L’agenzia americana per la sicurezza delle reti e delle infrastrutture, Cisa, ha diramato l’allarme rosso. A seguito delle tensioni con l’Iran di Khamenei causate dall’uccisione del generale Qassem Soleimani su ordine di Trump, adesso si temono attacchi cibernetici da parte della repubblica islamica.
Allarme che acquista particolare significato dopo l’inondazione di Twitter con messaggi anti Trump, la compromissione di centinaia di siti web americani e la violazione della Libreria Federale attraverso cui il governo diffonde gratis le proprie pubblicazioni. Il suo magazzino digitale era stato defacciato sabato scorso e l'homepage sostituita con l’immagine del presidente Trump preso a pugni mentre versa sangue dalla bocca, rivendicato da un presunto gruppo di hacker iraniani.
Così, come Agi aveva anticipato, adesso è la Cisa a chiedere formalmente a chiunque, nel settore pubblico e privato, di aumentare l’attenzione verso qualsiasi azione possa indicare un minaccia iraniana nel cyberspazio, compresi defacement che alcuni osservatori troppo frettolosamente avevano considerato di scarsa importanza. I cyberdefender americani invece sono consapevoli che ogni piccola azione in un mondo interconnesso può significare altro e determinare danni di lunga durata. D’altra parte il depistaggio e i falsi positivi sono la regola in un mondo, quello informatico, dove l’attribuzione dei cyberattacchi non è mai certa fino in fondo. Pochi mesi fa ad esempio, un gruppo di hacker russi avevano condotto degli attacchi digitali fingendosi iraniani e utilizzando le stesse infrastrutture cibernetiche persiane.
Nello specifico Cisa richiede di agire con consapevolezza, mantenendo tutto il personale a disposizione, evitando buchi nell’organico, limitando la diffusione di informazioni, garantendo che ognuno sappia come identificare e segnalare comportamenti anomali, soprattutto riferendo di ogni indicatore di compromissioni di tattiche, tecniche e procedure (TTP) per una risposta immediata. Infine richiede di adottare un piano di gestione del rischio da metter in campo durante e dopo eventuali incidenti.
Per aiutare i meno esperti a capire di cosa si tratta nel comunicato rilasciato il giorno della Befana, Cisa indica i cyberattacchi iraniani di maggior successo degli ultimi anni e che Agi aveva già elencato: i Distributed Denial of Service o DDoS (gli attacchi da negazione di servizio), contro il settore finanziario del 2012/2013; l’intrusione nel sistema di gestione della diga di New York (2013); l’attacco al casinò di Las Vegas, Sands, e il furto di dati, credenziali e proprietà intellettuale avvenuto ai danni di centinaia di obiettivi tra Università, Commissione energetica e Nazioni Unite avvenuto nel 2017.
Per mitigare e contrastare eventuali danni, le azioni consigliate, non esaustive, includono la preparazione agli incidenti. E pertanto in maniera meticolosa invitano a:
• disabilitare porte informatiche e protocolli non necessari ma di monitorare quelli che consentono “comando e controllo”;
• migliorare il monitoraggio del traffico di rete e delle e-mail limitando gli allegati;
• correggere le vulnerabilità critiche che potrebbero consentire l'esecuzione di codice da remoto;
• limitare l’uso di PowerShell agli utenti e agli account che ne hanno bisogno;
• aggiornare e archiviare con cura il backup di dati e informazioni critiche.
E terminano il loro warning con una lista delle tecniche più usate dagli APT iraniani, gruppi esperti di hacker che vengono dai ranghi dell’esercito e dell’intellingence e talvolta assoldati a contratto nelle università. Questi gruppi dai nomi buffi o evocativi, OilRig, Charming Kitty, Enchanting Kitty Cleaver, sono gli stessi che in diverse occasioni aziende di cybersecurity e gruppi di esperti come Mitre, hanno ritenuto responsabili delle azioni più devastanti in Medio ed Estremo oriente, ma che potrebbero già stare dentro le infrastrutture americane. APT vuol dire “Advanced Permanent Threat”, cioè “minaccia avanzata persistente”, proprio per indicarne la tecnica continuativa di hacking: avanzata e persistente nel tempo, appunto.
E tuttavia esperti come gli italiani Pierluigi Paganini di Cybaze o Viktor Kamluk di Kaspersky avvertono del rischio di false attribuzioni (false flag), anche quando si presume che in gioco siano gruppi “nation state”, cioè finanziati da governi canaglia già noti per farlo. E consigliano di parlare di gruppi hacker di lingua farsi, russa, cinese, inglese o spagnola.
A confermare i timori di attacchi di bassa e media intensità contro le infrastrutture energetiche, dei trasporti e governative, orientati sia allo spionaggio che al sabotaggio, arrivano le buone performance di borsa di aziende di cybersecurity come Crowdstrike e FireEye che hanno aumentato il valore delle loro azioni fino al 4%.