Non era mai accaduto infatti che un Paese decidesse di rompere totalmente le relazioni con un altro a causa di un attacco di cyber offense. «In gioco non c’è solo la sicurezza (cyber e non) di questi due Paesi ma molto di più. Siamo in presenza di una vera e propria azione di cyberwarfare - guerra cibernetica» dice Pierguido Iezzi, numero uno di Swascan.Una situazione incandescente all’interno, dove montano le proteste in tutte le città per la morte di Masha Amini, ma anche un peggioramento delle relazioni diplomatiche all’estero, dopo l’attacco hacker di metà luglio all’Albania. L’Iran si trova nell’occhio del ciclone da quando il primo ministro albanese Edi Rama ha invitato tutto lo staff diplomatico iraniano a lasciare l’Albania rompendo del tutto le relazioni diplomatiche con Teheran. E’ una della prime volte che un cyber attacco provoca una crisi diplomatica. Una decisione storica, nel vero senso della parola. Non era mai accaduto infatti che un Paese decidesse di rompere totalmente le relazioni con un altro a causa di un attacco di cyber offense. La causa scatenante che ha portato il governo albanese a questa scelta risale appunto allo scorso metà luglio quando Tirana è stata colpita da un cyberattacco che ha bloccato in parte attività e servizi governativi. E dietro la violenta azione ci sarebbe l’Iran. Di questo sono convinti anche gli Stati Uniti che affermano tramite una dichiarazione di Adrien Watson, portavoce del Consiglio di sicurezza nazionale della Casa Bianca, che «Gli Stati Uniti condannano severamente l’attacco informatico dell’Iran contro il nostro alleato della Nato, l’Albania». Non è certo la prima volta che assistiamo ad attacchi cyber. «Ma questa vicenda è diversa dalle altre e meno lineare di quel che si pensi, per molteplici motivi» spiega Pierguido Iezzi, numero uno di Swascan parte del polo cyber di Tinexta group. «Perché l’Albania? Perché l’Iran? Perché c’è stata una così forte reazione senza precedenti? In gioco non c’è solo la sicurezza (cyber e non) di questi due Paesi ma molto di più. Siamo in presenza di una vera e propria azione di cyberwarfare - guerra cibernetica». Di mezzo c’è sicuramente lo stallo delle negoziazioni sul nucleare iraniano. L’attacco, infatti, "indica che l’Iran si sente meno trattenuto nel condurre operazioni di cyberattacco». Inoltre, l’espansione geografica che va oltre le solite operazioni iraniane distruttive e arriva fino a colpire un membro Nato (l’Albania, infatti, appartiene alla North Atlantic Treaty Organization - Organizzazione del Trattato del Nord Atlantico - dal 2009) “può indicare un’accresciuta tolleranza del rischio” da parte iraniana. «Ma per capire ancora maggiormente la complicata situazione, tutt’altro che chiara, occorre introdurre anche un altro fattore: la cyberwarfare che sta andando avanti da tempo e di cui quasi nessuno parla: quella tra Iran e Israele» precisa Iezzi. «Molti analisti ne scrivono ma è la stessa Microsoft, in un report, a rafforzare - e non poco - l’attribuzione all’Iran come artefice del cyberattacco in Albania ed esclude possibili “false flags”: operazioni di depistaggio in cui, nel caso specifico, colui che attacca sarebbe un altro soggetto che finge di essere l’Iran. Per l’azienda statunitense non ci sono dubbi e il report è ricco di dettagli, anche tecnici, che portano ad un unico colpevole dell’attacco: l’Iran». Ma, cosa molto importante, oltre alle informazioni, è spiegato anche il movente, contenuto nel logo di coloro che hanno attaccato: un’aquila che caccia il simbolo di un altro gruppo di hacking noto come Predatory Sparrows (il simbolo di questo gruppo richiama Angry Birds), a sua volta inserito in una stella di David.«L’attacco all’Albania è stata una ritorsione per le operazioni contro l’Iran da parte di (un gruppo di hacking noto come) Predatory Sparrow, operazioni che secondo Teheran coinvolgono Israele», queste le parole di Microsoft, che sottolinea: Predatory Sparrow ha rivendicato diversi cyberattacchi sofisticati e di alto profilo contro enti statali iraniani dal luglio 2021. Questi includono un cyberattacco a fine gennaio che ha modificato la programmazione tv del canale statale Irib con immagini che rendevano onore a leader Mek. Predatory Sparrow aveva preavvisato dell’attacco ore prima (...) indicando il coinvolgimento di altri. Funzionari iraniani hanno poi accusato il Mek dell’attacco e successivamente hanno di nuovo incolpato il Mek e Israele di un altro cyberattacco che ha usato le stesse immagini e messaggi contro la municipalità di Teheran a giugno». In quell’attacco erano state messe fuori uso le videocamere di sicurezza cittadine mentre il sito del comune era stato vittima di defacing con immagini di leader del Mek.Per capire i perché della complicata situazione che si è venuta a creare tra i due Paesi (e non solo) bisogna innanzitutto comprendere come è avvenuto il cyberattacco dello scorso metà luglio. «Molti siti governativi albanesi sono diventati all’improvviso inaccessibili per tutti con vari disagi alla disponibilità dei servizi al pubblico e non solo» aggiunge Iezzi. «Come se non bastasse, solo poche settimane prima, in Albania, il governo di Edi Rama aveva deciso di migrare online una serie di servizi per i cittadini: dalla registrazione nelle scuole al pagamento delle tasse. Come conseguenza, molti cittadini si sono trovati quindi tagliati fuori da importanti attività. Alcuni media, intanto, incolpavano la Russia e l’opposizione se la prendeva invece con il governo per aver deciso di accentrare tanti servizi - troppi secondo loro - tutti al di sotto di un’agenzia già criticata nella sua gestione e, a quanto pare, non abbastanza sicura: Akshi». Passano settimane per scoprire chi sia l’artefice del cyberattacco e sul campo, per rimediare e investigare - lavorano molti soggetti: dalle aziende locali a quelle internazionali con anche l’aiuto di rappresentanti del governo Usa. Il 4 agosto è il giorno decisivo: è la data in cui Mandiant, società di sicurezza informatica americana, pubblica un rapporto che collega l’attacco in Albania all’Iran. A questa azione si aggiunge poi anche Microsoft che, l’8 settembre, accusa l’Iran, come fatto in precedenza da Mandiant, di essere l’artefice del cyberattacco e inoltre aggiunge molti nuovi dettagli. Come si è detto, è stato Mandiant ad inizio agosto ad indicare l’Iran come artefice del grave attacco in Albania. La società statunitense, attraverso un report, aveva identificato uno specifico ransomware - un tipo di malware che limita l’accesso del dispositivo che infetta e che porta ad una successiva richiesta di riscatto da pagare per rimuovere la limitazione - e un wiper, ossia un software malevolo che mira alla distruzione dei dati, collegandoli ad un’operazione politica diretta contro il governo albanese. Tutto questo in concomitanza con una conferenza di un gruppo di opposizione iraniano che doveva tenersi non lontano da Tirana. La campagna è stata condotta da HomeLand Justice, entità online, che ha pubblicato un video dell’esecuzione del ransomware e anche di documenti di soggiorno di membri del Mek (Mujaheddin del Popolo iraniano o anche Mujahedeen-e-Khalq), il suddetto gruppo di opposizione iraniano la cui storia è stata anche violenta e per niente limpida, come raccontato in un vecchio reportage del The New York Times. Questo gruppo è considerato terrorista dalla Repubblica islamica ed è stato spesso target di attacchi da parte di Teheran. Un gruppo a lungo incluso nella lista delle organizzazioni terroristiche sia negli USA che in Europa ma da anni riabilitato al punto che furono proprio gli americani a proporre al Mek di trasferirsi dall’Iran all’Albania per mantenere viva l’opposizione al regime iraniano e a convincere gli albanesi ad accettarli come ospiti.