Analisi – L’attacco condotto da un gruppo hacker libanese tra il 2015 e 2020 ha evidenziato un elevato grado di sofisticazione e non poche connessioni con Hezbollah. Lo studio dell’attacco hacker unito all’analisi della cyber strategy iraniana hanno posto le basi per la teorizzazione di un modello strategico che unisce guerra per procura e cyberwarfare.
L’ATTACCO
In un rapporto del 28 gennaio 2021 la società di sicurezza informatica Clearsky ha rivelato l’esistenza di attività cibernetiche sospette in 250 aziende risalenti all’inizio del 2020. Questi sono stati valutati come evidenti indicatori di un attacco informatico su scala globale. L’analisi degli strumenti utilizzati e della tipologia di attività rilevate hanno reso possibile il riconoscimento dell’autore di quest’attacco: Volatile o Lebanese Cedar. Volatile Cedar è un gruppo APT (Advanced Persistent Threat) libanese già noto agli analisti di Check-point (2012) e Kaspersky lab (2015). Secondo la reportistica di Clearsky, Volatile Cedar risulterebbe essere un gruppo hacker legato bilateralmente sia al Governo libanese che a Hezbollah. Il gruppo libanese, infatti, opera a tutti gli effetti come una cyber proxy di Hezbollah, che a sua volta è una delle più importanti proxy iraniane. Per capire quali ruoli assumono attori come Volatile Cedar all’interno della cyber strategy iraniana è opportuno soffermarsi sulla natura dell’attacco compiuto, nello specifico su tre categorie: tipologia di attacco, strumenti utilizzati e scelta dei bersagli. L’attacco si sostanziava in un’operazione di spionaggio globale districata in tre fasi e compreso in un arco temporale di 5 anni, dal 2015 al 2020. Le fasi dell’attacco ricostruite da Clearsky sono:
- Reconnaissance: la prima fase, prevedeva lo sfruttamento delle vulnerabilità di Oracle e Atlassian, entrambi server provider, per poter successivamente penetrare i bersagli veri e propri. I server provider sono stati attaccati con modalità brute force utilizzando strumenti informatici reperiti in open source.
- Delivery & Exploitation: una volta penetrati i server provider gli hacker hanno sfruttato vulnerabilità “pubblicamente ammesse” e non ancora risolte dai service provider, le cosiddette 1Day, per poter ingaggiare i bersagli dell’attacco. In questo modo la loro penetrazione sarebbe risultata molto meno evidente.
- Installation and C2: la terza ed ultima fase dell’attacco è stata implementata installando i malware all’interno dei bersagli, attivando il sistema di comando e controllo e infine esfiltrando i dati di valore.
Nella terza fase dell’attacco emerge chiaramente l’arsenale cibernetico (hacking tools) utilizzato, il quale a sua volta ha reso evidente l’attribuzione dell’attacco a Volatile Cedar. L’arsenale di Lebanese Cedar era appunto costituito da web-shell multiple alcune delle quali sviluppate da gruppi di hacktivisti iraniani tra cui ITSecTeam e Persian Hacker, un RAT (Remote Access Trojan) elaborato su misura dalla stessa APT e infine una serie di strumenti reperiti in open source.
Embed from Getty ImagesFig. 1 – Manifestanti libanesi legati ad Hezbollah
LA CYBER STRATEGY IRANIANA
Oltre che confermare l’affiliazione all’Iran (o quantomeno alle sue proxy), l’arsenale cibernetico evidenzia un grado di sofisticazione non indifferente. Questo era stato progettato per infettare le reti bersaglio, muoversi lateralmente all’interno di esse ed esfiltrare quante più informazioni possibili. Nello specifico i principali target dell’attacco sono state aziende private e semigovernative di telecomunicazioni, IT e fornitori di hosting di diversi Paesi, tra cui USA, Regno Unito, Egitto, Arabia Saudita, Giordania, Emirati Arabi e Israele. Gli asset bersagliati e la loro collocazione strategica fanno ipotizzare come l’intero attacco hacker fosse rivolto ai principali avversari geopolitici dell’Iran.
Nel contesto interpretativo della guerra ibrida emerge come la cyber strategy adottata dalle forze iraniane integri in unica formula i concetti della guerra per procura e della guerra cibernetica. In particolare l’approccio iraniano nell’utilizzo delle proxy cibernetiche risponde all’esigenza strategica di colpire ove possibile e lasciare meno tracce possibili. L’impiego diretto delle proprie risorse cibernetiche, come la divisione cyber dei Pasdaran (Corpo delle Guardie della Rivoluzione Islamica), in determinati casi potrebbe essere troppo rischiosa: per questa ragione l’attacco condotto da Volatile Cedar diventa un caso studio fondamentale per comprendere la cyber strategy iraniana e come abbia affrontato la problematica dell’attribuzione. La recente scoperta del gruppo APT libanese mostra come l’Iran sostenga (e controlli) gruppi hacktivisti ridistribuendo tatticamente le risorse di altri gruppi hacker più vicini al regime (come ITSecTeam, Persian Hacker e Irainian Cyber Army) e sfrutti le strutture organizzative delle classiche proxy, in questo caso specifico Hezbollah, per condurre attacchi su scala globale senza dover impiegare direttamente le proprie forze. Con questa modalità i singoli gruppi APT una volta provvisti delle risorse adeguate sono in grado di scatenare attacchi cibernetici e massicce operazioni di spionaggio proiettando la forza iraniana oltre le zone di influenza regionali e permettendo l’acquisizione di vantaggi strategici contro nemici vicini e lontani.
Fig. 2 – Infografica relativa all’apparato Cyber Proxy iraniano | Autore: Federico Borgonovo
L’APPARATO CYBER-PROXY
Questa tipologia di approccio è funzionale alla cyber strategy iraniana per tre ragioni fondamentali.
- In primis, come già illustrato, garantisce all’Iran un certo grado di invisibilità internazionale non essendo direttamente coinvolto in operazioni cibernetiche di ampia portata.
- In secondo luogo, fornisce all’Iran il vantaggio della ridondanza strategica, in altre parole, ogniqualvolta deciderà di attaccare la direzione strategica iraniana potrà scegliere tra una moltitudine di gruppi hacker più o meno legati al proprio regime, scegliendo in base a quante e quali risorse impiegare per colpire un determinato bersaglio.
- Infine, l’uso delle cyber proxy consente all’Iran di raggiungere in tempi relativamente brevi gli obiettivi della propria cyber strategy, saldamente imperniata sul furto di proprietà intellettuale, operazioni di infowar ideologico e indebolimento dei nemici regionali.
Quello che è stato possibile teorizzare partendo dallo studio dell’attacco di Volatile Cedar e dal ruolo assunto all’interno della cyber-strategy iraniana è un complesso apparato di proxy cibernetiche interconnesse tra di loro e coordinate dalla Guardia della Rivoluzione. Un efficace sistema logistico combinato a un vero e proprio ecosistema di gruppi hacker è in grado di proiettare la forza cibernetica iraniana ovunque sia necessaria. L’architettura organizzativa che si osserva, pur essendo in parte solo teorica, evidenzia come l’Iran operi de facto come una superpotenza cibernetica, per quanto a livello geopolitico resti una potenza regionale.
Federico Borgonovo
Immagine in evidenza: Photo by geralt is licensed under CC BY-NC-SA