la-repubblica-it-logo

Iran vs Usa, la cyberguerra è solo agli inizi

Attaccate banche iraniane e siti governativi americani. Mentre decelera l’escalation militare, la guerra fredda cibernetica sta diventando calda a colpi di DDoS e defacement. Cosa è accaduto finora e cosa potrebbe accadere

di ARTURO DI CORINTO per La Repubblica del 9 Gennaio 2019

LA BANCA iraniana Sepah ieri è stata sotto attacco per diverse ore. A causa di un DDoS, un attacco da negazione di serivizio in gergo informatico, un attacco condotto per fare collassare il sito web bersaglio di innumerevoli richieste di accesso da parte di un’orda di computer zombie, una botnet, precedentemente infettati e comandati da remoto. Autore dell’attacco sarebbe il gruppo Prizraky, che dalle verifiche di Repubblica rimanda a un sedicenne brasiliano pro-Trump che in chat ha dichiarato di essere un simpatizzante del presidente Bolsonaro e che con questa sua azione ha voluto dimostrare che “se gli americani devono temere attacchi dall’Iran, anche l’Iran deve temere attacchi cibernetici nei suoi confronti”. Mentre scriviamo il sito web della banca è ancora irraggiungibile dall’Italia. Ma potrebbe semplicemente aver alzato le difese deviando il traffico straniero per proteggersi. In ogni caso siamo dinanzi a un segnale da non sottovalutare affatto. Che succederebbe se sull’onda dell’emozione ogni hacker in erba cominciasse la sua cyberguerriglia personale?

Gli analisti concordano tutti che l’Iran non ha le capacità offensive di Russia e Cina, e che una guerra aperta nel cyberspace vedrebbe gli iraniani soccombere, come era già successo con Stuxnet, il virus israelo-americano usato per bloccare le centrifughe per l’arrichimento dell’uranio nel 2010 e pure pochi mesi fa quando gli Usa avevano attaccato i sistemi di gestione dei droni iraniani. Ma, come ricorda il DHS, nel passato gli hacker di stato iraniani avevano colpito duro, mettendo fuori servizio 30 mila stazioni di benzina della Saudi-Aramco con il virus Shamoon; cancellato i dati del casinò Sands di Las Vegas, e attaccato con successo il Nasdaq e il settore bancario Usa e circa 100 università. In un caso erano riusciti a penetrare nel sistema di gestione della diga di New York, il cui colpevole, iraniano, è stato processato.

E in effetti i timori maggiori non sono per quello che sta già accadendo ma per quello che potrebbe accadere “nei settori della difesa, della finanza, dell’energia e dei trasporti” perché i cybergruppi  iraniani “useranno i network che hanno gia compromesso durante attività spionistiche per realizzare nuovi attacchi” sia contro bersagli americani che alleati nel golfo persico, dicono gli esperti. Come Mike Beck di Darktrace secondo cui “La minaccia alle infrastrutture nazionali critiche oggi è più grave che mai. Gruppi sofisticati utilizzano software avanzati in grado di passare sotto i radar dei tradizionali controlli di sicurezza e di impiantarsi nel cuore dei sistemi critici.”

Iran vs Usa, la cyberguerra è solo agli inizi

Motivo per cui la Cisa consiglia tutti di fare attenzione alle email, agli allegati, alle password, a ogni comportamento anomalo dei sistemi informatici. Soprattutto nei settori gestiti dagli ICS/Scada, i controlli industriali che, comandati da software aprono le valvole del gas e i rubinetti dell’acqua o comandano dispositivi idraulici e meccanici nella produzione di cibo e farmaci o nel trattamento dei rifiuti. La raccomandazione è di prestare attenzione nelle ore “più strane”, come di notte. Nel passato hacker islamici sono stati scoperti perché attivi durante le ore d’ufficio a Teheran. Era successo lo stesso con i russi responsabili dell’hacking del Comitato elettorale democratico (DNCleaks).

A suonare l’allarme è Chris Krebs, direttore della Cisa secondo cui gli attaccanti legati all’Iran usano dei wiper sempre più distruttivi per cancellare dati dai computer chiarendo che “Quello che sembra il semplice furto di un’email può essere il primo passo della compromissione di un intero network.” Oppure nelle parole di Joe Loveless della Neustar: “gli attacchi DDoS sono spesso un diversivo per l’inezione di malware”. D’accordo con loro anche gli analisti della Brookings Institutions: la paura è che l’Iran stia solo testando le difese americane.

Altro segnale da non sottovalutare: in questi giorni abbiamo assistito a un picco nell’uso di Tor, la darknet protetta dalla crittografia, proprio dall’Iran, con il 70% di accessi rispetto al 3% di accessi dagli States.