Le proteste in Iran e l'attivismo cyber dei ransomware
Buon sabato e ben ritrovato caro cyber User.
Oggi ti parlo di:
Lo stato delle proteste (ransomware) in Iran
Sappiamo che ormai da mesi in Iran ci sono diverse ripetute proteste contro il regime dittatoriale che governa il Paese. Proteste acuite dalla morte (molto controversa) di Masah Amini, durante la sua detenzione.
Il ruolo della donna, in questo scenario, sta diventando cruciale e sono proprio le donne che in gran parte, sono le protagoniste delle proteste, avendo fatto diventare caratteristico di questo periodo storico, il gesto di eliminazione del proprio velo (obbligatorio per la legge morale del posto) in piazza e il successivo prendere fuoco, davanti a tutti.
Tutte queste proteste si stanno traducendo in gravi impatti per la società locale, il governo infatti ha bloccato ormai da settimane, l'accesso a gran parte delle piattaforme di informazione e di social media globali, per tutti i cittadini delle città maggiormente interessate. Stanno emergendo inoltre casi (spesso occultati) di stupro contro le donne che vengono arrestate perché parte delle proteste e addirittura, secondo un recente rapporto della CNN, sembra che l'arresto sia spesso solo una scusa per approfittare sessualmente di giovani donne scelte ad hoc, ragazzi minori e anche uomini adulti. La violenza sessuale dunque mette ancora più in luce il ruolo cruciale della donna in questo Iran.
Tutto questo ha scatenato l'ira (in risposta), oltre che di tutte le organizzazioni umanitarie del pianeta che stanno in tutti i modi condannando le brutalità, anche di molteplici gruppi di hacktivismo che stanno coalizzando le proprie forze cyber, contro target iraniani proprio in difesa delle proteste in corso e contro il regime del governo.
Solitamente è un attivismo cyber abbastanza geolocalizzato nelle regioni a lingua Farsi e prende di mira direttamente le organizzazioni governative sotto il regime (contestato dalle proteste appunto), oppure altri gruppi noti per il proprio schieramento pro regime in Iran.
È questo il caso per esempio del gruppo Stormous ransomware, che proprio di recente si è visto compromesso il proprio sito Web onion (sotto rete Tor), rivendicato poi dal gruppo Arvin Club (collettivo di attivisti in lingua Farsi a tutti gli effetti), che ne ha confermato l'attribuzione dell'attacco.
"Yes, the hacking of stormous website was our work. This Arabic-speaking group does not even have the ability to launch a website. Pretentious novices".
Arvin Club è nato come gruppo di ransom (sfruttavano dati trapelati per chiedere un riscatto alla vittima) ma ha decisamente cambiato obiettivo da circa un anno: frenare il regime islamico iraniano con attacchi informatici alle strutture prevalentemente governative. Tra le proprie operazioni, contro il regime dell'Iran, si evidenzia il Ministero della Cultura e della Guida Islamica e il sito delle banche statali di Khomeini nonché importanti altri target non ancora resi pubblici volontariamente.
Come questo ci sono tanti altri gruppi cyber che si stanno occupando di Iran, dal punto di vista della protesta informatica. In effetti sembra che l'Iran abbia oscurato da visione del Web ai propri cittadini, ma non riesca a chiudere le frontiere Internet per chi vi vuole entrare dal di fuori.
Gli appelli alla protesta sono stati ampiamente diffusi: negli ultimi giorni affermano di trasformare le strade e il cyber spazio nell'inferno degli attuali dittatori.
Un nuovo gruppo di hacker (appena formato) ha pubblicato le informazioni del "Team di protezione del ministro della giustizia" della Repubblica islamica. Itinerari del movimento delle truppe, profilo del team corrispondenza con il Ministero, Targhe automobilistiche e... Il file audio di riunioni dei deputati, contenente punti importanti sulla gestione economica che (Gasem Soleimani) ha avuto in entrata e uscita (rapporti di spesa non pubblici).
Non è detto sia correlata all'attività in Iran, però proprio negli ultimi dieci giorni rimane un fatto degno di nota, la comparsa di due nuovi gruppi ransomware/data leak site. Play Ransomware e un secondo gruppo anonimo che però ha fatto girare il proprio sito Web onion.
Oltre l'armamento attivistico, tra gli impatti cyber di questa vicenda iraniana compaiono iniziative dei grandi player globali.
Per esempio è notizia recente che Huawei abbia implementato la cancellazione automatica dei video delle proteste che si sono svolte in Cina durante il fine settimana, senza alcuna notifica ai proprietari.
Lo riferisce l'agenzia di stampa Clash Report e questo insegna come un partner vicino ad un governo abbastanza poco limpido e lontano da una democrazia, possa spingere l'azione del governo stesso senza considerare i clienti come persone con diritti da tutelare. Il tutto è facilmente applicabile anche in Iran, qualora nascano particolari partnership tech con il governo attuale.
L'onda cyber iraniana continua anche con il "problema" in Albania. A settembre, l'Albania ha interrotto le relazioni diplomatiche con l'Iran a causa di un attacco informatico del 15 luglio che ha temporaneamente bloccato numerosi servizi digitali e siti web del governo albanese. Tirana ha definito l'interruzione un atto di "aggressione di stato".
Da allora, ci sono stati diversi attacchi informatici più lievi dalla stessa fonte iraniana.
Il governo degli Stati Uniti ha imposto sanzioni all'agenzia di intelligence iraniana e alla sua leadership in risposta all'attacco informatico di luglio.
Dalle indagini, mercoledì appena passato è emerso che i pubblici ministeri albanesi abbiano chiesto gli arresti domiciliari di cinque dipendenti pubblici accusati di non aver protetto il Paese dall'attacco informatico da parte di presunti hacker iraniani.
Due brevi aggiornamenti
Hive ransomware V5 ha il suo decryptor, pubblico ed accessibile a tutti. Lo trovate qui.
Un tool sotto rete Tor, utile per chiunque stia documentando scenari particolarmente strategici dal punto di vista del rischio personale, vedi Ucraina e Iran, consente di rimuovere i metadati da video o immagini, prima di condividerle. Lo trovate qui (onion, sotto l'immagine del servizio).
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.