Feb 09, 2024 Approfondimenti, Attacchi, In evidenza, News, RSS
Dopo l’attacco di Hamas a Israele lo scorso ottobre, la guerra è continuata non solo sul campo fisico, ma anche su quello virtuale: numerosi gruppi legati all’Iran hanno lanciato diverse campagne di cyberattacchi, insieme a operazioni di propaganda e disinformazione, con l’obiettivo di indebolire Israele e i suoi alleati.
Anche se all’inizio le operazioni erano piuttosto affrettate e caotiche, col tempo i gruppi cybercriminali iraniani si sono dimostrati più coordinati e le loro campagne più efficaci.
Una recente analisi di Microsoft sul fenomeno ha evidenziato che il numero di gruppi iraniani attivi contro Israele è cresciuto da 9 della prima settimana di guerra a 14 nella seconda settimana, mentre gli attacchi sono arrivati da 1 a 11 al mese. Negli ultimi mesi i cyberattacchi sono diventati sempre più mirati e distruttivi, e le campagne di disinformazione sono diventate molto sofisticate anche grazie a una fitta rete di account falsi sui social media.
La propaganda iraniana ha raggiunto anche gli alleati israeliani, in particolare i Paesi anglofoni come il Regno Unito, gli Stati Uniti, il Canada, l’Australia e la Nuova Zelanda. Ciò ha portato a un aumento del 42% del traffico verso i siti di notizie iraniani durante la prima settimana del conflitto; la percentuale in seguito è scesa, ma è rimasta comunque di un 28% più alta rispetto ai livelli pre-guerra.
Il Microsoft Threat Analysis Center ha suddiviso le operazioni iraniane in tre fasi: la prima, più confusa, è nata in reazione all’attacco di Hamas; la seconda fase ha visto una maggior organizzazione da parte dei gruppi, tutti focalizzati sul sostenere la causa di Hamas; infine, durante la terza fase gli attaccanti hanno lavorato per espandere il proprio raggio d’azione.
La prima fase è stata caratterizzata da attacchi opportunisti e conseguenti affermazioni fuorvianti da parte dei media di stato iraniani. Un esempio è stato l’agenzia di stampa Tasnimche ha affermato che un gruppo chiamato Cyber Avengers aveva condotto attacchi informatici contro una centrale elettrica israeliana durante gli attacchi di Hamas, ma le prove dell’operazione si riferivano a notizie vecchie di settimane e interruzioni di corrente non meglio identificate.
Durante questa fase gli attaccanti hanno sfruttato accessi ai sistemi già presenti e hanno riutilizzato vecchi materiali e notizie per ingrandire la portata delle loro azioni.
La seconda fase, più strutturata, è cominciata a partire da metà-fine ottobre. In questo periodo il numero di gruppi affiliati alla causa di Hamas è aumentato significativamente e in più occasioni gli attaccanti hanno collaborato tra loro per colpire la stessa organizzazione o base militare israeliana.
Durante questa fase sono aumentati anche gli attacchi di propaganda e disinformazione, arrivando a 10 campagne solo nelle ultime due settimane di ottobre.
Infine, a partire da fine novembre i cyberattaccanti hanno cominciato a prendere di mira tutti i Paesi che hanno manifestato il loro supporto a Israele. Il caso più eclatante è l’attacco ai PLC delle stazioni idriche statunitensi: il gruppo iraniano Cyb3rAvengers ha compromesso i PLC Unitronics, di manifattura israeliana, presenti in diversi centri idrici.
I cyberattaccanti iraniani non hanno impersonato solo figure israeliane, ma anche simboli e personaggi legati ad Hamas: di recente i gruppi iraniani hanno utilizzato il nome e il logo del dell’ala militare di Hamas per diffondere messaggi falsi e minacciare il personale delle forze di difesa isrealiane.
Nel corso dei mesi l’Iran ha fatto uso di campagne di messaggi e e-mail per potenziare gli effetti psicologici delle operazioni di propaganda. “I messaggi che appaiono sui telefoni o nelle caselle di posta elettronica delle persone hanno un impatto maggiore rispetto agli account falsi sui social media” ha spiegato Clint Watts, General Manager di Microsoft Threat Analysis Center.” L’Iran utilizza media conosciuti e occulti legati all’IRGC (Corpo delle guardie della rivoluzione islamica) per amplificare le campagne di propaganda e, a volte, esagerarne gli effetti”.
Le operazioni dei cyberattaccanti iraniani mirano a destabilizzare Israele e a esacerbare le fratture politiche e sociali interne, come nel caso dei 240 ostaggi quando gli attaccanti diffondevano la notizia che si tratta di gruppi di attivisti che criticavano il governo israeliano.
Gran parte degli attacchi iraniani nascono da un desiderio di vendetta diretta: il gruppo Cyb3rAvengers ha affermato di aver preso di mira le infrastrutture israeliane per l’elettricità, l’acqua e il carburante come vendicarsi del fatto che Israele ha dichiarato che avrebbe tagliato l’elettricità, l’acqua e il carburante a Gaza e altrove.
Le operazioni dei gruppi iraniani hanno come obiettivo anche quello di intimidire la popolazione israeliana, in particolare le famiglie dei soldati delle forze di difesa, e gli alleati. Infine, le campagne mirano a ridurre o indebolire gli aiuti internazionali per Israele sottolineando le colpe del Paese e le conseguenze su Gaza.
Il team di Microsoft ritiene che gli attacchi iraniani continueranno a progredire e diventare sempre più mirati, collaborativi e distruttivi. Le campagne saranno una minaccia ancora maggiore nel 2024 e renderanno il panorama delle minacce più complesso.