Chi ha mandato in tilt il sistema ferroviario iraniano lo scorso 9 luglio? Non è stato un attacco ransomware. E non è stata opera di Israele.

Un po’ a sorpresa, verrebbe da dire guardando le recenti tendenze in Medio Oriente e in ambito di cyber-warfare. Non sempre, infatti, se la vittima è uno Stato, uno Stato è responsabile direttamente o tramite gruppi da esso sostenuto. Nel caso dell’attacco che ha paralizzato l’infrastruttura ferroviaria iraniana a inizio del mese scorso siamo davanti a un attacco (riuscito) motivato da aspetti politici. “Questo attacco specifico è stato diretto all’Iran, ma avrebbe potuto facilmente accadere a New York o a Berlino”, hanno spiegato gli esperti di Check Point Research che hanno studiato il caso.

Gli analisti della società israeliana hanno scoperto che gli attacchi all’Iran sono “tatticamente e tecnicamente simili a precedenti attività contro diverse aziende private in Siria”, a partire dal 2019. Responsabile sarebbe, dunque, un gruppo di opposizione al regime di Teheran, chiamato Indra, dal nome della divinità guerriera indù, che è “improbabile” sia gestito da un attore statuale.

Gli hacker di Indra “non hanno tentato di nascondere di essere responsabili di queste operazioni, e hanno lasciato la loro firma in più punti”, ha rivelato Check Point Research. D’altronde il gruppo si presenta così su Twitter: “Con l’obiettivo di porre fine agli orrori della [Forza Quds] (l’unità d’élite dei Pasdaran guidata fino al 2020 da Qasem Soleimani e alle dirette dipendenze della Guida suprema, ndr) e dei suoi assassini proxy nella regione!”. Tra queste, l’organizzazione sciita libanese Hezbollah e gli alleati siriani dell’Iran.

In passato, il gruppo ha messo nel mirino la società siriana Alfadelex Trading, la compagnia aerea privata Cham Wings Airlines (sotto sanzioni negli Stati Uniti con l’accusa di aver collaborato con il regime di Bashar Al Assad, con il signore della guerra libico Khalifa Haftar tramite la russa Wagner e con i Pasdaran) E le reti delle aziende petrolifere Katerji Group e Arfada Petroleum (entrambe sotto sanzioni statunitensi). Da novembre, tutti gli account di Indra tacciono: “Non siamo stati in grado di trovare prove di ulteriori operazioni fino a quest’ultima”, scrivono gli analisti.

Nel caso dell’attacco contro le ferrovie iraniane, gli hacker hanno colpito i tabelloni delle stazioni mostrando messaggi di ritardi o cancellazioni. Per ulteriori informazioni i passeggeri avrebbero potuto chiamare un numero di telefono: quello dell’ufficio dell’ayatollah Ali Khamenei.

Ci sono due lezioni da imparare da questo incidente, scrivono gli esperti. Prima: “L’anonimato è una strada a senso unico” e “una volta che lo si sacrifica” per ottenere qualche like su Twitter diventa irrecuperabile, perché “Internet ricorda” e “ti de-anonimizzerà, anche se sei un hacktivista tosto”. Seconda: “dovremmo essere più preoccupati per quegli attacchi” che appaiono possibili ma che crediamo che, in fin dei conti, “non accadranno”. Come detto, “questo attacco è avvenuto in Iran, ma il mese prossimo un attacco equivalente potrebbe essere lanciato da qualche altro gruppo che prende di mira New York, e Berlino il mese dopo ancora”, concludono. “Niente lo impedisce, tranne la pazienza, la motivazione e le risorse limitate degli attori della minaccia, che – come abbiamo chiaramente appena visto – a volte non sono poi così limitate”.