Da Guerre di Rete – newsletter di notizie cyber a cura di Carola Frediani

La notizia è la seguente: l’Albania ha ordinato allo staff diplomatico iraniano di lasciare il Paese, annunciando la rottura delle relazioni diplomatiche con Teheran. Il motivo è che la Repubblica islamica sarebbe dietro a un massiccio cyberattacco che ha colpito Tirana a metà luglio, bloccando in parte attività e servizi governativi. Come notano in molti, “è la prima volta che un Paese rompe ogni rapporto con un altro Stato a causa di un cyber attacco”.

Gli Stati Uniti confermano l’attribuzione e affermano di voler prendere “misure supplementari” contro l’Iran. “Gli Stati Uniti condannano severamente l’attacco informatico dell’Iran contro il nostro alleato della Nato, l’Albania”, ha scritto la portavoce del Consiglio di sicurezza nazionale della Casa Bianca, Adrien Watson in un comunicato.

L’attacco di metà luglio

Come conseguenza dell’attacco, avvenuto a metà luglio molti siti governativi albanesi diventarono inaccessibili, anche perché l’agenzia nazionale per la società dell’informazione (AKSHI) disabilitò molte piattaforme nello sforzo di contenere i danni. Poche settimane prima il governo del primo ministro Edi Rama (nella foto) aveva migrato online una serie di servizi per i cittadini, dalla registrazione nelle scuole al pagamento delle tasse. I cittadini albanesi sono rimasti dunque tagliati fuori da varie attività importanti, mentre alcuni media nelle prime ore incolpavano la Russia e l’opposizione se la prendeva col governo per aver accentrato troppi servizi sotto un’agenzia già criticata nella sua gestione (l’AKSHI) e a quanto pare non abbastanza sicura.

I report delle società di sicurezza e l’espulsione dei diplomatici

Passano alcune settimane, in cui sul campo  – per rimediare e investigare l’attacco  -lavorano molti soggetti: aziende locali e internazionali ma anche rappresentanti del governo statunitense.  Il 4 agosto la società di cybersicurezza Mandiant pubblica un rapporto in cui collega l’attacco in Albania all’Iran (lo vediamo dopo).

L’8 settembre è il turno di Microsoft, che fa la stessa cosa, aggiungendo molti dettagli succulenti (report) ma aspetta prima che esca allo scoperto il governo albanese, con una video-dichiarazione del suo primo ministro Edi Rama, il 7 settembre, in cui si annuncia la rottura delle relazioni diplomatiche con l’Iran. Le parole usate sono categoriche: si tratta “senza ombra di dubbio” di un’aggressione orchestrata dalla Repubblica islamica dell’Iran, attraverso 4 gruppi. Ci sono “prove inconfutabili”.

Rama ha anche detto che l’obiettivo dell’attacco era “la distruzione dell’infrastruttura digitale del governo dell’Albania e il furto di dati e comunicazioni dai sistemi governativi”. Ma anche che “l’attacco è fallito… e tutti i sistemi sono tornati pienamente operativi senza che ci sia stata una cancellazione irreversibile (wiping) di dati”.

Il ruolo del MEK

Come si diceva, a indicare l’Iran è stato inizialmente il report di Mandiant di inizio agosto, che aveva identificato uno specifico ransomware (e un wiper, un software malevolo che mira a distruggere dati) collegandoli a un’operazione politica contro il governo albanese, in concomitanza con una conferenza di un gruppo di opposizione iraniano che doveva tenersi non lontano da Tirana.

La campagna è stata condotta da una entità online di nome HomeLand Justice, che ha pubblicato un video dell’esecuzione del ransomware e anche documenti di soggiorno di membri del MEK (Mujahedeen-e-Khalq), il suddetto gruppo iraniano d’opposizione (la cui storia è stata anche violenta e non limpida, come raccontato in questo vecchio reportage del NYT), considerato terrorista dalla Repubblica islamica, e che è stato spesso target di attacchi da parte di Teheran.

Qui però usciamo dal report Mandiant per una parentesi sul MEK. In particolare il riferimento è a tremila iraniani appartenenti a tale organizzazione e ospitati nel campo militare di Ashraf 3, a Manez, prefettura di Durazzo, una trentina di chilometri da Tirana.

“Un gruppo – scrive Repubblica – a lungo incluso nella lista delle organizzazioni terroristiche sia negli Usa che in Europa, ma da anni riabilitato al punto che furono proprio gli americani a proporre al MEK di trasferirsi dall’Iraq all’Albania per mantenere viva l’opposizione al regime iraniano, e a convincere gli albanesi ad accettarli come ospiti. E fu Washington a finanziare il trasferimento e la realizzazione del campo”.

Oltre al campo però era in programma, nella stessa località, anche una conferenza, la Free Iran World Summit, prevista per il 23-24 luglio, (e poi rimandata per motivi di sicurezza) cui avrebbero dovuto partecipare anche alcuni parlamentari statunitensi e altri politici occidentali: alla base dell’incontro la richiesta all’amministrazione Biden di adottare una politica più netta contro il regime iraniano.

Da qui si capisce almeno il riferimento presente nella nota lasciata da chi ha perpetrato l’attacco ransomware che diceva (ponendosi come se fosse un attivista albanese e non un membro dell’intelligence iraniana): “Perché le nostre tasse devono essere spese a beneficio dei terroristi di Durazzo (dove è situato il campo)?  Ciò detto, i membri del MEK si trovano in Albania fin dal 2013, su richiesta di Onu e Usa. Dunque perché proprio adesso questo attacco?

Le ragioni dell’attacco e il ruolo della cyberwarfare tra Iran e Israele

Sicuramente c’è di mezzo, come nota la stessa Mandiant, lo stallo delle negoziazioni sul nucleare iraniano. Per cui questo recente attacco in Albania “indica che l’Iran si sente meno trattenuto nel condurre operazioni di cyberattacco”. Inoltre, l’espansione geografica che va oltre le solite operazioni iraniane distruttive, e arriva a colpire un membro Nato, “può indicare una accresciuta tolleranza del rischio” da parte iraniana.

Ma per capire meglio occorre introdurre anche un altro fattore, ovvero la cyberwarfare che sta andando avanti da un po’ di tempo e di cui quasi nessuno parla: che è quella tra Iran e Israele.
Ne scrivono diversi analisti ma è la stessa Microsoft a spiegarlo in un report che rafforza molto più di Mandiant l’attribuzione all’Iran dell’attacco, escludendo possibili false flags (operazioni di depistaggio in cui nel caso specifico l’attaccante sia un altro soggetto che finge di essere l’Iran).

Per Microsoft non ci sono dubbi e il report è ricco di dettagli anche tecnici per spiegare l’attribuzione. Ma, cosa più importante, c’è anche il movente. Che è pure contenuto nel logo degli attaccanti: un’aquila che caccia il simbolo di un altro gruppo di hacking, noto come Predatory Sparrows (fun fact: il simbolo di questo gruppo richiama Angry Birds). A sua volta inserito in una stella di David.

Per dirla con le parole di Microsoft: “L’attacco all’Albania è stata una ritorsione per le operazioni contro l’Iran da parte di [un gruppo di hacking noto come] Predatory Sparrow, operazioni che secondo Teheran coinvolgono Israele.

Predatory Sparrow ha rivendicato diversi cyberattacchi sofisticati e di alto profilo contro enti statali iraniani dal luglio 2021. Questi includono un cyberattacco a fine gennaio che ha modificato la programmazione tv del canale statale IRIB con immagini che rendevano onore a leader MEK. Predatory Sparrow aveva preavvisato dell’attacco ore prima (…) indicando il coinvolgimento di altri.

Funzionari iraniani hanno poi accusato il MEK dell’attacco, e successivamente hanno di nuovo incolpato il MEK e Israele di un altro cyberattacco che ha usato le stesse immagini e messaggi contro la municipalità di Teheran a giugno”.
In quell’attacco sono state messe fuori uso le videocamere di sicurezza cittadine, mentre il sito del comune è stato defacciato con immagini di leader MEK. Ma soprattutto a Predatory Sparrow sono attribuiti alcuni attacchi ad acciaierie iraniane avvenuti quest’estate, che avrebbero prodotti danni fisici: un dato che se confermato renderebbe la loro azione uno dei più netti esempi di cyberwarfare, insieme al più noto Stuxnet (non a caso accaduto sempre in Iran, in quel caso contro una centrale di arricchimento dell’uranio). Commentando la vicenda recente delle acciaierie, alcuni esperti di cybersicurezza avevano sottolineato le modalità professionali e militari di questo presunto gruppo di hacktivisti, ritenendo che fosse piuttosto un gruppo sponsorizzato da uno Stato.

Dunque l’attacco cyber iraniano in Albania nascerebbe in questo contesto. Come ha scritto in questi giorni anche The Grugq (noto venditore di exploit e conoscitore della scena cyber offensiva internazionale), gli attacchi contro l’Iran ci sono sempre stati ma alla fine del 2021 la cyber warfare ha visto un’escalation drammatica quando Predatory Sparrow ha danneggiato le infrastrutture critiche nazionali iraniane attraverso cyberattacchi.

Hanno iniziato attaccando le ferrovie e mostrando messaggi politici ai passeggeri.
“Predatory Sparrow ha cambiato i parametri del conflitto”, lanciando attacchi da “cyberwar”: danni fisici, infrastrutture critiche, contenuti e moventi politici ecc.

Eppure sono stati ignorati dai commentatori, sostiene The Grugq, che sembra d’accordo sul fatto che dietro a Predatory Sparrow ci possa essere Israele. E dunque, ipotizza l’esperto, gli iraniani hanno sentito il bisogno di rispondere a Predatory Sparrow scegliendo la conferenza del MEK di luglio. Hanno attaccato il governo albanese in una dimostrazione di forza, lanciando ransomware e wiper contro i sistemi governativi al punto da bloccare le attività statali.

Nel report di Microsoft ci sono molti dettagli tecnici su come è stato effettuato l’attacco. Sono entrati attraverso una vecchia vulnerabilità non “patchata” (non corretta), sono stati dentro per mesi, hanno esfiltrato (sottratto) mail, hanno poi usato un ransomware e un wiper, anche se per la fortuna del governo albanese quest’ultimo passaggio non è andato come previsto, e il “tentativo di distruzione ha avuto meno di un 10 per cento di impatto totale sull’ambiente del cliente”.

Ma, come ha notato John Hultquist, vice-president di intelligence di Mandiant, la vicenda ha mostrato come i sistemi governativi critici nei Paesi Nato siano vulnerabili e sotto attacco. E di qui si capisce anche la reazione (secondo alcuni, un eccesso di reazione) dell’Albania (e diciamolo, della Nato). Che non può permettersi di trovarsi con almeno due soggetti – Iran e Russia – dotati sia delle capacità tecniche sia della volontà di portargli la cyberwarfare, quella vera, in casa.

Foto Governo Albanese