi mesi del 2019 APT33 avrebbe preso di mira una serie di aziende che forniscono software e apparecchiature industriali (Wired).

A rincarare la dose ci ha pensato poi lo scorso giovedì l’azienda di cybersicurezza Dragos, che in un report dice di aver rilevato una nuova attività proprio del gruppo APT33 (loro lo chiamano Magnallium) contro varie industrie americane, incluse utility dell’energia. La tecnica usata è quella del password-spraying in cui si prova una stessa password, d’uso comune, su una grande quantità di account, per poi passare a un nuovo tentativo ecc. Mentre un gruppo parallelo starebbe tentando di trovare vulnerabilità nelle VPN, le reti private virtuali spesso usate nelle aziende. Va detto che questi attacchi non sembrano molto sofisticati.

E tuttavia il timore è che si possa replicare, con maggior successo, tentativi come quelli avvenuti nel 2013 quando degli hacker iraniani hanno avuto accesso ai controlli di una diga dello stato di New York. Per questa e altre azioni nel 2016 sono stati incriminati 7 iraniani che lavoravano per due aziende considerate al servizio del governo di Teheran e delle Guardie rivoluzionarie (IRGC). Uno di questi infatti avrebbe infiltrato per tre settimane il sistema SCADA (di controllo industriale) della diga di Bowman (a Rye Brook), ottenendo informazioni sul livello dell'acqua, temperatura e status delle paratoie, secondo l'incriminazione americana.

Questa settimana è anche emerso che ricercatori specializzati nel trovare vulnerabilità in sistemi industriali, specie del settore nucleare, sono stati contattati da dipendenti dalla principale compagnia telefonica iraniana, TCI, per conto del governo, con l'offerta di tenere dei corsi nel Paese, riferisce Ars Technica.

Ma per fare danni non è necessario riuscire a infiltrare sistemi industriali. Nel 2018 gli Stati Uniti hanno incriminato altri due iraniani per una serie di attacchi ransomware (i cosiddetti virus del riscatto) contro ospedali e città, tra cui Atlanta e Newark. Avrebbero raccolto 6 milioni di dollari colpendo circa 200 vittime. Sebbene gli Usa in quel caso non abbiano tracciato connessioni col governo iraniano, l'episodio mostra che nel Paese non mancano capacità di questo tipo, che vengano utilizzate solo per fini cybercriminali o per altro. Del resto, non è difficile trasformare un ransomware in uno strumento più distruttivo, come abbiamo visto ad esempio nel 2017 con NotPetya.

Su questo concorda anche il ricercatore John Hultquist che scrive su Twitter in un lungo thread in merito alla minaccia iraniana: “Consideriamo gli incidenti di ransomware che abbiamo visto di recente. Un ransomware senza speranza di riscatto è solo un malware distruttivo. Nelle nostre recenti esperienze, specie in relazione a target municipali e del settore trasporti, questa dovrebbe essere una indicazione”.

Spionaggio, disinformazione e leaks

A colpire organizzazioni specie in Medio Oriente dal 2017 è anche l'APT noto come Muddywater. Anche se finora dedito a spionaggio, i suoi target sono di alto profilo (settore telco, energia e governi) così come le tecniche impiegate. E questo potrebbe aprire la strada ad attacchi di altra natura o campagne di hack and leak come quelle che abbiamo visto negli Usa nel 2016, in quel caso attribuite alla Russia. Tra agosto e settembre un altro APT iraniano, APT35 o Phosphorous, ha preso di mira con tentativi di phishing gli account email della campagna presidenziale di Trump, di funzionari governativi americani e di giornalisti ed espatriati iraniani (Wired).

Del resto, come ricorda il ricercatore di sicurezza italiano Luigi Gubello, "l'Iran è uno degli stati con la maggior capacità di creare e gestire reti di bot avanzate, che non sono facili da individuare e spesso non vogliono influenzare l'Occidente ma solo gli stati a sé confinanti". Gubello ha anche individuato tracce recenti di queste attività social di possibile matrice iraniana (primo e secondo tweet).

A ottobre Facebook aveva rimosso 3 reti separate di account, pagine e gruppi, su Facebook e Instagram, per comportamento coordinato inautentico che originavano dall'Iran. Le attività di queste reti si concentravano su Stati Uniti e Nord Africa, inclusi alcuni aspetti della politica americana.
Ma la propaganda c’è anche nell’altro senso, con account Twitter della destra americana scesi in campo proprio in questi giorni contro il governo di Teheran, come riporta Vice.

Il ruolo degli Usa in attacco e la tentazione ibrida

Nelle discussioni e articoli che hanno trattato le conseguenze cyber dell'escalation Usa-Iran il ruolo degli Usa è spesso assente, o presentato solo come target di attacchi. Eppure gli americani sono stati particolarmente attivi su questo fronte proprio nei confronti dell'Iran per cui ci si potrebbe aspettare anche azioni mirate di matrice statunitense.

Lo scorso giugno il il Cyber Command americano ha lanciato una rappresaglia digitale contro un gruppo di cyberspie iraniane accusate di aver sostenuto gli attacchi alle navi che passavano nello Stretto di Hormuz. Oltre a ciò, gli americani avrebbero anche messo fuori uso dei sistemi usati dagli iraniani per controllare il lancio di missili, anche se su questa operazione sono filtrate pochissime informazioni. “I cyberattacchi Usa sull’Iran sono stati pianificati chiaramente per degradare le sue capacità di lanciare future aggressioni”, scrive in un’analisi la società americana di intelligence Stratfor. “Si ritiene che sia stata la prima volta che un attacco sia stato pubblicamente riconosciuto sotto le nuove linee guida volute dall’amministrazione Trump lo scorso anno al fine di semplificare il processo di approvazione per condurre cyberattacchi contro avversari degli Usa”.

Più in generale, oltre agli attacchi conclamati, gli americani sembrano ormai propensi ad abbracciare anche un conflitto ibrido, visto che fonti di intelligence già mesi fa sottolineavano la possibilità di intraprendere azioni per destabilizzare l'Iran senza incappare in una evidente attribuzione agli Stati Uniti.

Senza dimenticare Israele

A complicare la situazione nella regione, c’è pure Israele, protagonista di primo piano della cyberwarfare (e nella vicenda Stuxnet tra l’altro sembra aver giocato il ruolo più aggressivo all’interno del team israelo-americano). Tel Aviv mostra infatti molta preoccupazione anche per le capacità informatiche iraniane, considerate una “minaccia strategica di lungo termine”, come scrive il ricercatore Samuel Cohen in uno studio del 2019. Secondo la testata Israel Radar, a dicembre l’Iran sarebbe stato vittima di non precisate “cyber armi” impiegate contro alcuni target sensibili. Non è chiaro chi sia stato ad attaccare.

A dicembre c’era stato anche un grave, pesante attacco informatico, con conseguente leak sui clienti di tre banche iraniane, Mellat, Tejarat e Sarmayeh, che già erano state sanzionate dal Tesoro americano, riferiva Times of Israel. Anche qui non è chiara la matrice dell’attacco. Come si può intuire, la confusione è grande sotto il cielo mediorientale in questo momento.

Task force iraniana

Dal suo canto, mesi fa l’Iran cercava di correre ai ripari annunciando una task force per contrastare le operazioni cyber americane. La preoccupazione principale era l’eventualità che gli Usa potessero bloccare l’accesso del Paese a internet, scriveva Iran Front Page. E nel contempo trapelavano dettagli su un “firewall nazionale”, o lo scudo Dejpha, che doveva “fermare il sabotaggio attraverso malware come Stuxnet in sistemi industriali, tra cui la rete elettrica in Iran”. Secondo l’Iran, ancora nel dicembre 2018 nelle reti del Paese sarebbe stato scoperto un nuovo malware alla Stuxnet.

Ricapitolando

In uno scenario di conflittualità diplomatica e sul campo, la cyberwarfare è un elemento aggiuntivo, ed è in questi contesti che possono arrivare attacchi più avanzati, ad esempio contro sistemi industriali, come avvenuto in Ucraina fra 2015 e 2017 (e raccontato nel libro Sandworm di Andy Greenberg). Tuttavia bisogna anche stare attenti a non enfatizzare gli scenari. A raccomandare cautela è ad esempio il professore di sicurezza informatica del Polimi Stefano Zanero. “Le campagne cyber si prestano molto bene o al sabotaggio e allo spionaggio, o al supporto ad un'azione di combattimento su vasta scala (che per fortuna al momento non sembra nei piani degli attori di questo conflitto)”, commenta Zanero a Valigia Blu. “Da un lato, è ovvio che uno stato di conflitto possa innalzare il volume di attacchi informatici tra due nazioni, anche solo per effetto di azioni di hacktivism o comunque di natura personale. Dall'altro, era impensabile che la risposta iraniana ad un evento cinetico potesse essere esclusivamente o principalmente nel mondo cyber. Le motivazioni sono quelle ben delineate nel libro di Thomas Rid, Cyber war will not take place".

Se la cyberguerra non avrà luogo neanche questa volta dunque, resta la possibilità di una intensificazione della conflittualità già esistente. Infatti, come scrivevo tempo fa, l’Iran è sia un target che una minaccia. In quanto target, l’Iran è regolarmente preso di mira almeno da Stati Uniti ed Israele; come minaccia, i suoi gruppi di hacker sponsorizzati dallo Stato sono coinvolti sia in campagne di spionaggio che in campagne di malware “distruttivi”, alla Shamoon, con un forte interesse su sistemi industriali, e con target principali in Arabia Saudita, Israele, Usa. “Se guardiamo solo al comportamento di alcuni gruppi, vediamo che Oilrig ha concentrato le sue operazioni in Arabia Saudita, ma che Muddywater ha allargato al Golfo e altrove”, commenta ancora Pelliccione. “L’Iran dunque potrebbe non soltanto mirare agli Usa ma riaprire nuovi fronti verso Riad, che è un target più raggiungibile, e cercare di interferire con le attività americane in Medio Oriente”.

Restano infine hacker “patriottici” iraniani, impegnati in attività di più basso profilo come attacchi DDoS che sovraccaricano di richieste un sito per farlo andare offline e defacement, che sostituiscono l’home di un sito con una immagine. Ne abbiamo visto un po’ in questi giorni.

Ma recentemente Teheran sembra aver intensificato anche alcune operazioni di propaganda e influenza sui social. Nello scacchiere mediorientale, un altro attore molto attivo, specie sul fronte social e disinformazione, è la rivale Arabia Saudita. È dunque lecito aspettarsi un rischio per la cybersicurezza molto più elevato per tutte le organizzazioni presenti nella regione, e per alcune industrie specifiche. E una crescente difficoltà a ricavare fatti precisi (non solo chi attacca chi, ma di che tipo di attacco stiamo parlando) dalle notizie, voci e dichiarazioni che rimbalzeranno fra tutti gli attori coinvolti.

Qui per iscriversi alla Newsletter settimanale 'Guerre di Rete' curata da Carola Frediani.

Foto in anteprima via Ansa