La guerra cibernetica tra Iran e USA, 10 anni di storia

Dieci anni di guerra informatica tra Iran e USA ci rivelano quello che succederà, intanto l'Iran ha dato prova di avere una potenza d'attacco elevata.

speciale La guerra cibernetica tra Iran e USA, 10 anni di storia
Articolo a cura di

Con l'eliminazione del generale Soleimani, i rapporti tra Iran e USA sono nella loro fase più critica della storia recente. #IIIWW è già diventato un hashtag virale sui social, oltre che una discreta fonte di meme. Ovviamente non succederà nulla di ciò. A differenza dei loro coetanei mediorientali, i membri della Gen Z occidentale non si sveglieranno mai con un conflitto alle porte di casa. È lo stesso dipartimento americano di Homeland Security ad indicare che una minaccia concreta e credibile di eventuali operazioni militari sul suolo Americano, in questa fase, non sia verosimile: non è mai successo nella storia della nazione, non succederà neanche adesso.
Il National Terrorism Advisory System punta invece il dito contro il programma di Cyber Guerrilla dell'Iran, attribuendo al Paese la capacità di condurre attacchi in grado di mettere in ginocchio, anche solo temporaneamente, infrastrutture critiche come centrali elettriche, impianti di depurazione dell'acqua e aeroporti.
L'Iran ha già dato prova di avere la forza per creare seri danni all'economia americana, grazie a brutali attacchi contro aziende chiave statunitensi. Non che i danni di un attacco informatico possano essere solo di tipo virtuale, o comunque non tangibile: un attacco violento contro una centrale nucleare o contro i sistemi di viabilità di una città (pensate anche solo ad un semaforo o ad un passaggio a livello) possono portare ad una strage.

"Gli USA credono di controllare internet, si sbagliano"

Il 19 dicembre del 2009 è stata una giornata piuttosto indimenticabile per gli utenti di Twitter. Il sito dava problemi di caricamento. Diversi utenti non riuscivano a connettersi al portale per svolgere l'ormai abituale routine di cinguettii, follow e retweet. Alla fine a forza di F5 c'è chi riesce ad entrare sul sito, o meglio, su quello che ne rimaneva.
La schermata principale era stata trasfigurata (defaced, come si dice in gergo): al posto della classica home faceva la sua comparsa una bandiera verde con scritte in arabo, accompagnata da un messaggio a dir poco sinistro:

"U.S.A. Think They Controlling and Managing Internet By Their Access,
But They Don't, We Control And Manage Internet By Our Power, So Do Not
Try To Stimulation Iranian Peoples To....
NOW WHICH COUNTRY IN EMBARGO LIST? IRAN? USA?
WE PUSH THEM IN EMBARGO LIST
Take Care."


L'attacco a Twitter è stato poi rivendicato dall'Iranian Cyber Army. Ma gli USA non avevano ancora visto nulla. La vera prova di poter sedere a pieno titolo nel tavolo delle superpotenze militari informatiche l'Iran l'ha fornita tra il 2011 e il 2013, quando un gruppo autoproclamatosi "Qassam Cyber Fighters" ha sferrato una serie di attacchi implacabili al sistema bancario americano, mettendo in ginocchio alcuni degli istituti finanziari più importanti del Paese. Oltre 46 aziende colpite. Tra i bersagli anche Bank of America, J.P. Morgan e il NASDAQ. L'armata di hacker iraniani sembrava implacabile.
Non importa quante precauzioni prendessero le banche, gli attacchi iraniani riuscivano comunque a mandarle in tilt. Gli attacchi andarono avanti per mesi, con il gruppo di hacker che si divertiva ad annunciare con largo anticipo il prossimo bersaglio. Anche rinunciando all'effetto sorpresa, gli hacker riuscivano comunque a spezzare i sistemi di difesa degli istituti. Si trattava di attacchi DDoS condotti con una potenza di fuoco micidiale (si stima un carico di dati da 146 Gbps).

Parliamo di milioni di americani tagliati completamente fuori dai loro account bancari. Conti congelati, impossibilità di compiere semplici operazioni come un bonifico. Una cosetta che è costata all'economia americana decine di milioni di dollari. Questa serie di attacchi spietati contro diverse banche e aziende occidentali ha preso il nome di Operazione Ababil. Nello stesso periodo la Difesa USA inseriva i Qassam Cyber Fighters nella lista dei cinque gruppi hacker più potenti del mondo.
Nel 2012, gli hacker iraniani sferrano anche quello che è considerato uno degli attacchi hacker più distruttivi della storia: l'attacco Shamoon.

ShamoonNota a margine: di Shamoon si è tornato a parlare anche in tempi relativamente recenti, con nuovi attacchi nel 2016 e nel 2017. La buona notizia è che nel 2018 l'università di Perdue ha sviluppato un sistema di difesa in grado di proteggere i sistemi informatici da wipe malware come Shamoon. Si chiama R2D2, come il droide astromeccanico di Star Wars.

Shamoon è il nome di un wiper malware, un virus progettato per distruggere enormi quantità di dati in poco tempo, sovrascrivendo le informazioni custodite negli hard disk con immagini corrotte. Nel 2012 il bersaglio era la compagnia petrolifera saudita Aramco. L'attacco avvenne il 15 agosto, quando decine di migliaia di dipendenti dell'azienda erano a casa, per prepararsi alla celebrazione della festività nota come Notte del destino: la rivelazione del Corano al profeta Maometto. Gli hacker entrarono nei sistemi dell'Aramco usando delle credenziali da amministratori, infettandoli con il virus, che in breve tempo si diffuse su tutti i terminali dell'azienda.

Al ritorno sul posto di lavoro i dipendenti dell'azienda trovarono, al posto di tutti i documenti aziendali, tra cartelle, email e database, un'immagine con la bandiera americana in fiamme. La Aramco perse così il 75% dei suoi dati.

Infine nel 2014 fu il turno dei casinò Sand di Las Vegas, di proprietà di Sheldon Andelson, un miliardario di orientamento vivacemente repubblicano e pro-Israele che suggerì al Governo di reagire in modo relativamente cauto ed equilibrato all'escalation di attacchi informatici: bombardando l'Iran con il nucleare. La sua proposta, per la cronaca, non fu ascoltata. I casinò di Andelson persero 40 milioni di dollari per colpa degli attacchi.

Operation Olympic Games

L'Iran non è mai stato solo in questa guerra cibernetica perpetua. Tra il 2009 e il 2010 una serie di guasti agli stabilimenti di Natanz provocano la perdita di grossomodo un decimo delle centrifughe usate dall'Iran per trattare l'uranio. Lo stabilimento di Natanz è un asset chiave del programma nucleare del Paese, quello con cui spera di ottenere l'arma atomica.

Le centrifughe si comportano in modo anomalo, variando rapidamente velocità d'azione in modalità che sembrano apparentemente casuali. Questo crea un danno fisico alle strutture, che in una parte rilevante saranno da riparare o, direttamente, da buttare. Il programma nucleare del Paese subisce un danno rilevante. Gli sforzi verso l'arma nucleare dell'Iran non sono irrimediabilmente persi, ma subiscono un brusco arresto forzato - un arretramento di diversi anni di lavoro, sostenne il segretario di stato dell'epoca Hillary Clinton. Nei report immediatamente successivi all'incidente le centrifughe per la produzione di uranio arricchito passano da 4.700 a 3.900 in modo piuttosto misterioso. Gholam Reza Aghazadeh, all'epoca a capo del programma nucleare dell'Iran, è costretto a dimettersi.

Quello che all'epoca gli iraniani non sapevano è che lo stabilimento di Natanz era stato vittima di quello che ancora oggi viene definito il più sofisticato e distruttivo attacco informatico della storia della guerra cibernetica.

A diversi chilometri di distanza, a Dimona in Israele, il Governo aveva a lungo nascosto un impianto di arricchimento dell'uranio virtualmente identico a quello di Natanz. Gli israeliani avevano le stesse identiche macchine con componentistica Siemens usate dagli iraniani. Ma gli israeliani non le utilizzavano per produrre uranio arricchito. Lo scopo dell'intero stabilimento era quello di testare la capacità offensiva di Stuxnet, il più sofisticato e costoso malware mai usato per un'operazione militare fino ad allora. Lo stesso malware usato sulle macchine in servizio a Natanz.

Per mesi gli israeliani, racconta un esaustivo articolo del New York Times del 2011, avevano usato Stuxnet sul loro equipaggiamento per capire quanti danni potesse provocare al programma nucleare dello Stato nemico. Anche grazie a questi test Stuxnet è stato così efficace, al netto di un piccolo problema trascurabile: il worm finì per diffondersi anche fuori dagli stabilimenti di Natanz, infettando decine di migliaia di device in tutto il medioriente (e non solo). Ma questa è un'altra storia, di cui vi abbiamo già parlato qui.
Stuxnet è stato il coronamento di un progetto condiviso dagli USA e da Israele tenuto sotto copertura per anni (ne sappiamo ancora oggi davvero poco). Un progetto nato sotto l'amministrazione George W. Bush con il nome "Operation Olympic Games", e culminato con l'attacco a Natanz sotto la presidenza Obama. Di Stuxnet il grande pubblico ne è venuto a sapere per puro caso: si è espanso anche sul PC di un civile iraniano, e in breve tempo il virus è stato scrutinato da centinaia di ricercatori informatici di tutto il mondo.

Cosa sta succedendo in questi giorni

La schermaglia tra Usa e Iran è proseguita ininterrottamente fino al 2015, anno in cui i due Paesi hanno firmato l'accordo sul nucleare. In questo periodo, secondo più analisti, così come riporta Patrick Howell O'Neill sul MIT Technology Review, gli attacchi sono diminuiti per intensità e frequenza. Non significa che non ce ne siano stati, ad ogni modo.
Anzi, seppur con danni più contenuti che in passato, dall'elezione di Trump in poi si registrano diverse operazioni di cyberguerriglia attribuite all'Iran, tra cui un attacco ransomware contro la città di Atlanta e il tentativo di hackerare le email del comitato per la rielezione di Trump alla Casa Bianca. Con l'attacco killer contro il generale Qasem Soleimani le cose molto probabilmente cambieranno.

A pochi giorni dalla notizia della morte del generale, gli hacker iraniani hanno colpito il sito del Federal Depository Library Program degli USA, sempre con un'operazione di defacing. Al posto della classica schermata di homepage è stata inserita la faccia di Trump presa a pugni da un soldato iraniano. Nelle stesse ore un gruppo che si fa chiamare "Shield Iran x #theloserteam" ha vandalizzato la home del dipartimento all'agricoltura del Texas, oltre che il sito di un'organizzazione di veterani di guerra dell'Alabama del Sud. L'8 gennaio diversi funzionari dello Stato americano hanno denunciato un'impennata di attacchi contro i siti del Texas: circa 10.000 tentativi in 48 ore. Nessuna di queste azioni può essere considerata nulla di più che un semplice buffetto. Eppure abbiamo visto che l'Iran ha tutti gli strumenti per fare danni molto più seri, e per attaccare i sistemi di bersagli decisamente più rilevanti del dipartimento dell'agricoltura di un'amministrazione locale.

Ora gli analisti si aspettano un ritorno al cyber conflitto del quinquennio 2009-2014: «Probabilmente ci sarà un aumento delle operazioni di spionaggio, con l'obiettivo da parte degli iraniani di acquisire informazioni di intelligence per meglio comprendere le dinamiche di azione geopolitica degli USA», ha spiegato John Hultquist, il direttore degli studi sull'intelligence dello studio di sicurezza informatica FireEye. «Ci aspettiamo anche una serie di attacchi informatici distruttivi alla sfera privata».

Gli attacchi informatici presentano una serie di vantaggi apprezzabili, motivi che negli anni hanno spinto Paesi isolati, che avrebbero difficoltà in un conflitto tradizionale per ragioni di asimmetrie di risorse, ad investire massicciamente nella creazione di legioni di hacker di Stato. Un attacco hacker è più difficilmente attribuibile ad un attore statale preciso, complice il fatto che spesso molti attacchi vengono condotti da gruppi non formalmente affiliati ai governi delle rispettive nazioni.

Basti pensare all'operazione Ababil, pubblicamente ricondotta all'Iran solo nel 2014, con i primi arresti di 7 hacker coinvolti avvenuti a distanza di ben tre anni, nel 2016. Statisticamente, a parità di danni, è anche più improbabile che ad un attacco informatico segua un'azione militare tradizionale. Mancherebbe, nel caso di una democrazia occidentale, la legittimazione dell'opinione pubblica, ma questa non è l'unica ragione.

Eppure sembra che la reazione dell'Iran non possa limitarsi alla cyberguerra. Lo sostiene Jacquelyn Schneider, fellow dell'Hoover Institution (Stanford), con un interessante pezzo d'opinione pubblicato sulle pagine del New York Times. Schneider bolla la psicosi per un eventuale attacco informatico di massa contro gli USA come una "distrazione", argomentando che né l'Operazione Ababil, né l'attacco Shamoon sono stati in grado di produrre danni seri e duraturi.
L'Iran farebbe molti più danni con attacchi di entità minore rivolti contro le operazioni militari americane in medio oriente: l'esercito americano dipende in larga misura dalla tecnologia, mettere in crisi i sistemi di puntamento e di navigazione degli americani e dei loro partner porterebbe ad un ridimensionamento dell'azione americana nel territorio. Questo, in concerto con attacchi di scala minore alle aziende americane, potrebbe ridimensionare sul lungo termine anche l'influenza degli USA nella politica domestica e internazionale, conclude Schneider.
Contestualmente, la necessità di vendicare la morte di uno degli uomini chiave del regime iraniano, verosimilmente spingerà la nazione a perpetuare operazioni militari classiche di estrema ferocia contro la presenza americana in medio oriente. Il recente attacco missilistico contro alcune basi USA in Iraq, con 80 morti rivendicati dall'Iran (un dato in tutta certezza falso), va in questa direzione.