Nello spazio cibernetico le alleanze, quando ci sono, possono assumere sembianze mutevoli. E imprevedibili. A testimoniarlo ci sono i risultati di una indagine condotta congiuntamente da Regno Unito e Stati Uniti, secondo la quale il potente e pericolo collettivo russo Turla, che le intelligence delle due nazioni ritengono collegato ai servizi di sicurezza di Mosca, avrebbe violato un gruppo di hacker iraniani con l’obiettivo di condurre offensive in oltre 35 Paesi.
CHE È COSA SUCCESSO
Secondo il risultato di un’inchiesta durata due anni, condotta dal National Cyber Security Centre britannico e dalla Nsa statunitense, Turla (nota anche come Waterbug o Venomous Bear) avrebbe in pratica sottratto gli strumenti e i metodi di hacking di Oilrig, un gruppo considerato vicino al governo iraniano. E, a insaputa del collettivo di Teheran – scrive il Financial Times – li avrebbe utilizzati per colpire istituti militari, dipartimenti governativi, organizzazioni scientifiche e università in tutto il mondo, principalmente in Medio Oriente.
IL MODUS OPERANDI
Tutto ciò, hanno spiegato addetti ai lavori al quotidiano londinese, rappresenta senza dubbio un cambiamento importante nella strategia dei cyber attori malevoli come Turla, sempre più orientati a condurre, con l’intento di depistare, operazioni definite come ‘false flag’. E questo modus operandi genera ancora più confusione, anche perché, in un campo come quello informatico nel quale l’attribuzione degli attacchi è già difficile di per sé, questo tipo di azioni aggiunge ancora più complessità.
Per sottrarre le armi cyber di Oilrig, Turla avrebbe iniziato monitorando da vicino un attacco iraniano fino ad usare la stessa backdoor e ottenendo così accesso a informazioni particolari sulla violazione di una organizzazione. Da quel momento, il gruppo russo – con il quale il Cremlino smentisce di avere legami – avrebbe iniziato ad avviare i propri attacchi utilizzando l’infrastruttura e il software di comando e controllo di Oilrig, colpendo in circa 20 Paesi differenti.
I PRECEDENTI
Non è la prima volta che metodi simili vengono attribuiti a hacker russi. Lo scorso anno, secondo le agenzie di intelligence statunitensi, esperti informatici al soldo di Mosca avrebbero tentato di interrompere le Olimpiadi invernali di Pyeongchang, in Corea del Sud, usando linee di codice associate al gruppo Lazarus, ritenuto legato alla Corea del Nord.
GLI HACKER RUSSI
Washington è da tempo concentrata su questo problema. Mentre oltreoceano è ancora viva la memoria delle interferenze russe attribuite a Mosca durante Usa 2016, non è un caso che negli ultimi tempi, ha spiegato il numero uno della Cia Gina Haspel, l’agenzia, dopo essersi concentrata molto negli anni passati sulla minaccia terroristica, sia tornata a concentrare uomini e risorse per controllare le mosse di Paesi come Russia (che, secondo Washington, compone con Cina, Corea del Nord e lo stesso Iran il cosiddetto Asse del Cyber). Non solo, ma soprattutto nel quinto dominio.