La guerra cibernetica dell’Iran all’Occidente

La guerra di disinformazione e di attacchi cibernetici è più che mai in corso da parte dell’Iran, anche se l’opinione pubblica ne è scarsamente informata ed ancor meno allenata a riconoscerla.

Secondo le agenzie di intelligence e di polizia statunitensi, nonché di ricercatori indipendenti, l’Iran starebbe oggi facendo grandi campagne per influenzare le elezioni statunitensi del prossimo novembre, di intensità non inferiore a quella dei russi (https://worldview.stratfor.com/article/irans-escalating-cyber-strategy-against-west-part-1) .

La strategia informatica dell’Iran contro l'Occidente ha cinque pilastri: operazioni di influenza, campagne anti-Israele, operazioni per far fallire le iniziative avversarie, spionaggio, operazioni per mettere a tacere i critici dell’Iran. L’obbiettivo è sempre destabilizzare i sistemi economici e politici occidentali e scoraggiarne le possibili rappresaglie. Il cyberspazio è un'opzione particolarmente attraente per l’attività iraniana, perché spesso fornisce un livello di plausibile negazione di responsabilità. L'attribuzione degli attacchi informatici è spesso difficile da dimostrare con assoluta certezza. Gli iraniani spesso includono elementi di hacktivismo nelle loro campagne, per oscurare i collegamenti con il governo e fingere di operare come attori indipendenti.

In un comunicato stampa del 9 luglio 2024 l’ufficio del Direttore della National Intelligence degli Stati Uniti ha descritto in dettaglio gli sforzi iraniani per sfruttare le tensioni politiche negli Stati Uniti riguardo alla guerra in corso a Gaza, la fornitura di sostegni finanziari diretti ai manifestanti filo-palestinesi e la schermatura delle operazioni di disinformazione tramite hacker iraniani che si spacciano per attivisti online di altri paesi.

Il 9 agosto 2024 Microsoft ha pubblicato un rapporto sugli attacchi iraniani alle elezioni statunitensi attraverso vari mezzi, tra cui campagne di disinformazione potenziate dall'intelligenza artificiale e tentativi di spear-phishing contro le campagne presidenziali. Il rapporto afferma che l’attività di alcuni gruppi iraniani potrebbero costituire doxxing (diffusione non autorizzata di informazioni personali private), intimidazione e incitamento alla violenza

La campagna iraniana per le elezioni presidenziali mira a denigrare la campagna di Trump e seminare il caos. Il 19 agosto è stato confermato che il gruppo informatico Charming Kitten, che opera per lo stato iraniano, ha hackerato la campagna presidenziale di Trump. Ci sono stati tentativi iraniani di hackerare anche la campagna di Harris, oltre a grandi campagne mirate direttamente agli elettori. Il 12 agosto il Washington Post ha riferito che le e-mail di phishing alla campagna di Trump sono state inviate dall'account e-mail del fidato consigliere di Trump Roger Stone, in cui si erano infiltrati gli hacker iraniani. Oltre allo spear-phishing, gli iraniani hanno eseguito una serie di operazioni di disinformazione assumendo le vesti di attivisti politici, con la diffusione di contenuti su questioni a forte carica emotiva come le tensioni razziali, le disparità economiche, i diritti LGBTQ+. L'Iran pare abbia anche dato sostegno a un complotto per assassinare Trump e abbia organizzato e finanziato proteste pro-palestinesi, questione chiave in questo ciclo elettorale.

L’Iran colpisce costantemente entità legate a Israele, con rischio di interruzioni operative e danni alla reputazione degli enti presi di mira. Dopo il 7 ottobre ha condotto una lunga lista di attacchi informatici anche contro organizzazioni occidentali con legami con Israele o che gestiscono tecnologie realizzate in Israele, oltre ad aver sostenuto direttamente proteste e movimenti sociali pro palestinesi. Il 25 novembre un cybercriminale delle Guardie rivoluzionarie islamiche iraniane (IRGC) operante con lo pseudonimo Cyber ??Av3ngers ha attacco la Municipal Water Authority di Aliquippa in Pennsylvania ed ha preso il controllo di un dispositivo di pompaggio che regola la pressione dell'acqua per oltre 7.000 persone. Sugli schermi della Municipal Water Authority di Aliquippa è apparsa la scritta "Siete stati hackerati. Abbasso Israele. Ogni apparecchiatura 'made in Israel' è un obiettivo legale di Cyber ??Av3ngers". A dicembre 2023, Cyber ??Av3ngers ha anche preso di mira un servizio idrico nell'Irlanda occidentale che utilizza apparecchiature di fabbricazione israeliana, causando un'interruzione dell'erogazione di acqua a circa 8.000 persone. Sono stati compromessi anche i dispositivi utilizzati da una società idrica in Romania e da una fabbrica nella Repubblica Ceca, nonché il sistema di controllo di un birrificio a Pittsburgh e un sistema di controllo delle fontane di acqua minerale della Repubblica Ceca.

Gli attori informatici affiliati all'IRGC che operano sotto l’identità Cyber ??Av3ngers hanno compromesso attivamente i controllori logici programmabili (PLC) Unitronics Vision Series di fabbricazione israeliana comunemente utilizzati nei sistemi idrici e di acque reflue, nonché nei sistemi utilizzati nei settori energetico, sanitario e alimentare. Altri gruppi di hacktivisti affiliati all'Iran sono gli Haghjoan (che hanno deturpato i siti web di numerose organizzazioni statunitensi e ne hanno estratto dati), i CyberToufan (che affermano di aver violato Berkshire eSupply con sede negli Stati Uniti per il suo utilizzo di infrastrutture IT israeliane) e gli YareGomnam (gruppo di hacktivisti filo-iraniani che afferma di aver effettuato attacchi informatici alle infrastrutture statunitensi, tra cui oleodotti, reti elettriche e le telecamere a circuito chiuso di oltre 50 aeroporti statunitensi).

Le attività dell’Iran sono pervase dell'ostilità del regime verso l'Occidente, mirano a sovvertire l'ordine regionale e globale guidato dall'Occidente e sfruttano il cyber per massimizzare l’effetto e minimizzare eventuali ritorsioni. Cina e Russia condividono elementi di questa visione del mondo, ma la Russia mira le campagne informatiche più aggressive all'Ucraina, mentre la Cina ha dato priorità assoluta allo spionaggio.

Gli attacchi iraniani ai sistemi idrici sono una tattica adottata da anni. Un'incriminazione statunitense del 2016 ha portato alla luce i tentativi iraniani di entrare in una diga statunitense. Documenti trapelati dal Corpo delle guardie rivoluzionarie islamiche (IRGC) dell'Iran nel 1921 hanno rivelato ricerche su come effettuare attacchi informatici distruttivi della logistica industriale e dei sistemi di rifornimento del carburante.

Gli hackers iraniani usano anche il ransomware. A novembre 2021, l'FBI (Federal Bureau of Investigation) e la CISA (Cybersecurity and Infrastructure Security Agency), insieme all'ACSC (Australian Cyber ??Security Centre) e al NCSC (National Cyber ??Security Centre del Regno Unito) hanno emesso un avviso congiunto di attacchi iraniani con ransomware contro organizzazioni statunitensi e australiane. L’Iran utilizza spesso affiliati che offrono ransomware come servizio a terzi (RaaS).

Un avviso congiunto del 27 agosto 2024 di CISA, FBI e Cyber ??Crime Center del Dipartimento della Difesa degli Stati Uniti ha rivelato che nel mese di agosto il gruppo iraniano Pioneer Kitten ha preso di mira i settori dell'istruzione, della finanza, dell'assistenza sanitaria, della difesa e le amministrazioni locali negli Stati Uniti, in Israele, Azerbaigian ed Emirati Arabi Uniti. Gran parte di queste campagne era mirata a "ottenere e sviluppare l'accesso alla rete per fornire indicazioni utili agli attacchi da parte di agenti ransomware", bloccare le reti delle vittime ed elaborare una strategia per le estorsioni.

I cyberattacchi sostenuti dallo stato iraniano prendono spesso di mira i settori dell'aerospaziale, l'aviazione e la difesa in paesi stranieri, per raccogliere informazioni sulle capacità di difesa degli avversari. Lo spionaggio di industrie, satelliti, apparecchiature di comunicazione e strutture di governo serve all’Iran per eseguire attacchi informatici offensivi, dopo aver identificato quali tecnologie specifiche utilizzano le varie organizzazioni e averne identificato anche la potenziale vulnerabilità. Serve anche a rubare tecnologia e segreti commerciali utili per ampliare gli attacchi all’ Occidente, anche tramite i suoi ‘proxies’ in medio oriente, come Hamas, Hezbollah e gli Houthi. iniziative diplomatiche chiave e crisi con gli eserciti occidentali.

Un rapporto Microsoft pubblicato a settembre 2023 ha scoperto che l’iraniana Peach Sandstrom aveva compromesso con successo decine di entità a livello globale, esfiltrando dati da organizzazioni nei settori satellitare, della difesa e dei farmaci, con una campagna iniziata a febbraio 2023. Un rapporto del 2018 del National Counterintelligence and Security Center degli Stati Uniti sullo spionaggio economico estero nel cyberspazio ha citato numerosi esempi di agenti iraniani che hanno hackerato le reti statunitensi allo scopo di rubare software, proprietà intellettuale e altri dati da utilizzare per università iraniane, entità militari e governative, soprattutto per migliorare la tecnologia petrolchimica iraniana, le biotecnologie, l’industria di tecnologie informatiche.

Ci sono poi campagne per mettere a tacere i critici tramite intimidazioni e molestie. Queste prendono di mira sia gli espatriati dissidenti, sia cittadini e giornalisti di altri paesi. Tra i tanti esempi, a gennaio 2023 un file audio trapelato pubblicato dal servizio Voice of America Farsi ha rivelato che funzionari del governo iraniano minacciavano un'attivista iraniana che viveva in Francia, dicendo che se non avesse smesso di agire contro il regime i suoi genitori e altri membri della famiglia sarebbero stati imprigionati. Le autorità occidentali hanno scoperto e sventato complotti per rapire o addirittura uccidere giornalisti e altri individui che Teheran considera nemici del regime negli Stati Uniti e nel Regno Unito. L'Iran utilizza il targeting digitale e l'analisi del modello di vita per attirare persone fuori dai paesi occidentali verso paesi terzi in cui rapirle, come fece nell'ottobre 2020 con Ruhollah Zam, che dirigeva un'agenzia di stampa dissidente, il quale fu attirato fuori dalla Francia in Iraq, dove fu catturato e poi ucciso. Il 10 agosto 2023 l'agenzia di intelligence interna tedesca ha allertato i dissidenti iraniani in Germania del pericolo di essere nel mirino del gruppo di cyberspionaggio Charming Kitten. Allerte simili sono state lanciate subito dopo anche dalle agenzie di intelligence della Nuova Zelanda.