Cosa potrebbe aver portato all’incidente che ha causato il blocco delle stazioni di servizio in tutto il paese? Un’analisi degli scenari recenti e passati ci può far luce sulla vicenda ed evidenziare la guerra cibernetica recentemente analizzata da Check Point.
Cosa è successo?
Un significativo attacco informatico ha colpito il sistema di distribuzione di benzina online dell’Iran, arrestando le stazioni di servizio in tutto il paese e causando lunghe code.
Fonti di notizie iraniane hanno affermato che un paese straniero era probabilmente dietro l’attacco e un account della televisione di stato iraniana online ha condiviso immagini di lunghe file di auto in attesa di fare il pieno a Teheran.
L’agenzia di stampa iraniana ISNA, che ha definito l’incidente un attacco informatico, ha affermato di aver visto coloro che cercavano di acquistare carburante con una carta emessa dal governo (sussidio statale), e di ricevere un messaggio con la scritta “attacco informatico 64411“.
La maggior parte degli iraniani fa affidamento su quei sussidi per rifornire i propri veicoli, in particolare a causa dei problemi economici del paese.
L’attacco diffuso è arrivato poco prima del secondo anniversario delle proteste nazionali del novembre 2019 contro un aumento notturno del prezzo della benzina. All’epoca, il prezzo della benzina era addirittura triplicato, scatenando le proteste che secondo Amnesty International hanno provocato la morte di oltre 300 persone.
In questa occasione anche l’accesso a Internet è stato bloccato in tutto il paese per quasi una settimana durante le proteste. Alcune aree in cui le proteste erano ancora in corso hanno subito settimane di interruzioni di Internet.
Le colpe
Il capo dell’Organizzazione di protezione civile iraniana, Golamreza Jalili, che sovrintende alla sicurezza informatica del Paese, ha accusato Stati Uniti e Israele di aver compiuto l’attacco informatico, che questa settimana ha portato a disordini nel campo della fornitura di carburante alle stazioni di servizio iraniane.
Tuttavia, ha affermato che l’indagine sull’attacco virtuale non è ancora stata completata.
“Ancora non possiamo dirlo da una prospettiva forense, ma da una prospettiva analitica, credo che sia stato fatto dal regime sionista (Israele), dagli americani e dai loro agenti”, ha detto Jalili alla televisione di stato.
In questa occasione vale forse la pena ricordare anche che pochi giorni fa è stato portato a segno un attacco verso Cyberserve, hosting provider israeliano, e le piste d’indagine erano rivolte verso attori sovvenzionati dallo stato iraniano.
Altre motivazioni alle spalle
L’Iran ha recentemente effettuato un attacco complesso e coordinato contro le forze statunitensi in Siria utilizzando fino a cinque droni armati per attaccare un punto strategico vicino al confine tra Giordania e Iraq. L’attacco è stato l’ultimo di una serie di attacchi di droni contro le forze statunitensi. In una recente conferenza stampa, l’inviato degli Stati Uniti in Iran ha menzionato la possibile azione degli Stati Uniti per scoraggiare l’aggressione iraniana nella regione. Anche se ha rifiutato di elaborare quali potrebbero essere queste azioni.
Gli Stati Uniti sono considerati la potenza cibernetica più potente del mondo, ma spesso hanno esitato a utilizzare le proprie capacità informatiche offensive contro gruppi diversi dall’ISIS, per paura di ritorsioni informatiche.
Sotto l’amministrazione Trump, gli Stati Uniti hanno violato le principali operazioni marittime dell’intelligence iraniana per dissuadere l’Iran dall’attaccare gli alleati americani in mare. Si ritiene che l’amministrazione Biden non lo abbia fatto fino ad oggi, anche se secondo quanto riferito, Israele ha violato il porto iraniano di Shahid Rajaee il 9 maggio 2020, come contrattacco per un tentativo di attacco informatico iraniano sul sistema di approvvigionamento idrico israeliano.
L’Iran ha anche accusato il Mossad, le agenzie di intelligence statunitensi ed europee di utilizzare il virus STUXNET per hackerare il suo impianto nucleare di Natanz nel 2009-2010.
Un ex funzionario dell’Agenzia di sicurezza israeliana ha affermato che c’erano buone possibilità che un attore di uno stato nazionale potesse effettuare un attacco così ampio e di successo, tuttavia, eventi recenti hanno dimostrato che gli hacker dilettanti possono causare gravi disagi alle potenze statunitensi ed europee con sofisticati ransomware e altri mezzi.
Ad agosto, Check Point Software Technologies ha pubblicato un rapporto affermando che un gruppo dissidente iraniano chiamato Indra, non Israeliano, ha eseguito l’attacco su larga scala al sistema ferroviario della Repubblica islamica a luglio. Check Point ha affermato che l’hack di Indra è stato “un esempio per i governi di tutto il mondo di come un singolo gruppo può creare interruzioni su infrastrutture critiche”.
Se i gruppi non statali sono tradizionalmente considerati privi della capacità di fare qualcosa di più che hackerare siti Web e dati, questo è stato un esempio di un tale gruppo non statale che ha causato profondi danni nel mondo reale.
Gli strumenti di Indra hanno distrutto i dati senza mezzi diretti per recuperarli utilizzando un “pulitore” o malware progettato per cancellare l’intero sistema di dati dell’infrastruttura critica, rendendo complicato il processo di ripristino, bloccando gli utenti dalle macchine, modificando le password e sostituendo gli sfondi con quelli personalizzati. Messaggi creati dagli aggressori. L’hack includeva la pubblicazione di messaggi falsi sui ritardi dei treni e le cancellazioni sui tabelloni in tutto l’Iran.