Attacchi hacker aumentati del 700%. Tra Iran e Israele è anche guerra cyber

È una guerra silenziosa. Che si muove spesso in parallelo. Ma c’è e fa danni, anche se spesso in caso di guerra guerreggiata diventa quasi un rumore di fondo. Dal 12 giugno ad oggi sono aumentati del 700% gli attacchi informatici a Israele da parte di hacker iraniani.

Lo ha registrato la società di sicurezza informatica Radware che tiene conto degli attacchi registrati da Israele. Ma è certo che anche la cybersicurezza israeliana stia aumentando i suoi tentativi di violazione di sistemi informatici iraniani, alla stessa maniera, con la stessa intensità.

L’aumento degli attacchi informatici da parte dell’Iran

In queste ore si sta assistendo a una significativa escalation negli attacchi informatici. Radware ha registrato attacchi soprattutto alle infrastrutture. E prevede che aumenteranno nei prossimi giorni. Complice la buona preparazione tecnica degli informatici iraniani. Che da anni mirano alle infrastrutture di Israele al fine di bloccare la fornitura di servizi e creare pressione psicologica sulla popolazione.

Ma se il 12 giugno ha rappresentato l’inizio della guerra cinetica tra Iran e Israele, la guerra cyber in realtà va avanti da molto più tempo. Intermittente, perlomeno finora. Ma presente. Probabilmente è il conflitto informatico più lungo e antico della storia di Internet. Risale ai tempi di Stuxnet, considerato il primo malware, la prima cyber arma della storia e raccontato dalla società di sicurezza Fortinet come l’inizio di ogni operazione militare nel cyberspazio.

Storia di Stuxnet, l’inizio della guerra cyber tra Israele e Iran

Creato da Israele, con il supporto degli Usa, la sua creazione è fatta risalire ai primi anni 2000, tra il 2007 e il 2010 ha attaccato le strutture nucleari iraniane. Un sabotaggio silenzioso. Avvenuto tramite chiavetta Usb grazie ad agenti infiltrati israeliani o a ignari dipendenti delle centrali con cui erano entrati in contatto nei giorni precedenti. Fu in grado di distruggere centinaia di centrifughe nucleari (1.200) alterandone il funzionamento; infettare migliaia di computer; mettere in ginocchio la centrale di Natanz, in Iran, mandando in fumo decenni di sviluppi. Il 20% delle centrifughe fu messo fuori uso, ricorda un report sulla guerra cyber di Fortinet.

L’Iran da allora si è organizzato. Sono decine i gruppi di criminali informatici più o meno legato al regime degli Ayatollah nati negli anni e attivi in diversi ambiti, con diverse tecniche di attacco. Uno in particolare ha fatto parlare di sé negli ultimi mesi. CyberAv3ngers, nell'ultimo anno e mezzo, ha dimostrato di essere il gruppo più attivo del governo iraniano, focalizzato sui sistemi di controllo industriale.

Gruppi di informatici e attaccanti filo iraniani, una rete

I suoi obiettivi sono soprattutto le infrastrutture: acqua, acque reflue, petrolio e gas e molti altri tipi di infrastrutture critiche. E uno degli obiettivi primari di questa guerra (da ambo le parti) è proprio colpire le infrastrutture energetiche. E l’energia è un punto debole di Israele, perché deve totalmente importarla. Non a caso sabato sera i missili iraniani hanno preso di mira la raffineria di Haifa, causando però pochi danni.

Nonostante sia gestito da membri del Corpo delle Guardie Rivoluzionarie iraniane, secondo i funzionari statunitensi che hanno offerto una taglia di 10 milioni di dollari per le informazioni che porteranno al loro arresto, il gruppo ha inizialmente assunto l'aspetto di una campagna "hacktivista". CyberAv3ngers ha rivendicato apertamente in questi mesi operazioni che hanno preso di mira Israele e i prodotti tecnologici israeliani. Ma ha anche ampliato la sua lista di obiettivi includendo una varietà di altri dispositivi e reti, tra cui un'azienda statunitense di petrolio e gas e una vasta gamma di sistemi di controllo industriale in tutto il mondo, come si legge in un report dell’America Cyber Defense Agency.

Hacktivisti o militari?

"Fanno finta di essere hacktivisti, ma in realtà non lo sono. Si tratta di un gruppo sponsorizzato dallo Stato. Hanno finanziamenti e strumenti", ha detto a Wired Kyle O'Meara, ricercatore di intelligence sulle minacce presso l'azienda di sicurezza informatica dei sistemi di controllo industriale Dragos. "Hanno sicuramente la capacità, l'intenzione e l'interesse di imparare a mettere fuori uso le infrastrutture, e potenzialmente causare danni".

Sebbene CyberAv3ngers fosse attivo già nel 2020, è salito alla ribalta per la prima volta nel novembre 2023, dopo che Hamas ha lanciato l'attacco del 7 ottobre che ha ucciso più di 1.200 persone e Israele ha risposto con un'invasione di terra e una campagna di bombardamenti che da allora ha ucciso più di 50.000 palestinesi. Un mese dopo l'inizio della guerra, gli hacker hanno avuto accesso a più di 100 dispositivi venduti dall'azienda israeliana Unitronics, sistemi di controllo industriali comunemente utilizzati nei servizi idrici e negli impianti di depurazione, riporta sempre Wired. "Ogni apparecchiatura 'Made In Israel' è un obiettivo legale dei Cyber Av3ngers!", si legge in un post dell'account X del gruppo.

Attacchi Ddos, alle infrastrutture, ai dati: cosa cercano gli iraniani

Av3ngers non è l’unico gruppo hacker iraniano, vicino o in qualche modo supportato dallo stato. Diversi report negli ultimi anni hanno provato a fare chiarezza sulla galassia di collettivi che ruotano intorno alla difesa iraniana. Sono diversi gruppi che ricadono sotto il nome di APT (Advanced Persisten Threat), sigla seguita da numeri: APT 33, 34, 35.

Collegati o finanziati dallo stato iraniano, dal ministero dell’Intelligence, con obiettivi diversi: attacchi a stati nemici, spionaggio di attivisti politici, giornalisti, docenti universitari ritenuti dissidenti. Ci sono gruppi specializzati in attacchi DDos, come Altahrea Team. O Cyber Toufan (tempesta cyber), Iranian Cyber Army, più specializzati in campagne di attacco a siti per rubare dati.

Ma come ha fatto l’Iran a diventare così preparata negli anni? Qui gli analisti si concentrano su due aspetti. Il primo riguarda il supporto avuto dopo il caso Stuxnet da parte di Russia, Cina e Corea del Nord con una partnership che va avanti dal 2012. La Russia avrebbe dato competenze su malware e sorveglianza, la Cina soprattutto hardware e sistemi di censura online, la Corea del Nord competenze in campo militari.

Il secondo riguarda la formazione e il reclutamento sul territorio di competenze e talenti. Università e poli tecnologici affiliati ai Pasdaran, viene spiegato, sono le principali fonti di talenti. Ciò avrebbe contribuito in modo determinante allo sviluppo di tecniche d’avanguardia.

Sebbene l’Iran non raggiunga i livelli di Russia e Cina, per non parlare di Usa e Israele, la strada percorsa negli ultimi 15 anni nel campo della sicurezza informatica la pongono tra le nazioni più avanzate al mondo.