Dal report Segreto spunta la pista iraniana

Una ridda di ipotesi avvolge l'attacco ancora in corso al Centro elaborazione dati della Regione Lazio che ha spento il portale Salute Lazio e quello della rete vaccinale. Secondo i primi accertamenti della Polizia postale l'attacco sarebbe arrivato dall'estero. Ma chi è stato? I soliti hacker russi, forse i cinesi oppure sono stati gli abilissimi hacker nord coreani? Chi è stato ad inviare un ransomware, un virus che blocca i sistemi informatici criptandoli e che chiede quasi sempre un riscatto in Bitcoin? E se l'attacco fosse stato sferrato dall'Unità cibernetica del Corpo delle Guardie rivoluzionarie islamiche iraniane meglio conosciuta come Unità 13 o Intelligence Team 13 , sottogruppo dell'Unità Irgc Shahid Kaveh? Una tesi azzardata?In Israele, dove nell'aprile del 2020 l'Iran lanciò un cyber-attacco in grande stile contro il sistema idrico nazionale, la pensano diversamente e scorrendo un segretissimo Report di 57 pagine che è stato pubblicato da Sky News lunedì scorso emergono allarmanti notizie sulle attività degli hacker della Repubblica islamica, e i dubbi sull'Unità 13 aumentano. Nelle cinque cartelle del Report troviamo sulla parte superiore di quasi tutti file una citazione di Alì Khamenei, leader supremo dell'Iran: «La Repubblica islamica dell'Iran deve diventare tra le più potenti al mondo nell'area della cyber»; ci sono i piani iraniani per hackerare le infrastrutture sensibili nei Paesi occidentali, compresa l'Europa e quindi anche l'Italia. Tra le strutture da violare ci sono banche dati di infrastrutture governative, sistemi idrici di zavorra delle navi da carico, serbatoi di carburante delle stazioni di servizio che potrebbero esplodere e sistemi satellitari utilizzati dall'industria navale globale. Grande attenzione degli hacker iraniani è rivolta ad alcuni software conosciuti come Building Management System (BMS) che gestiscono luci, riscaldamento e ventilazione, ascensori, controllo accessi e sistemi di sicurezza negli edifici intelligenti in tutto il mondo compresi aeroporti, metropolitane, porti e stazioni ferroviarie. In particolare, i sistemi che gli iraniani vogliono e possono violare dopo attenti studi son quelli Honeywell, Schneider Electric, Siemens e i sistemi della KMC Controls.Ma l'attacco alla Regione Lazio potrebbe essere opera di hacker iraniani? Secondo Pierluigi Paganini esperto di Cybersecurity ed Intelligence: «L'Unità 13 ha le capacità tecniche per condurre un attacco come quello con il quale ci stiamo confrontando in queste ore, tuttavia le relative tecniche, tattiche e procedure (TTPs) sono dissimili da quelle che stiamo osservando per l'attacco alla Regione Lazio. I vari gruppi APT (Advanced PersistentThreat) riconducibili al Governo iraniano che osserviamo da alcuni anni hanno caratteristiche ben definite ed operano con modalità specifiche. L'attacco alla Regione Lazio parrebbe avere una matrice criminale e non di 'Nation-State». Sulle modalità con le quali la Regione Lazio è stata messa in ginocchio Paganini non ha dubbi: «L'accesso è avvenuto attraverso credenziali VPN (rete virtuale privata) di un dipendente. Le Vpn sono strumenti che consentono ad un dipendente di connettersi in remoto, in sicurezza, alla rete della propria azienda. Il problema è che gli attaccanti sono riusciti ad ottenere le credenziali di accesso VPN di un dipendente e quindi di avere accesso alla rete della Regione. Volendo fare un paragone, è come aver ottenuto le chiavi della porta di accesso alla struttura. Una volta entrati nella rete, gli attaccanti hanno utilizzato malware e tool per fare intelligence sulla struttura compromessa, rubare ulteriori credenziali per accedere a sistemi ospitati su essi e successivamente distribuire il ransomware che ne cifra le informazioni contenute».Ben Wallace, Segretario alla Difesa britannico, ha affermato a Sky News che i documenti iraniani «mostrano quanto siano vulnerabili il Regno Unito e i suoi alleati agli attacchi informatici. Se non facciamo qualcosa al riguardo, la nostra infrastruttura nazionale critica, il nostro stile di vita potrebbe essere minacciato abbastanza facilmente». Gruppi come l'Unità 13 tuttavia rappresentano una seria minaccia anche per le aziende di tutto il mondo proprio per gli interessi e le capacità rivelate dal Report. Pensiamo alle società che operano nel settore energetico, in passato oggetto di importanti attacchi da parte di Unità governative Iraniane. Quanto accaduto dal gigante petrolifero Saudi Aramco anni addietro potrebbe accadere nuovamente, in quell'occasione gruppi riconducibili al governo iraniano impiegarono un wiper, ovvero un malware che infettò e distrusse letteralmente oltre 30.000 sistemi della compagnia.Per tornare a quanto accade in queste ore alla Regione Lazio una volta che si riuscirà a ripristinare il tutto sempre che sia possibile, oltre a sapere chi è stato a muovere l'attacco andranno chiarite le responsabilità di chi avrebbe dovuto vigiliare e quindi impedire l'attacco cyber. Secondo una fonte della Verità che opera a livello istituzionale in ambito Nato lo scenario è ancora più allarmante: «Sono molte le cose che non hanno funzionato in questa vicenda e andranno chiarite al più presto perché nel mirino ci sono altre infrastrutture sensibili e quello che si sta vivendo in queste ore non è nulla in confronto alle potenzialità di questi gruppi criminali».