La guerra tra Iran, Israele e Stati Uniti si sta combattendo non solo nei cieli del Medio Oriente, ma anche – e insistentemente – in un secondo campo di battaglia, il cyber spazio, più o meno con le stesse modalità, ovvero adottando la strategia del caos. A fare luce sulla questione è Maticmind, società italiana di di Zenita Group impegnata nella sicurezza informatica, che nel suo ultimo report ha evidenziato una crescente attività cybercriminale da parte dell’Iran: più di 600 rivendicazioni di attacco in soli 7 giorni – con un “picco operativo ha superato le cinquanta rivendicazioni giornaliere” – a opera di 47 diversi attori criminali, che hanno attaccato obiettivi sensibili in 11 diversi paesi del mondo – la società segnala anche il data center di Amazon Web Services negli Emirati Arabi Uniti, colpito da droni iraniani all’inizio del mese.
Tra questi, Israele e Stati Uniti risultano essere i più colpiti dai cyberattacchi iraniani, seguiti da Arabia Saudita, Giordania e Kuwait. Nel mirino dei criminali, però, sembrano esserci anche il Canada, “in ragione del supporto politico espresso verso Usa e Israele” e “altri paesi NATO ed europei con posizioni pubbliche allineate”.
La strategia iraniana “Jang-e-Ashub”
“Jang-e-Ashub”, Guerra e caos: questa la logica strategica che sottende alle attività cybercriminali iraniane, che non sono viste da Teheran come un’arma per vincere la guerra, quanto piuttosto come uno strumento di pressione psicologica e leva negoziale. Tutto ha inizio con una serie di “operazioni come attacchi wiper contro target israeliani o sauditi”, che servono a dimostrare la capacità di reazione dell’Iran, senza ricorrere a un’azione militare vera e propria. A queste seguono una serie di azioni mirate volte a creare una vera e propria pressione psicologica agli avversari, gonfiando la minaccia di un’azione imminente da parte dell’Iran.
Infine, per chiudere la strategia, i criminali cercano di infiltrarsi nei sistemi informatici dei paesi colpiti, al fine di assicurarsi “accessi persistenti e dormienti che costituiscono una capacità di coercizione latente”. In questo modo, tentano di portare gli avversari al tavolo delle trattative, minacciandoli direttamente dall’interno. “Per le organizzazioni europee, il messaggio è chiaro: – scrive Maticmind – il rischio primario non è il blackout immediato, ma lo spionaggio persistente (APT34, MuddyWater) e l’esposizione indiretta della supply chain cloud”.
Obiettivo: spionaggio digitale
Per quanto possa fare rumore, ora l’attività cybercriminale iraniana sembra avere un unico obiettivo: raccogliere informazioni strategiche. In più di un’occasione è stato notato che i gruppi criminali vicini a Teheran – come APT34, MuddyWater o Charming Kitt – hanno portato avanti operazioni persistenti all’interno di reti governative, energetiche e militari in numerosi Paesi del Medio Oriente, mantenendo l’accesso alle infrastrutture compromesse per mesi o anni, con l’obiettivo di acquisire dati sensibili su capacità militari, negoziati diplomatici o asset tecnologici strategici. “La Repubblica Islamica sembra privilegiare un approccio graduale, fatto di accessi silenziosi, raccolta di informazioni e costruzione di leve di pressione da utilizzare quando il contesto politico o militare lo richiede – sottolinea Maticmind -. In questo senso, il cyber iraniano appare meno come una ‘super-arma’ capace di produrre effetti spettacolari e più come uno strumento di influenza strategica”.
