Miscela Strategica – L’Iran avrebbe sviluppato capacità operative e conoscenze tecniche in ambito cyber, come un recente studio pubblicato da Norse sembra dimostrare. Quale il loro reale stadio di sviluppo? Rappresentano una minaccia concreta o è solo allarmismo?
CENNI STORICI – Secondo Reporters Without Borders, l’Iran sarebbe tra i nemici più temuti di internet insieme a Paesi come Saudi Arabia, Bahrain, Syria, Cina e Bielorussia. Per intuire le ragioni e fasi dello sviluppo cyber iraniano è però fondamentale capirne la prospettiva.
La priorità dell’Iran è la sopravvivenza del regime, seguita dal diritto al programma nucleare e altri interessi nazionali. Prima del 2009, le forze digitali iraniane si concentravano su controllo e censura dei dissidenti e opponenti del regime, principalmente attraverso l’Iranian Revolutionary Guard Corp (IRGC) e l’Iranian Cyber Army. Il vero motore del cambiamento della strategia iraniana di sviluppo digitale fu invece il caso Stuxnet (2010). Attaccando le infrastrutture nucleari iraniane, Stuxnet ha minacciato gli interessi del Paese, scatenando un effetto domino che ha portato Teheran a considerare il rafforzamento delle proprie capacità cyber come priorità di sicurezza nazionale.
Nel 2012, la Guida Suprema Ayatollah Ali Khamenei ha annunciato pubblicamente la creazione (attraverso decreto legislativo) di un Consiglio Supremo del Cyberspazio, responsabile del controllo delle difese dei network iraniani e dello sviluppo di nuove metodologie per attaccare e penetrare i network dei propri nemici. Operazioni di censura governativa e campagne di sorveglianza di massa non hanno tuttavia cessato di essere promosse dal regime.
Fig. 1 – Schermata che appare quando il cittadino iraniano tenta di visitare un sito non consentito dal regime
ORGANIZZAZIONE CYBER IRANIANA – La struttura della cyber force iraniana è sofisticata e difficile da comprendere. Il livello di controllo e sicurezza sulle comunicazioni e network tra i membri è tale che alcuni hacker non sono nemmeno consapevoli di star lavorando per il Governo. I principali organi sono:
- Consiglio Supremo del Cyberspazio (High Council of Cyberspace): governativo, include autorità di alto livello come il Parlamento, il Presidente, Polizia, Ministero dell’Intelligence, Telecomunicazioni, Cultura, Scienze, e Responsabili del potere legislativo. Missione: istituire forze di polizia di alto livello nel cyberspazio.
- Iran Cyber Army: non governativo e non registrato ufficialmente. Gruppo di specialisti di ICTs e hacker professionisti (dalle identità sconosciute). Esperti suggeriscono che il gruppo sia affiliato al IRGC.
- Cyber Defense Command: istituito dal Governo nel 2010 dopo Stuxnet, opera sotto la supervisione della Passive Civil Defense Organization, a sua volta sottodivisionedel comando interforze delle Forze Armate. Missione: garantire la sicurezza del paese e delle sue infrastrutture dalle minacce di natura cyber.
- Cyber Iranian Police (FETA Police): istituito dal capo della Polizia dopo le elezioni presidenziali del 2009. Missione: confrontarsi con crimini digitali di diverso tipo (come frode, furto di dati personali, minacce) e crimini “politici e di sicurezza”. Inoltre, identifica debolezze tecniche nei network governativi (rimuovendole) ed organizza campagne di sorveglianza di massa (facendo pressione su ISPs e forzandoli ad divulgare informazioni sugli utilizzatori di Internet).
- Basij Paramilitary Force: organo meno professionale, si occupa di hacking meno complessi (le operazioni più complesse restano di competenze di IRGC e Cyber Army) dopo la sua riorganizzazine del 2007, le unità armate dei Basij sono ora parte dell’IRGC. Le unità non militari hanno la responsabilità della guerra digitale contro nemici del regime. Si stima che il Governo abbia inizialmente investito circa 76 milioni di dollari l’anno per la creazione di una cyber force nazionale, mentre dati del 2011 mostrano che la somma totale si aggira intorno un miliardo di dollari per tecnologia digitale, infrastrutture ed expertise. Nel 2012, circa 120,000 hacker erano all’opera per combattere una soft cyber war contro i dissidenti del regime.
http://gty.im/53004396
COPERTURA MEDIATICA E PAESI TARGET – L’effettivo livello delle capacità cyber iraniane è stato studiato dalla stampa internazionale e dalle compagnie di cyber security con diversi gradi di accuratezza. Oltre alla sfera mediatica, agenzie d’intelligence americana hanno monitorato la cyber force iraniana, senza però divulgare i risultati di tali analisi. Mentre la Classified National Intelligence ritiene Russia e Cina i principali avversari del cyberspazio, esperti dell’organizzazione dichiarano di essere più preoccupati da Iran e Corea del Nord, non solo per il livello di sofisticazione (che resta da confermare), ma per l’aggressività e gli obiettivi degli attacchi. Nel 2012 l’Iran è stato identificato come responsabile di Distributed Denial of Services (DDoS) ai danni di numerose banche americane, distinguendosi per capacità e copertura dell’attacco. Teheran sembra colpire anche altri avversari politici, come l’attacco alla Saudi Aramco (2012, 30,000 computer compromessi) sembra dimostrare.
Nel 2013 il Saffron Rose Report della Fireeye ha analizzato il gruppo hacker Ajax Security Team. Nonostante non sia stato possibile individuare un chiaro legame tra l’unità e Tehran, il passaggio del gruppo da sorveglianza a operazioni contro i dissidenti del regime sembra fare parte in un progetto più ampio di rafforzamento delle capacità cyber da parte del Governo.
La compagnia di cyber security Cylance ha invece lanciato l’Operation Cleaver (2014). Sostenendo che l’Iran sia la “nuova Cina”, la società sostiene che, dal 2012, numerosi enti iraniani abbiano attaccato direttamente o prelevato informazioni sensibili da network governativi in Canada, Cina, Regno Unito, Francia, Germania, India, Israele, Kuwait, Mexico, Pakistan, Qatar, Saudi Arabia, Sud Korea, Turchia, Emirati Arabi e Stati Uniti.
Più recentemente (Aprile 2015), la Norse e il think tank American Enterprise Institute (AEI) hanno accusato l’Iran di “sofisticati attacchi cyber” ai danni di sistemi industriali di controllo statunitensi, computer che governano le Critical Information Infrastructure (CII), come centrali elettriche. Il Norse Intelligence Network (network di sensori distribuiti in tutto il mondo per monitorare attività cyber potenzialmente dannose) ha osservato una sostanziale crescita nel numero di attacchi originati dall’Iran negli ultimi 15 mesi, come attacchi lanciati dall’IRGC.
CAPACITÀ CYBER SOFISTICATE? – Come per qualsiasi altro Paese, non è chiaro quale sia il livello complessivo di preparazione tecnica delle forze cyber iraniane. Tuttavia, lo sviluppo di determinate unità e la retorica del Governo sembrano far parte di un unico grande progetto di professionalizzazione e perfezionamento delle capacità cyber iraniane. La maggior parte degli esperti sembra condividere un punto fondamentale: le forze iraniane digitali sono in piena fase di uno sviluppo tecnico, concretizzatosi in pochi anni e dal livello di sofisticatezza senza precedenti per gli standard iraniani.
Oltre al livello tecnico, ciò che sembra significativo nell’analisi delle forze cyber iraniane è la loro natura. L’Iran rappresenta un attore cyber qualitativamente diverso: i suoi operatori non sono interessati ad ottenere informazioni riservate e proprietà intellettuali (obiettivo di gran parte degli hacker Cinesi) né usano il cyberspazio per il mercato nero (specialità degli hacker russi). Se hacker Cinesi e Russi sono motivati da vantaggio competitivo e ragioni economiche, i colleghi Iraniani sono stati formati per infiltrare i server allo scopo di distruggerli.
Teheran è consapevole di non poter gareggiare con gli Stati Uniti e i suoi alleati direttamente, e ha quindi optato per un rafforzamento della cyber force per controbilanciare queste mancanze. Nel 2013, l’IRGC ha ufficialmente dichiarato di aver sviluppato prodotti di cyber defense come sistemi operativi, sistemi di navigazione, sistemi di trasmissione ottica per le telecomunicazioni, anti-malware, sistemi d’identificazione di minacce cyber e software firewall. Il livello tecnologico di tali strumenti potrebbe non raggiungere quello degli Stati Uniti, ma le dichiarazioni dell’IRGC provano che:
- l’Iran consideri il rafforzamento delle proprie capacità cyber come una priorità di sicurezza nazionale;
- il Paese stia tenacemente lavorando per ridurre il gap digitale con i Paesi più avanzati.
CONCLUSIONI – L’Iran sta innegabilmente lavorando per raggiungere il livello delle più grandi potenze digitali. I dati disponibili mostrano che l’obiettivo di Teheran verrà raggiunto in tempi più brevi di quanto previsto qualche anno fa.
Se l’Iran è meno avanzato e più bellicoso della Cina, è necessario ricordare quanto l’economia Iraniana (a differenza di quella cinese) sia largamente indipendente da quella degli Stati Uniti. Inoltre, l’Iran è l’unico Paese al mondo ad aver subito un catastrofico attacco cyber (Stuxnet) per cui incolpa Israele e Stati Uniti. Di conseguenza, l’Iran può avere intenzioni aggressive più forti delle effettive capacità tecniche. In questo senso, Teheran rappresenta un avversario digitale di prim’ordine per Washington, e potenzialmente per tutti gli alleati degli Stati Uniti.
Patrizia Rizzini Cancarini
[box type=”shadow” align=”aligncenter” class=”” width=””]Un Chicco in più
Per chi volesse approfondire alcuni dei temi trattati consigliamo la lettura del report Norse.
Consigliamo inoltre, sulle nostre pagine, Stuxnet: il virus che ha infettato il mondo.
[/box]
Foto: Josh Self
Foto: bertpix