L’Iran intensifica la sua cyberwar
Cyber

L’Iran intensifica la sua cyberwar

Diversi segnali dal Medio Oriente indicano un’escalation delle attività di cyberwar da parte dell’Iran.

Dopo che nel 2012 hacker apparentemente iraniani hanno attaccato il gigante petrolifero Saudi Aramco con il malware Shamoon, distruggendo gli hard disk di decine di migliaia computer (tre quarti del totale) dell’azienda saudita, nuove versioni del malware sono state scoperte alla fine dell’anno scorso e all’inizio di quest’anno, aventi come obiettivo sempre computer statali dell’Arabia Saudita o di aziende a essa collegate.

Già due anni fa era stato registrato un incremento del 1200% delle spese di cyberwar iraniane, e sempre in questi anni sono stati notati numerosi attacchi a istituzioni finanziarie americane e addirittura contro il personale della Casa Bianca apparentemente orchestrati dall’Iran. Ma non sono solo Stati Uniti e Arabia Saudita nel mirino degli hacker rivoluzionari, anche la più grande azienda produttrice di gas naturale liquefatto, in Qatar, era caduta vittima dello stesso malware, che in quel caso però non riuscì a interferire con le operazioni.

Recentemente, oltre allo Shamoon 2, sono stati registrati altri attacchi contro aziende energetiche, tecnologiche e istituzioni governative – soprattutto saudite – a opera del gruppo di hacker che la Unit 42 di Palo Alto Networks chiama Magic Hound, forse a sua volta collegato al gruppo di cyber-spie iraniane noto come Rocket Kitten.

Gli attacchi avvengono in maniera molto simile, con azioni di spear-phishing che inducono ad aprire dei file Office contenenti script powershell, che consentirebbero a loro volta di prendere il controllo del PC e infiltrare malware nelle reti aziendali.

Per le attività ostili – ovviamente non solo cyber – contro i vicini nella regione, gli Stati Uniti hanno “avvisato” ufficialmente l’Iran a cambiare registro, a farlo è stato Michael Flynn, già direttore della Defense Intelligence Agency e oggi consigliere per la sicurezza nazionale di Donald Trump.

Già anni fa si parlava dell’Iran come quinta potenza cyber al mondo, aiutata tecnologicamente forse dalla Russia, ma sicuramente spronata dagli attacchi Stuxnet. Oggi sembra che gli hacker-pasdaran abbiano tutta l’intenzione di scalare la classifica.

Fonti:
http://www.reuters.com/article/us-saudi-cyber-idUSKBN1571ZR

https://www.wired.com/2012/08/hack-attack-strikes-rasgas/

http://freebeacon.com/national-security/iran-renews-destructive-cyber-attacks-saudi-arabia/

https://www.cyberdifesa.it/iran-il-budget-la-cyber-difesa-aumenta-del-1200/

https://www.theatlantic.com/international/archive/2015/11/iran-irgc-hack-white-house/414475/

https://securityintelligence.com/the-full-shamoon-how-the-devastating-malware-was-inserted-into-networks/

http://researchcenter.paloaltonetworks.com/2017/02/unit42-magic-hound-campaign-attacks-saudi-targets/

https://www.hackread.com/saudi-iran-proxy-wars-cyber-attacks/

http://www.darkreading.com/threat-intelligence/iran-intensifies-its-cyberattack-activity/d/d-id/1328189

https://www.theguardian.com/world/2017/feb/01/iran-trump-michael-flynn-on-notice

Luca Sambucci

Luca Sambucci lavora nel settore della sicurezza informatica dal 1991, occupandosi di malware e sistemi di difesa informatica. È stato consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti e ha collaborato sui medesimi temi con Telespazio (gruppo Finmeccanica) e Fondazione Ugo Bordoni. Si occupa di nuove tecnologie, malware e cyber warfare, è risk analyst certificato NSA e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. È Operations Manager di ESET Italia.