Negli ultimi anni, l’Iran ha adottato un approccio particolarmente aggressivo nel cyberspazio. Sono ormai note le numerose campagne di hacking, finalizzate principalmente allo spionaggio, riconducibili a nation-state actors iraniani. Lo sviluppo di maggiori capacità cyber potrebbe consentire all’Iran di ritagliarsi un ruolo di primo piano nello scenario internazionale. Tuttavia, la postura del governo di Teheran si scontra, inevitabilmente, con gli interessi di potenze regionali e internazionali, quali Israele e Stati Uniti.
Pierluigi Paganini è CEO di CYBHORUS, Membro del Gruppo Cyber Threat Intelligence ENISA (European Union Agency for Network and Information Security). Adjunct Professor in Cyber Security presso Università Luiss Guido Carli. Collaboratore SIPAF – Prevenzione dell’utilizzo del sistema finanziario per fini illegali – Ministero Dell’Economia e delle Finanze. Membro del Team di Ricerca del Center for Cyber Security and International Relations Studies (CCSIRS).
A fine marzo, la società di sicurezza informatica Proofpoint ha pubblicato un report in cui si rende nota una campagna di phishing (BadBlood) che ha colpito ricercatori specializzati in genetica, neurologia e oncologia con sede negli Stati Uniti e in Israele. Le attività di hacking, perpetrate nel 2020, sarebbero state attribuite al gruppo di hackers Phosphorus o TA453, che secondo molte fonti è vicino al governo iraniano e al Corpo delle Guardie rivoluzionare islamiche (IRGC). Questo collegamento sarebbe coerente, inoltre, con l’incremento delle tensioni geopolitiche tra Iran e Israele durante lo scorso anno, in particolare in seguito ai reciproci attacchi informatici che hanno colpito le infrastrutture critiche dei due Paesi. Secondo alcune attribuzioni, ancora incerte, del governo iraniano, inoltre, l’incidente avvenuto nella centrale nucleare di Natanz lo scorso 11 aprile sarebbe stato causato da un attacco informatico riconducibile al governo israeliano.
Alla luce di questi eventi, quali potrebbero essere le ripercussioni sulla stabilità internazionale e, ancor più, su quella regionale?
Innanzitutto, è necessario evidenziare come il Medio Oriente sia interessato – ormai da tempo – da un’intensa attività in ambito cibernetico. In particolare, nella regione si possono individuare molteplici attori che utilizzano lo strumento informatico, principalmente per attività di spionaggio. L’Iran, negli ultimi anni, si è distinto particolarmente. Già dal 2010, cioè dalla scoperta di Stuxnet, il governo iraniano ha acquisito consapevolezza del rischio cyber e ha adottato una serie di misure per innalzare il livello di resilienza dello Stato ad attacchi cibernetici, soprattutto mossi da nation-state actors.
Accanto a ciò, molti gruppi iraniani hanno iniziato a mettere in atto attacchi di spionaggio sia verso Paesi dell’area mediorientale, sia verso Paesi occidentali. Tipicamente, le campagne osservate hanno colpito istituzioni accademiche o gruppi di ricerca, utilizzando come vettore di attacco i social network. Questi ultimi sono utilizzati per tracciare una mappatura di interesse: i gruppi di hacker cercano di stabilire un contatto con le potenziali vittime per poi allargarsi alla rete di contatti coinvolti nei diversi progetti di ricerca, al fine di individuare e colpire le istituzioni per cui lavorano. Negli ultimi anni, sono stati individuati molteplici attori, legati al governo iraniano, particolarmente attivi. La maggior parte di questi gruppi è individuata con nomi che portano all’interno la parola “kitten”, quali Clever Kitten, Cutting Kitten, Flying Kitten. Sono gruppi impegnati in campagne di spionaggio, alcuni dei quali focalizzati sul Medio Oriente, ma che svolgono attività anche di più ampio spettro. Tra i principali obiettivi degli attacchi informatici vi è Israele, perché di fatto è uno Stato che è riconosciuto come molto vicino all’Ue e agli Stati Uniti e rappresenta una minaccia concreta per il governo di Teheran.
Vi sono stati, nel tempo, molteplici attacchi attribuiti a gruppi iraniani, perpetrati anche attraverso l’utilizzo di malware concepiti per distruggere le infrastrutture critiche portuali. Questa minaccia cyber crescente è attribuita al governo iraniano sulla base di una serie di analisi. Vengono analizzati i codici malevoli inoculati alle vittime; viene esaminata l’infrastruttura di Command and control utilizzata dai gruppi iraniani; sono studiate le tecniche, le tattiche e le procedure che, una volta inquadrate, forniscono una sorta di impronta che, con una ragionevole probabilità, permette di attribuire l’attacco a uno Stato, piuttosto che a un altro. Tuttavia, è necessario sottolineare che l’attribuzione di un attacco informatico rimane un problema di difficile risoluzione.
Come può essere interpretato il recente attacco di Natanz?
Per quanto riguarda l’incidente di Natanz, non abbiamo prove certe che sia stato causato da un attacco informatico. Quando parliamo di Natanz, si fa riferimento anche al programma nucleare iraniano di arricchimento dell’uranio. A seguito di diversi rallentamenti, proprio pochi giorni prima erano state riavviate un numero cospicuo di centrifughe all’interno della centrale nucleare.
Questa concomitanza di eventi lascia presagire, da parte di molti analisti, che gli incidenti, da ricordare quello avvenuto nello stesso sito nel luglio 2020, siano dovuti ad attacchi informatici attribuibili a Israele. Ad oggi, non ci sono prove tangibili dalle quali trarre conclusioni definitive: non sono stati divulgati codici malevoli, non sono stati dichiarati i sistemi colpiti, né è stata resa pubblica la tipologia di attacco messo in atto. Si può solo speculare che vi sia stata un’operazione simile a quella avvenuta nel caso Stuxnet. Questo perché Israele da tempo si è manifestato contrario alla politica nucleare iraniana ed è chiaro che il primo ad essere imputato sia stato proprio esso.
Laddove si accerti la responsabilità di un attacco cibernetico, non si può escludere che attori di terze parti, interessati a destabilizzare il contesto regionale, possano aver utilizzato false flag, ovvero aver emulato il comportamento dei gruppi di spionaggio israeliani, per creare ulteriori attriti tra i due Stati in un’area geografica già molto calda dal punto di vista politico e dal punto di vista cibernetico. È fondamentale – prima di poter trarre le adeguate conclusioni – valutare non solo gli aspetti tecnici, ma anche quelli politici e geopolitici.
In occasione del G7, si è affermato che, in caso di attacco, il Paese colpito deve subito condividere con la Comunità internazionale le evidenze di quanto accaduto. Affinché, così facendo, un gruppo indipendente di Stati possa valutare l’accaduto. Per fare delle valutazioni, anche nell’attribuzione di un attacco, andrebbero considerati molti aspetti, non solo quelli tecnici.
Il Medio Oriente è un’area strategica per le potenze, anche nel caso della Russia. Aree calde, in particolare dopo la caduta del regime di Saddam e poi con lo sviluppo dello Stato Islamico. La capacità di esercitare un controllo politico ed economico in queste aree da parte del Cremlino è fondamentale.
Lo strumento cibernetico si presta a queste finalità per due motivi:
- Con un attacco si potrebbe innescare la miccia della polveriera,
- Siccome molti dei Paesi della regione non hanno la capacità di individuare minacce cyber evolute da parte di grandi e medie potenze, le attività di spionaggio risultano essere molto efficaci e difficili da contrastare.
Quanto è plausibile un’escalation cibernetica in quel contesto regionale?
A mio parere, un’escalation del genere è molto probabile. Molti degli attacchi avranno una natura silente. Infatti, se le attività di criminal hacking non consistono in un sabotaggio vero e proprio, è molto difficile, per un Paese, capire che le reti sono state compromesse.
Il cyberpower permette di condurre tali operazioni senza che esse vengano attribuite a un attore specifico. La deterrenza che c’è nel nucleare, nel cyberspace si trasforma nella capacità di attaccare uno Stato in modo silente, senza che questo possa individuare con facilità il responsabile. Il fatto che vi siano delle regole d’ingaggio, che vi sia una risposta militare a un attacco cibernetico, passa necessariamente per un iter che inizia dagli ammonimenti, prevede un’escalation di sanzioni e, poi, un attacco reale. Oggi la deterrenza è caratterizzata proprio da questo approccio.
Un governo non rivendicherà mai delle azioni come rappresaglia ad attacchi cibernetici, perché qualcuno gli chiederebbe evidenze che dimostrano le attribuzioni di tali attacchi. Il problema delle attribuzioni è molto complicato e opinabile. È pressoché impossibile che uno stato rivendichi attacchi cibernetici che hanno avuto effetti disruptive su determinate infrastrutture, causando danni seri o, addirittura, morti.
Nell’ultimo anno sono aumentate notevolmente le attività di criminal hacking da parte di state-actors. Ciò è vero anche per quanto riguarda l’Iran. A settembre, gli Stati Uniti hanno imposto delle sanzioni al gruppo di hackers Advanced Persistent Threat 39 (APT39) per aver condotto una campagna di malware contro i dissidenti iraniani e contro organizzazioni di viaggio internazionali. A dicembre, il gruppo iraniano Pay2key ha dichiarato di aver compromesso le reti della società israeliana di cybersecurity Portnox e di aver avuto accesso a informazioni rilevanti. Questi eventi, insieme alla campagna BadBlood, evidenziano l’atteggiamento particolarmente ostile dell’Iran nel cyberspace.
Secondo lei, è utile il sistema delle sanzioni contro i singoli gruppi? E, inoltre, quali sono o potrebbero essere le principali misure di prevenzione e di contrasto al cyberspionaggio?
È fondamentale distinguere l’ambito geopolitico da quello tecnologico. Sono due ambiti che – in qualche modo – necessitano delle risposte differenti.
Nel contesto internazionale e geopolitico, a seguito della violazione di regole di comportamento non scritte, si può intervenire non solo con sanzioni, ma anche attraverso l’inibizione delle relazioni di un determinato paese con la comunità internazionale. Sanzionare uno Stato è utile a livello politico nella misura in cui si avverte pubblicamente quello Stato delle possibili conseguenze della sua politica aggressiva nel cyberspazio.
Sul lato geopolitico, poi, le sanzioni servono a definire un percorso che può portare anche, in ultima analisi, a un conflitto. La violazione di tali sanzioni, infatti, può non solo determinare un’escalation di attività contrarie alle norme di comportamento internazionale, ma anche giustificare, quale extrema ratio, un intervento militare.
Le sanzioni non sono efficaci, invece, dal punto di vista tecnologico, perché i gruppi di hacker continueranno a operare deliberatamente. Questo perché molto spesso è difficile perseguire tali attori, in quanto residenti in altri paesi che non ne permettono l’estradizione. In questo senso, quindi, le sanzioni sono inutili.
Dal punto di vista tecnologico si può intervenire attraverso la condivisione delle informazioni. Gli attori nation-state godono, solitamente, di risorse e capacità maggiori rispetto ai gruppi criminali. L’unico modo di fronteggiare tali attori, soprattutto quelli più evoluti, è quello di fare progressi nella condivisione di informazioni a livello internazionale e definire delle metodiche comuni che consentono ai vari gruppi di risposta agli incidenti cibernetici di prepararsi a offensive associate a uno specifico attore e neutralizzarne l’effetto negativo sulle infrastrutture nazionali.
Davide Lo Prete,
Geopolitica.info
