Iran e Arabia Saudita sono al centro di una guerra virtuale che non solo prende di mira gli interessi strategici delle nazioni, ma rischia anche di mietere vittime: il Medioriente si sta trasformando in una cyber-polveriera
Gli attacchi condotti contro le infrastrutture di nazioni rivali fanno spesso molto rumore. È il caso dei droni che il 14 settembre hanno colpito due importanti stabilimenti petroliferi di Aramco, la compagnia nazionale saudita di idrocarburi, compromettendone non solo la capacità di produzione attuale, ma soprattutto le ambizioni finanziarie (da tempo i sauditi progettano di privatizzare il 5% di un colosso da 100 miliardi di utili annui).
La rivendicazione dell’attacco è giunta dai ribelli houthi dello Yemen, ma ci sono pochi dubbi che a manovrare davvero i droni esplosivi fosse il rivale storico dell’Arabia saudita: l’Iran. E non sarebbe certo una novità, visto che sono anni che la Repubblica islamica prende di mira proprio Aramco. Solo che, almeno fino a oggi, i tentativi di boicottare la produzione petrolifera (e non solo) dell’Arabia Saudita non erano condotti con i missili, ma in maniera molto meno visibile: attraverso malware, phishing e tutte le altre armi presenti nell’arsenale iraniano per la cyberguerriglia.
Già nel 2012, gli hacker di stato iraniani si erano infiltrati nei sistemi informatici proprio di Aramco, riuscendo a cancellare una marea di file e a mandare fuori uso migliaia di computer cruciali per il funzionamento dell’azienda: uno dei colpi più duri portati dagli hacker iraniani ai suoi rivali, per il quale era stato sfruttato un malware noto come Shamoon (utilizzato in seguito anche per colpire la compagnia petrolifera del Qatar RasGas).
Da allora, per le società saudite strategiche non c’è stato praticamente un attimo di pace. Come spiega Arab News, “l’Arabia Saudita è l’obiettivo della maggior parte dei cyberattacchi di tutto il Medioriente, con oltre 160mila che ne colpiscono i server ogni giorno. Lo scopo degli attaccanti è semplice: compromettere l’economia nazionale prendendo di mira i sistemi online delle organizzazioni pubbliche e private”.
E nonostante sia quasi impossibile riuscire a fare tanti danni quanti può farne un attacco missilistico portato con l’ausilio dei droni, non bisogna neanche pensare che la cyberguerriglia possa soltanto cancellare file e mandare fuori uso qualche computer. Il caso più noto è ovviamente quello di Stuxnet del 2012, in cui l’Iran fu però la vittima di un virus – progettato dai militari statunitensi e israeliani – capace di mettere fuori uso le centrifughe della centrale nucleare di Natanz, causandone anche l’esplosione.
Il Medioriente si sta insomma trasformando in una cyber-polveriera, in cui le armi virtuali vengono usate in tutta la loro potenza, arrivando anche a mettere a rischio vite umane. Tra il giugno e l’agosto del 2017, un non meglio specificato stabilimento petrolchimico con sede sempre in Arabia Saudita venne infatti preso di mira da un malware che aveva l’obiettivo di assumere il controllo dei sistemi di sicurezza dall’impianto.
In entrambi i casi, il tentativo di intromissione del malware ha attivato i sistemi di sicurezza dello stabilimento e provocato quindi l’arresto dei macchinari, ma se l’attacco fosse andato a buon segno, le conseguenze avrebbero potuto essere molto più gravi. Stando alle indagini condotte dall’esperto di cybersicurezza Julian Gutmanis, gli hacker si sono infiltrati nel network sin dal 2014, scovando un bug nel sistema che ha consentito loro di infettarlo nel tentativo di mettere fuori uso i software di sicurezza. Dopodiché, usando altri malware, avrebbero potuto manomettere gli strumenti e innescare una situazione potenzialmente molto pericolosa.
“Nel peggiore dei casi”, ha scritto la Mit Tech Review, “il virus avrebbe potuto provocare la fuoriuscita di gas tossici come l’acido solfidrico oppure provocare esplosioni, in entrambe le situazioni mettendo a rischio sia le vite di chi lavora nello stabilimento sia di chi vive nelle vicinanze”. Un virus, chiamato Triton, in grado quindi di mietere vittime umane: un inedito nel campo della cyberguerriglia che ha fatto sì che Triton venisse battezzato il malware più pericoloso del mondo.
Il fatto che, ancora una volta, fosse stato colpito un bersaglio saudita ha fatto ricadere i sospetti di Triton direttamente sull’Iran. Sospetti mai del tutto fugati, anche se le indagini condotte dalla società di cybersicurezza FireEye hanno individuato alcuni indirizzi IP e caratteri in cirillico che sembrerebbe spostare le responsabilità di questi attacchi sulla Russia (che è comunque uno dei più fedeli alleati dell’Iran in Medioriente).
Ma è sempre l’Iran a essere sospettato di guidare il gruppo hacker che negli ultimi mesi è diventato il protagonista della cyberguerriglia mediorientale: Hexane. Per quanto non siano state mosse accuse esplicite, sia la società di cybersicurezza Dragos sia Secureworks hanno sottolineato “le somiglianze di Hexane con i gruppi hacker iraniani e l’allineamento con gli obiettivi politici strategici dell’Iran”.
Le attività di Hexane, che risalgono al 2018 ma hanno avuto un picco di attività proprio nel corso del 2019, hanno sempre lo stesso obiettivo: le aziende che operano nell’estrazione di gas e petrolio in Medioriente, in particolare in Kuwait e in Arabia Saudita. “Al momento, è ancora un’operazione di accesso”, ha spiegato Rafe Pilling, ricercatore di Secureworks. “L’obiettivo di breve termine è ottenere l’accesso all’obiettivo e mantenerlo in vita. L’obiettivo di medio termine è di spiarne le attività. Ma ovviamente tutto ciò dà il potere a chiunque ci sia dietro di compiere azioni molto più pericolose”.
Il modus operandi è quello a cui abbiamo assistito più e più volte: tentativi di phishing che prendono di mira i dipartimenti di cui è più facile ottenere gli indirizzi email (per esempio quelli delle risorse umane), con l’obiettivo di conquistare informazioni e accessi ad account che possono a loro volta essere utilizzati per risalire la catena di comando interna all’azienda, conquistando così l’accesso alle email e ai sistemi informatici del personale IT (information technology) e OT (operation technology). A quel punto, gli hacker sono in grado di infettare i sistemi, entrare in possesso di documenti riservati e quindi compromettere pesantemente l’attività dell’azienda.
Le rivelazioni sulle attività di Hexane sono parte di una più ampia ricerca condotta da Dragos, in cui si sottolinea quanto ormai è evidente: “Questi attori statali prenderanno sempre più di mira il gas e il petrolio, così come le industrie collegate, per portare avanti i loro obiettivi economici, politici e di sicurezza nazionale”.
I droni (probabilmente) iraniani che hanno colpito gli stabilimenti di Aramco conquistano le prime pagine dei giornali e hanno effetti molto più vistosi. Ma rappresentano solo la punta dell’iceberg di una guerra sotterranea e quotidiana, combattuta ogni giorno nei meandri della rete.
Potrebbe interessarti anche