Il pericolo di una cyberwar, oltre alla guerra, si inserisce nella valanga di eventi seguiti all’uccisione del generale iraniano Qassem Soleimani e nel ping-pong di minacce che rimbalzano fra Washington e Teheran. In seguito all’attacco iraniano alle basi Usa in Iraq e dopo lo schianto (le cui cause sono ancora da chiarire) di un Boeing 737 di Ukraine International Airlines subito dopo il decollo dall’aeroporto della capitale iraniana, lo scenario si fa via via più drammatico. E le previsioni per il 2020 di molti vendor di sicurezza informatica sembrano già sul punto di realizzarsi.
A fine 2019 svariati report di aziende del settore inserivano la guerra cibernetica e l’uso massiccio di tecnologie di intelligence informatica da parte dei governi nell’elenco delle tendenze in ascesa. Solo poche settimane fa Bitdefender scriveva che “La guerra commerciale in corso tra Stati Uniti e Cina e il crescente divario tra le due super economie è un chiaro indicatore di questa tendenza. Il contesto geopolitico alimenterà lo sviluppo e l’uso di armi informatiche a fini di spionaggio o manipolazione politica, o addirittura per attaccare infrastrutture critiche”.
Un po’ tutti aspettavano l’approssimarsi delle elezioni presidenziali statunitensi di novembre per osservare un’impennata di fake news e magari (come avvenuto nel 2016 ai danni dell’entourage democratico e della candidata Hillary Clinton) di attacchi informatici diretti verso gli avversari politici. Ma ciò che sta accadendo in questi primi giorni di gennaio ha fatto esplodere improvvisamente il livello del conflitto e delle preoccupazioni.
In settimana su Twitter Christopher Krebs, il direttore della Cybersecurity and Infrastructure Security Agency (Cisa) statunitense, ha citato un suo stesso tweet della scorsa estate, nel quale invitava le aziende e le istituzioni a innalzare i livelli di guardia. Già mesi fa la Cisa si diceva “a conoscenza di un recente aumento di attività cibernetiche malevole dirette da attori e delegati del regime iraniano verso aziende e agenzie governative statunitensi”. A spingere questi soggetti ci sarebbe non soltanto il desiderio di trafugare dati e denaro attraverso il phishing, il furto di credenziali e altri mezzi: molti agirebbero con l’intenzione di compromettere intere reti informatiche. D’altra parte è già successo in passato, come nell’attacco alla Borsa di New York e al Nasdaq del 2011 e in quello, tentato, alla diga di Rye del 2013.
Oggi il governo Usa non è l’unico a tenere gli occhi spalancati. “Come Proofpoint stiamo seguendo con attenzione i gruppi sponsorizzati dallo stato iraniano, e per il momento non abbiamo visto variazioni di rilievo”, testimonia Sherrod DeGrippo, direttrice senior delle attività di Threat Research and Detection di Proofpoint, a proposito del rischio di una cyberwar su larga scala. “Storicamente, l'Iran ha una capacità informatica solida e comprovata, con numerosi gruppi che hanno missioni e obiettivi differenti. Hanno ampie capacità di accesso, solide infrastrutture e un programma professionale organizzato. Detto questo, è difficile prevedere come potranno comportarsi in futuro”.
In anni recenti, spiega la ricercatrice di Proofpoint, i gruppi hacker sponsorizzati dallo stato iraniano si sono concentrati su bersagli specifici e strategici, per esempio inviando email-trappola scritte in lingua araba e persiana a cittadini stranieri inseriti negli ambienti accademici. “L'Iran ha generalmente concentrato gran parte delle proprie capacità su obiettivi in Medio Oriente, la propria area di riferimento, lasciando in secondo piano altre regioni. Hanno inoltre preso di mira settori verticali, tra cui società finanziarie, governative e aziende di tecnologia di protezione”, sottolinea DeGrippo. Le reti informatiche delle aziende straniere vengono violate, solitamente tramite attacchi email, per poter trafugare segreti industriali o per compromettere il funzionamento delle reti stesse.
In assenza della sfera di cristallo, alla luce dei recenti eventi internazionali anche le aziende private, le università e gli enti pubblici apparentemente estranei al conflitto Usa-Iran dovranno potenziare le misure di sicurezza, poiché un attacco cibernetico sponsorizzato da uno Stato nemico può avere impatti reali distruttivi. Come rimarcato da DeGrippo, “L’interruzione di una rete elettrica, il blocco dei servizi di interi comuni, ostacoli alle capacità dell'intelligence di sicurezza nazionale e persino la manipolazione di elezioni politiche sono esempi di cyberattacchi reali”.