L’entità cybernetica iraniana Scarred Manticore, legata al Ministero dell’Intelligence e della Sicurezza dell’Iran, è attiva in operazioni di spionaggio in Medio Oriente da oltre un anno, stando a un report del 31 ottobre della società israeliana di cybersecurity Check Point Research.
Il gruppo si dedica sistematicamente all’esfiltrazione di dati da obiettivi di alto valore come strutture governative, militari e organizzazioni private come aziende di telecomunicazioni, IT e finanziarie. Ha attaccato importanti agenzie di difesa e intelligence e ha ottenuto l’accesso alla corrispondenza via email di soggetti giuridici in Israele, Arabia Saudita, Iraq, Kuwait, Emirati Arabi Uniti, Oman e Giordania.
I rapporti tra Iran e Albania
Check Point sottolinea che, sebbene Scarred Manticore si occupi principalmente di spionaggio (con l’obiettivo, quindi, della persistenza all’interno dei sistemi violati), alcuni dei suoi strumenti sono stati utilizzati in attacchi “distruttivi” promossi dal Ministero dell’Intelligence e della Sicurezza contro il governo albanese tra maggio e luglio 2022, quando siti web e servizi governativi sono stati resi indisponibili a causa di attacchi ransomware che hanno bloccato i sistemi e a causa di malware ideati allo scopo di cancellarne i dati contenuti.
Il movente di questi attacchi è probabilmente da ricercarsi nel fatto che il governo albanese ha accolto negli ultimi anni un significativo numero di dissidenti iraniani[1].
Le modalità dell’attacco
I recenti attacchi di Scarred Manticore hanno sfruttato alcune vulnerabilità note dei server Microsoft Windows facendo uso di un framework di malware chiamato Liontail, che ha la capacità di rendersi invisibile all’interno della rete di un computer e in alcuni casi può non essere rilevato per mesi: Liontail permette infatti agli hacker di personalizzare il malware per ogni rete infiltrata, configurando l’impianto, i suoi parametri e l’introduzione del loader, rendendo così il rilevamento estremamente complesso e consentendo – per tutto il periodo di permanenza nei sistemi – non solo l’esfiltrazione di dati, ma anche la mappatura costante delle reti compromesse (questo modus operandi, tra l’altro, si discosta da quello dei precedenti attacchi del gruppo, che consistevano principalmente in attacchi web-shell di base su server Microsoft Windows).
- Paesi obiettivo degli attacchi effettuati con framework LionTail
La «guerra ombra» tra Israele e Iran
Il perfezionamento delle tattiche di attacco di Scarred Manticore è ancora più preoccupante se considerato nel contesto della guerra tra Israele e Hamas iniziata il 7 ottobre, soprattutto nell’ipotesi di un supporto – diretto o indiretto – dell’Iran al gruppo palestinese contro Israele.
Molteplici e continuativi sono stati negli ultimi anni, infatti, i reciproci cyberattacchi tra i due stati: le compagnie siderurgiche iraniane, ad esempio, sono state costrette a interrompere la produzione nel giugno 2022 dopo un attacco del gruppo hacktivista anti-iraniano Predatory Sparrow, che molti ricercatori di cybersecurity ritengono sia un gruppo di hacking supportato dagli israeliani. In precedenza, l’Iran aveva accusato Israele di un attacco informatico che aveva messo fuori servizio una parte delle sue stazioni di benzina nell’ottobre 2021. Nel 2020, invece, le infrastrutture idriche, la rete fognaria e le centrali elettriche israeliane sono state prese di mira da quelli che Tel Aviv ha sostenuto fossero threat actors iraniani.
Infine, funzionari israeliani riportano che ci sono stati tentativi da parte di gruppi cyber iraniani, o legati a Hamas o Hezbollah, di hackerare le telecamere lungo il confine con il Libano, affermando inoltre di aver rilevato attacchi contro enti governativi da parte un gruppo chiamato proprio LionTail, che dicono essere affiliato al Corpo delle Guardie Rivoluzionarie Islamiche o al Ministero dell’Intelligence e della Sicurezza (non ci sono tuttavia evidenze di un collegamento diretto tra l’APT[2] LionTail e il framework Liontail di cui riferisce Check Point).
Anche Microsoft ha pubblicato un report all’inizio di quest’anno che sottolinea i progressi tecnologici fatti dall’Iran nel campo della cyberwar, soprattutto nell’ottica di minare la potenziale normalizzazione dei legami diplomatici tra Israele e Arabia Saudita.
Allo stato attuale, ci sono poche prove (almeno di dominio pubblico) del coinvolgimento di attori statali iraniani nel conflitto tra Israele e Hamas, tuttavia un report del 19 ottobre della compagnia di cyber intelligence statunitense Recorded Future suggerisce che Hamas potrebbe godere del supporto tecnologico iraniano per mantenere attive le strutture informatiche nonostante i blackout persistenti a Gaza.
L’avanzata sofisticazione di Scarred Manticore evidenzia come gli attori iraniani continuino a raffinare gli strumenti destinati alle operazioni di spionaggio informatico, potenzialmente utilizzabili per attacchi più distruttivi se la guerra Israele-Hamas dovesse subire una escalation.
I rischi di lungo periodo per gli equilibri del Medio Oriente
Nel breve periodo, Scarred Manticore già rappresenta una minaccia di rilievo per le agenzie della difesa e di intelligence, oltre che per ONG, società di telecomunicazioni, dell’IT e del settore finanziario, con un’elevata probabilità di rischio che le informazioni rubate in queste campagne possano contribuire alla pianificazione di operazioni future, sia nel campo cyber che della guerra tradizionale.
Ma l’incremento del livello di competenza di Scarred Manticore è, più in generale, l’emblema della continua evoluzione delle capacità cyber dell’Iran che, con i continui investimenti che opera nel settore – considerato strategico soprattutto nella «guerra ombra» con Israele – spera di imporre la propria posizione egemonica nella regione mediorientale in una prospettiva di lungo termine.
Si tenga presente, inoltre, che vi sono prove che gli hacker iraniani abbiano utilizzato le informazioni rinvenute nel corso delle infiltrazioni informatiche anche dopo molto tempo dagli attacchi: non va dunque ignorata la possibilità che l’obiettivo reale di queste campagne non sia il danno di breve periodo, ma la persistenza a lungo termine all’interno dei sistemi informatici colpiti, con danni incalcolabili alla sicurezza del settore pubblico e privato dei paesi target.
Una lezione, su tutte, si può trarre dall’osservazione dell’evoluzione della situazione mediorientale: l’intelligence e l’attività di spionaggio passano sempre più per la supremazia nel cyberspazio.
Riferimenti
| ↑1 | Il controverso gruppo di resistenza iraniano Mojahedin–e-Khalq (MEK) – conosciuto in occidente come People’s Mujahedin of Iran (PMOI). |
|---|---|
| ↑2 | Advanced Persistent Threat, una minaccia portata avanti da un avversario dotato di elevate competenze tecniche e grandi risorse umane e finanziarie, in grado di effettuare attacchi su larga scala, in maniera invisibile e per periodi di tempo molto estesi. |
