Teheran ha trattato con i criminal hacker di IRLeaks per scongiurare la diffusione di dati bancari di milioni di cittadini. E Google conferma che il collettivo Apt42, legato alle Guardie rivoluzionarie islamiche, sta colpendo gli indirizzi e-mail di importanti funzionari di Washington.
L’Iran è stato colpito da uno dei più impattanti attacchi informatici della sua storia; un maxi cyberattacco bancario (avvenuto a metà agosto e mai ufficialmente riconosciuto dall’autorità nazionale) che, stando a quanto riporta Politico, ha indotto un’azienda iraniana a saldare almeno 3 milioni di dollari di riscatto al collettivo IRLeaks per impedire, al collettivo di criminal hacker, di pubblicare i dati dei conti individuali di ben 20 istituti bancari nazionali.
Definito sia dagli analisti di settore sia dai funzionari occidentali come il peggiore attacco informatico subìto dall’Iran, quanto è avvenuto ha piegato l’intero sistema bancario iraniano, inducendo alla chiusura degli sportelli automatici in tutto il paese. In principio, il collettivo responsabile del cyberattacco bancario aveva minacciato di vendere i dati esfiltrati sul dark web a meno che non avessero ottenuto 10 milioni di dollari in criptovalute (in tal senso emerge, assai interessante, i dati evidenziati da Consob nel suo ultimo rapporto sulle “Principali tendenze in tema di investimenti sostenibili e criptoattività”. Dunque, criptovalute e rischio cyber: per la Consob sono sicure solamente 14 su 188).
Ciò nonostante, come rilevano le fonti di Politico, “si sono poi compiaciuti di una somma inferiore”. La complessità della situazione ha indotto il regime iraniano (e l’azienda di riferimento) a spingere per un’intesa con i cybercriminali, nel timore che la notizia – poi diffusa – dell’esfiltrazione dei dati potesse scuotere ancora di più il sistema finanziario nazionale, già messo a dura prova dalle forti sanzioni internazionali.
Cyberattacchi dall’Iran alle presidenziali Usa
Detto che IRLeaks non sarebbe affiliato né a Israele né agli Stati Uniti, bensì formato da criminal hacker “freelance” motivati soprattutto da ragioni economiche, restando negli Usa, The Guardian rammenta della vasta operazione iraniana di hackeraggio sulla campagna per le presidenziali. È quanto ammette Google in un articolo sul proprio blog, confermando quelli che fino a qualche giorno prima erano solamente dubbi: l’Iran sta incrementando i suoi sforzi per ostacolare le elezioni statunitensi del 5 novembre facendo ampio utilizzo di siti che veicolano fake news e ricorrendo a cyberattacchi.
“A maggio e giugno – le parole del team di Google ad agosto – Apt42 ha attaccato gli account di posta elettronica personali di una dozzina di individui affiliati al presidente Joe Biden, alla vice Kamala Harris e all’ex presidente Donald Trump, inclusi attuali ed ex funzionari governativi statunitensi e persone associate alle rispettive campagne”. Gli esperti di cybersecurity del colosso di Mountain View ritengono che i criminali informatici impieghino tattiche ben conosciute: prima tentano di contattare i loro obiettivi (fingendosi ad esempio cronisti), quindi inviano e-mail di phishing con all’interno dei link malevoli e fraudolenti che permettono loro di accedere alle caselle di posta web delle persone raggirate.
Azioni malevole dei filo-iraniani di Cyber Av3ngers
Riavvolgendo il nastro – siamo a novembre del 2023 – l’autorità idrica comunale di Aliquippa, città statunitense in Pennsylvania, è stata colpita da un attacco ad opera di un gruppo hacktivista sempre di origine iraniana. Nel dettaglio, il gruppo filo-iraniano Cyber Av3ngers ha colpito la rete idrica di Aliquippa, hackerando i “programmable logic controller (PLC)” della stazione di potenziamento (che monitora e regola la pressione per 6.615 utenti di Aliquippa e delle aree di Hopewell Township, Potter Township e Raccoon Township).
Un cyberattacco che è sembrato replicare ciò che è accaduto con l’hack dell’acqua di Curran-Gardner a Springfield, Illinois, nel 2011. In quel caso, l’incidente è stato identificato dal centro di fusione dello stato come un attacco informatico proveniente da Mosca (ed è bene rammentare che la Russia detiene il primato del cybercrime in Europa).