Dopo l’uccisione del generale iraniano Qassem Soleimani da parte degli Stati Uniti lo scorso 3 Gennaio, tutti si aspettano che la ritorsione iraniana coinvolga anche il cyber.
Da diverso tempo ormai la guerra cibernetica è considerata un’arma a tutti gli effetti, da usare come risposta intermedia: quando le sole parole non bastano ma un’azione cinetica sarebbe troppo pesante. Con il valore aggiunto che in molti casi gli attacchi cibernetici possono essere nascosti, fatti passare per comune attività criminale, evitando di mettere la firma del Paese sull’azione di disturbo.
Altre volte invece gli attacchi cibernetici “aperti” sono quasi scontati, come in questo caso. L’Iran ha già detto agli USA di preparare le bare per i soldati, segno che sta organizzando una risposta cinetica. Ma poiché le attività belliche in un dominio “tradizionale” spesso generano contraccolpi anche nel dominio cyber, molti si interrogano in che modo l’Iran si vendicherà online.
Lo farà con attacchi mirati alle infrastrutture critiche, o con i più accessibili attacchi di massa? I primi sono più avanzati e richiedono generalmente una presenza già attiva ma “dormiente”, di solito appannaggio di hacker di Stato o gruppi di criminali ben organizzati. I secondi, come quello che sfruttava una vulnerabilità di Outlook per colpire chiunque non avesse il software aggiornato, sono meno sofisticati e possono essere portati avanti anche da gruppi di hacker comuni.
La tendenza dell’Iran, contrariamente ad esempio a Paesi come la Corea del Nord o la Cina, è quella di “sub-appaltare” l’offensiva cyber a gruppi di hacker affiliati. Fra quelli conosciuti almeno quattro sono degni di nota: APT33 (“Elfin”), APT34 (“OilRig)”, APT35 (“Charming Kitten”) e APT39 (“Chafer”). Ovviamente questi gruppi non disdegnano obiettivi USA, ma in genere tendono a concentrarsi su obiettivi regionali, come Israele e Arabia Saudita.
È quindi poco probabile che oggi il governo iraniano sia in possesso di qualche APT dormiente all’interno di infrastrutture critiche americane, da attivare in maniera surrettizia per mettere in atto la vendetta del regime. Se lo avessero avuto credo che lo avrebbero già fatto.
È più probabile invece che da oggi inizieranno a potenziare il “mandato” ai gruppi di hacker affiliati, magari creandone di nuovi, assegnando loro più risorse e forse qualche zero-day, al fine di intensificare la pressione su obiettivi cibernetici statunitensi.
Per ora l’unica cosa che siamo stati in grado di vedere sono alcuni defacement verso piccoli siti locali americani (sembra che molti di questi siti siano gestiti in maniera centralizzata, quindi basta usare la stessa vulnerabilità per violarli tutti) dove l’hacker – già noto per scorribande simili – ha usato l’immagine di Soleimani per veicolare un messaggio politico.
È comunque improbabile che l’autore di questi defacement sia legato direttamente al governo di Teheran, così come è altrettanto improbabile che la risposta dell’Iran all’uccisione del suo generale più importante si limiti al defacement di piccoli siti locali.