L'Australia allerta su attacchi ransomware dall'Iran, una storia che ci può interessare
Buona domenica e ben ritrovato caro cyber User. Questa settimana, che NINAsec esce di domenica piuttosto che di sabato, come tradizione, torniamo a parlare di Iran e di ciò che l'incessante guerra interna, sta scatenando. In particolare voglio analizzare un fatto che negli ultimi giorni ha occupato pagine di cronaca: l'Australia che allerta, preoccupata, le proprie organizzazioni per attacchi ransomware guidati dall'Iran. Può essere un pericolo anche per l'Europa e l'Italia. Difficilmente attacchi così politicamente motivati, possono tenere i Paesi non affini, lontani dal pericolo.
Da un'inchiesta parlamentare che indaga sulle recenti violazioni dei diritti umani in Iran, svolta dall'Australia, il cui rapporto non è ancora stato ufficialmente presentato, sembra aver raccolto prove di segnalazioni di sorveglianza e abusi da parte del regime contro australiani-iraniani che si sono espressi contrari alla Repubblica islamica (ad esempio diplomatici iraniani in Australia).
Il tutto inizia con la pressione di Stati Uniti, UE, Gran Bretagna e altri paesi per inserire nella lista nera l'IRGC (Corpo delle Guardie Rivoluzionarie Islamiche) per la brutale repressione dei manifestanti, che ha visto più di 19.000 persone arrestate e oltre 500 uccise. Manifestazioni che vanno avanti dalla morte in custodia cautelare (in carcere) della 22enne Mahsa Amini (Jina Amini) il 16 settembre scorso.
L'Australian Signals Directorate (ASD) in risposta a questa inchiesta tramite i dubbi posti dalla viceministro degli affari esteri Claire Chandler, ha collegato un rapporto di settembre del Joint Cybersecurity Advisory (CSA).
La continua attività informatica dannosa da parte di attori di minacce persistenti avanzate (APT) che le agenzie di creazione ritengono siano affiliati al Corpo della Guardia rivoluzionaria islamica (IRGC) del governo iraniano
"Gli attori affiliati all'IRGC stanno attivamente prendendo di mira un'ampia gamma di entità, comprese entità in più settori di infrastrutture critiche statunitensi, nonché organizzazioni australiane, canadesi e del Regno Unito", afferma il rapporto.
Suggerisce che dopo aver ottenuto l'accesso a una rete, "gli attori affiliati all'IRGC probabilmente determinano una linea d'azione basata sul loro valore percepito dei dati".
A questo punto si stabilisce il modus operandi, che è quello tipico dei gruppi ransomware attuali. I criminali analizzano che tipo di dati hanno acceduto. Se il valore è ritenuto strategico si interviene con la crittografia, per renderne impossibile l'accesso all'utente vittima dell'attacco, e nel caso si sceglie anche di esfiltrarne il contenuto per vendita proattiva oppure per future richieste di riscatto estorsive.
Un dettaglio interessante di queste report, che ha ispirato parte di questa recente inchiesta parlamentare, è che viene operata quasi una vera e propria attribuzione di responsabilità sugli attacchi analizzati. Infatti sembra che gli attori malevoli, operino spesso sotto il patrocinio di di Najee Technology Hooshmand Fater LLC, con sede a Karaj, Iran, e Afkar System Yazd Company, con sede a Yazd, Iran.
Bisogna ricordare inoltre che l'IRGC rimane profondamente radicato nel sistema politico iraniano, nonostante le sanzioni e gli atti di forza impressi dagli Stati Uniti negli ultimi 4 anni, ad esempio è noto come dozzine di ex ufficiali dell'IRGC siano stati collocati in posizioni di rilievo nel governo iraniano.
Questa inchiesta dell'Australia, deve secondo me far scaturire una utile riflessione su tutti i Paesi coinvolti, che prendono parte alle "manifestazioni" contro il regime islamico. Non per forza presenti fisicamente sul campo, ma al fianco degli Stati Uniti (la cui posizione è netta), o la cui opinione è pubblicamente risaputa.
Il report sugli attacchi ransomware infatti ha rilevato attacchi anche in Regno Unito, molto vicino a noi ed è facile che la rappresaglia cyber, guidata dal movente politico, continui a spostarsi verso l'Europa. La posizione nostrana infatti difficilmente sarà patteggiante per il regime islamico, quindi anche le nostre organizzazioni dovrebbero presto essere allertate di questo pericolo, visto che l'attività non sembra cessare.
I punti più critici da tenere sotto controllo sono le vulnerabilità note su Fortinet e di Microsoft Exchange, ma anche quelle che riguardano VMware Horizon Log4j.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.