I gruppi di hacking legati all'Iran hanno intensificato le loro attività cibernetiche dopo i recenti attacchi missilistici degli Stati Uniti e di Israele. Stanno effettuando scansioni digitali, operazioni di spionaggio e attacchi di negazione del servizio distribuito (DDoS) in tutto il Medio Oriente.

Gli esperti affermano che la maggior parte delle attività verificate fino ad ora ha preso di mira Israele e i paesi del Golfo Persico, ma le organizzazioni statunitensi dovrebbero essere pronte a possibili attacchi.

Prima degli Attacchi, L'Iran Esamina App e API Mobili

Secondo la società di sicurezza delle applicazioni mobili Approov, gli hacker iraniani hanno iniziato a condurre attacchi di esplorazione più avanzati all'inizio di febbraio. Questi attacchi si sono concentrati su API e applicazioni mobili utilizzate nelle comunicazioni governative della regione.

Queste attività sembrano essersi fermate il 27 febbraio. Gli esperti pensano che questa pausa possa essere collegata a un'interruzione di internet avvenuta all'interno dell'Iran all'inizio del conflitto.

JP Castellanos, direttore dell'intelligence sulle minacce di Binary Defense, ha dichiarato che i gruppi iraniani hanno installato malware nei sistemi prima dell'inizio delle operazioni militari aperte. Questa è una tattica comune in cui gli aggressori posizionano silenziosamente gli strumenti in anticipo per avviare attacchi più devastanti in seguito.

Gli Hacker Iraniani Hanno Avviato Attacchi DDoS, Ransomware e Campagne di Disinformazione

Gli esperti di Check Point hanno osservato violazioni collegate a un gruppo noto come Cotton Sandstorm (noto anche come Haywire Kitten). Si pensa che questo gruppo sia collegato ai Guardiani della Rivoluzione Islamica dell'Iran (IRGC).

Secondo il rapporto, questo gruppo ha utilizzato uno strumento di furto di informazioni chiamato WezRat in email di phishing che sembravano aggiornamenti software urgenti. In alcuni casi, dopo queste campagne, si sono verificati attacchi ransomware contro obiettivi israeliani.

Gli analisti hanno anche notato che le identità online precedentemente compromesse sono riemerse, affermando di aver hackerato i sistemi di controllo industriale in Israele, Giordania, Turchia, Polonia e nei paesi del Golfo. Gli esperti affermano che molte di queste affermazioni pubbliche sono esagerate o parte di sforzi di disinformazione più ampi.

“L'Iran ha storicamente cercato di aumentare l'impatto psicologico mescolando veri attacchi con affermazioni esagerate o inventate,” afferma un analista.

Le Organizzazioni Statunitensi Potrebbero Essere il Prossimo Obiettivo

Fino ad ora, non ci sono stati attacchi pubblicamente confermati contro organizzazioni statunitensi durante questa ultima ondata di attività. Tuttavia, gli esperti ritengono che tali attacchi siano probabili.

I settori con il rischio più elevato includono:

  • Appaltatori della difesa e fornitori governativi
  • Organizzazioni che collaborano con Israele o condividono infrastrutture
  • Fornitori di infrastrutture critiche come energia o servizi idrici
  • Aziende che utilizzano tecnologie industriali di produzione israeliana

In passato, gli hacker iraniani hanno preso di mira i sistemi idrici e altre tecnologie operative negli Stati Uniti. Hanno spesso utilizzato password predefinite e malware specifici. Anche se questi attacchi precedenti hanno causato danni fisici limitati, hanno dimostrato che gli aggressori possono accedere a sistemi sensibili.

Una Campagna Cibernetica Iraniana di Lunga Durata

Gli esperti affermano che la situazione attuale sembra una campagna cibernetica a lungo termine che combina spionaggio, interruzioni, attacchi di tipo ransomware e guerra dell'informazione.

Si aspettano un aumento della disinformazione sui social media tramite bot. Le persone dovrebbero aspettarsi di vedere affermazioni più drammatiche riguardo a sabotaggi e danni alle infrastrutture; molte di queste probabilmente non saranno vere.

Le aziende di sicurezza consigliano alle organizzazioni di fare quanto segue:

  • Aggiornare rapidamente i sistemi critici
  • Esaminare l'accesso degli utenti e rimuovere account non utilizzati o predefiniti
  • Monitorare da vicino i rischi di terze parti e della supply chain
  • Rafforzare la formazione sulla consapevolezza del phishing per i dipendenti

In generale, gli esperti accettano che le operazioni cibernetiche continueranno insieme ai conflitti fisici. Avvertono che le organizzazioni negli Stati Uniti, in Israele e nei paesi del Golfo devono valutare il rischio in modo urgente, non teorico, ma reale.