Il governo di Teheran usa hacker al proprio servizio per ottenere informazioni sui rifugiati iraniani in vari Paesi del mondo utilizzando la spear phishing e altre tecniche di sabotaggio/attacco cibernetico. È noto che l’attività di cyber spionaggio iraniana è piuttosto spinta, si sta allargando all’estero, ed è molto intensa in casa, dove in molti tra coloro che si oppongono al governo, che siano attivisti, giornalisti, o semplici cittadini che si scambiano messaggi su Telegram,WhatsApp, Viber, hanno avuto i computer attaccati da spyware, ossia i software spia.

LA RICERCA

A testimoniarlo una ricerca presentata pochi giorni fa al “Black Hat”, conferenza sulla sicurezza informatica svoltasi a Las Vegas. Lo studio, dal titolo “Iran and the Soft War for Internet Dominance“, ha permesso di rintracciare circa 300 singoli attacchi di hacker contro avvisti iraniani anche fuggiti all’estero, ed è stato curato dal tecnologo di Amnesty International Claudio Guarnieri (su Twitter è @botherder) e dal ricercatore indipendente in materia di sicurezza Collin Anderson (@CDA). Formiche.net ha raggiunto via Twitter Guarnieri, ricercatore italiano all’Università di Toronto (Citizen Lab), specializzato nella sicurezza informatica e nella sorveglianza digitale, membro dell’Honeynet Project ed inoltre fellow al Centre for Internet and Human Rights (Forbes l’ha inserito nell’elenco 2016 dei “30 under 30” più influenti). Da cosa nasce “Iran and the Soft War for Internet Dominance”? “E’ parte di un lavoro più largo di ricerca, investigazione, ed analisi sul ruolo di attaccanti in linea con interessi politici dello stato iraniano, in particolare nel monitorare e reprimere dissenso politico e campagne su diritti umani e diritti delle donne. È un lavoro di ricerca che stiamo seguendo da diversi anni ormai e altri studi ci saranno in futuro (un progetto di ricerca più ampio sarà pubblicato entro la fine dell’anno dal think tank di Washington Carnegie Endowment for International Peace. ndr). Raccogliamo dati e testimonianze a cui affianchiamo nostre investigazioni tecniche utili a corroborare prove di attacchi contro giornalisti, dissidenti, ed attivisti, sia dentro che fuori l’Iran”.

IL FUNZIONAMENTO

Come funziona, in termini pratici, il meccanismo di intrusione/spionaggio? “Le tattiche utilizzate sono diverse. Comunemente gli attaccanti forgiano delle email che possano solleticare un particolare interesse della vittima, e che possa convincerla a commettere un errore. Che sia aprire un indirizzo web, o aprire un allegato, lo scopo è generalmente compromettere il computer o il telefono ed infettarli con un agente che fornisca completo controllo all’attaccante. Fatto questo, gli attaccanti collezionano quanto possibile per scoprire dettagli sulle attività e sui contatti delle vittime sotto il loro controllo”. Gli hacker ricorrono spesso all tecnica nota come spear phishing: una mail viene inviata all’indirizzo di posta elettronica da attaccare, solitamente camuffata con un’estetica credibile. Per esempio, un rifugiato politico potrebbe ricevere una mail dell’ufficio immigrazione, o quello dell’ufficio Cia per i rifugiati, che richiede dati da inserire seguendo un determinato link, il quale una volta aperto permette allo spyware di penetrare nel computer da infettare e iniziare a spiarne i dati. Un gruppo di pirati informatici che Guarnieri e Anderson hanno soprannominato “Sima” è stato piuttosto attivo da questo punto di vista nel marzo del 2016, facendo registrare ultimamente progressi tecnologici piuttosto importanti rispetto ai primi tentativi più grezzi tentati tre anni fa. In un’operazione analoga, alcuni attivisti per i diritti umani iraniani si sono visti arrivare una mail da un indirizzo fasullo ma apparentemente intestato a Peter Bouckaert, famoso nel settore dell’attivismo (scrive anche per Foreign Policy): nel contenuto si linkava una ricerca su afgani inviati dall’Iran a combattere in Siria, una realtà non di certo inventata, ma seguendo il collegamento per leggere lo studio si apriva la porta al malware. Un altro gruppo di hacker iraniani, soprannominato dai due autori “Cleaver” ha fatto irruzione nel sito web dell’Università di Navarra in Spagna e ha creato un webinar su questioni relative ai diritti umani in Medio Oriente: attraverso il link per i partecipanti venivano sottratti i dati degli stessi.

IL CONTROLLO SULLE PERSONE

Le prove sul coinvolgimento dell’Iran sono circostanziali, ma perché avete pochi dubbi sul fatto che sia Teheran a ordinare queste intrusioni?  “La situazione politica in Iran – risponde Guarnieri – è complessa, e diverse forze operano al suo interno. Non abbiamo dubbi che gli attacchi che abbiamo documentato provengano dall’Iran, ma in termini tecnici, non puoi mai avere prove sufficienti per incolpare nessuno nello specifico. Per quanto mi riguarda, il fatto che dissidenti ed attivisti siano attaccati e monitorati ovviamente per interessi politici racconta una storia già sufficientemente solida”. Qual è il valore politico-sociale di questo genere di spionaggio? “Quando hai controllo su persone attive politicamente e socialmente, poter sapere in anticipo quale siano i loro intenti e con chi si stiano coordinando, fornisce un enorme vantaggio tattico nel poter sopprimere certe attività o movimenti sul nascere”. Il consenso della leadership di Teheran si basa molto sulla repressione del dissenso e delle opposizioni e sul controllo della popolazione: l’Iran non è nuova a campagne per dare la caccia ai rifugiati politici, fuggiti dal paese perché in contrapposizione al potere locale. Questa settimana a Lecco è stato arrestato, poi liberato venerdì 12 agosto, un iraniano di nome Mehdi Khosravi: la questura ha eseguito il fermo in ottemperanza a un mandato Interpol caricato dalla Repubblica islamica nel 2009, ma poi si è scoperto che l’uomo era un rifugiato politico, su cui ha speso parole anche il figlio dello scià di Persia Reza Palhavi, chiedendo all’Itala di non eseguire l’estradizione di quello che ha definito essere “un attivista per diritti umani e per la democrazia” fuggito dall’Iran dopo la repressione dei partecipanti al Moviemnto Verde del 2009 e ricercato dal governo per il suo impegno politico nell’opposizione. Il consorzio di giornalisti investigativi ICIJ ha già denunciato in passato come l’Iran abusi delle procedure Interpol (nel caso l’accusa per cui era richiesto il procedimento di cattura internazionale era di corruzione) per dare la caccia a oppositori politici e attivisti per i diritti. Se fosse stato estradato avrebbe rischiato una sorte simile a quella di Rasoul Mazraeh, attivista rifugiato anch’egli ma riconsegnato nel 2006 attraverso i siriani a Teheran, dove è stato imprigionato, soggetto a due anni di torture, prima di essere giustiziato.