Dopo l’entrata in vigore della seconda tranche delle sanzioni Usa contro l’Iran, gli esperti di sicurezza americani temono che gli hacker al servizio di Teheran si stiano preparando ad attaccare le compagnie petrolifere occidentali e del Golfo come gesto di rappresaglia.

I MOVIMENTI IRANIANI

In particolare, rileva FireEye – una delle società di sicurezza statunitensi che osserva con maggiore attenzione le mosse del Paese nel cyber spazio -, un gruppo di hacker denominato Apt33 starebbe già conducendo da settembre una sofisticata campagna di phishing propedeutica a offensive contro aziende del settore oil&gas, ma anche assicurativo e manifatturiero. Per stabilire la provenienza di questi attacchi e, dunque, la loro attribuzione, gli esperti si sono basati su alcuni segnali considerati spie abbastanza attendibili, come l’uso di società di hosting iraniane e il ritrovamento di collegamenti con istituti collegati con il regime degli Ayatollah.

I PRECEDENTI

Manovre di questo tipo, sottolineano gli esperti della compagnia di cyber security, riportano alla mente la campagna iraniana contro il colosso energetico di Riad Saudi Aramco, che nel 2012 aveva visto distrutti migliaia di dati sensibili (un attacco ripetuto con un virus aggiornato nel 2016). Sempre nel 2012, inoltre, i presunti hacker di Teheran condussero un’azione simile contro il produttore gas naturale del Qatar RasGas. Ma gli episodi sono molteplici e riguardano anche tecniche di disinformazione.

OIL&GAS NEL MIRINO

Gli stessi Usa, secondo FireEye, potrebbero affrontare una nuova ondata di attacchi cyber a seguito delle nuove sanzioni contro Teheran, che accompagnano il ritiro americano dal Joint Comprehensive Plan of Action (l’accordo sul programma nucleare iraniano). D’altronde è la stessa National Cyber Strategy americana a indicare Teheran come una delle principali minacce alla sicurezza nazionale in chiave informatica. Tuttavia, secondo gli esperti, sono le imprese dei Paesi del Golfo, in larga parte comunque alleati di Washington o di suoi partner occidentali, a sembrare quelle più a rischio in questo momento per quanto concerne attacchi informatici provenienti da Teheran, in particolare le aziende legate all’industria petrolifera. Questa minaccia geopolitica si somma, infatti, a un interesse comunque stabile, da parte dei cyber criminali, nei confronti di un’industria così ricca. Si stima, a tal proposito, che oltre il 40% delle imprese del Golfo avrebbe subito almeno una violazione nell’ultimo anno (una cifra che rappresenta un +10% più rispetto al 2016).

DIFESE DA MIGLIORARE

C’è poi un dato tecnologico. Gli alleati nel Golfo sembrano essere target più probabili a causa delle loro difese informatiche ancora mediamente carenti, nonostante molti investimenti siano attesi. Con la crescente digitalizzazione dei Paesi del Gulf Cooperation Council, evidenzia l’Economist Intelligence Unit, i servizi online di business e di governo nella regione sono diventati intrinsecamente più vulnerabili agli attacchi informatici. Nella maggior parte degli Stati membri, infatti, gli sforzi di digitalizzazione non sarebbero stati sufficienti per affrontare il numero crescente e la frequenza degli attacchi informatici. Questo vale soprattutto per l’Arabia Saudita, che non sembra essersi adeguata agli standard globali per la sicurezza informatica.
Alcuni rapporti hanno infatti individuato ingenti perdite per le aziende in Medio Oriente quest’anno: tra questi, un’indagine di PwC, una di Siemens e una dell’Istituto Ponemon, che hanno stimato un impatto finanziario dei cyber attacchi nel Golfo di circa un miliardo l’anno.

LE ACCUSE DI TEHERAN

Nel frattempo, però, Teheran non ci tiene a passare per l’unico attore che utilizza il cyber spazio per difesa dei suoi interessi strategici e, per questo, ribalta le accuse. Secondo il governo iraniano, che ha denunciato la cosa anche attraverso una serie di tweet del ministro degli Esteri Javad Zarif, le reti strategiche e infrastrutturali del Paese sarebbero cadute negli ultimi giorni sotto un esteso attacco informatico. Zarif ha attribuito la responsabilità dell’offensiva a Israele, Paese considerato nemico da Teheran oltre che quello che più di altri si è opposto con forza all’accordo sul nucleare. I media vicini alla Repubblica Islamica hanno paragonato l’ultimo attacco subito al celebre Stuxnet – il virus creato e diffuso dagli Usa in collaborazione con Israele – che sabotò la centrale nucleare iraniana di Natanz disabilitandone le centrifughe, impedendo la rilevazione dei malfunzionamenti e della presenza del virus stesso.
Ma gli esperti di sicurezza non sono concordi su questa ipotesi, anzi, ritengono questa interpretazione un tentativo per incolpare Israele, perché quest’ultima, in caso di offensiva, difficilmente avrebbe usato un malware già così riconoscibile dagli iraniani. Più probabile, invece, che si tratti dell’ennesimo tentativo di depistaggio, molto comune nel cyber spazio.