Un importante gruppo di sicurezza informatica ha indagato sulle operazioni contro i siti web governativi in Iran e ha concluso che, a causa della struttura dell’Internet iraniano e della sua separazione dall’Internet globale, le operazioni contro i siti web governativi, compresi quelli della Radio e Televisione di Stato il 27 gennaio 2022, del Ministero degli Affari Esteri il 7 maggio 2023 e dell’Ufficio del Presidente il 29 maggio 2023, sono state condotte per infiltrazione e non possono essere il risultato di una penetrazione dall’esterno dell’Iran.
Negli ultimi anni, il gruppo di sicurezza informatica Treadstone71 ha pubblicato diversi rapporti sul governo iraniano e i suoi attacchi informatici e si è evoluto come un’autorità in questo campo.
Il rapporto di Treadstone71 sottolinea che i principali attacchi ai siti del governo iraniano sono stati condotti molto probabilmente da penetrazioni dall’interno dell’Iran, in particolare da insider che avevano accesso a questi sistemi.
Dal gennaio 2022, molti dei siti web più importanti del governo iraniano, così come i sistemi online della municipalità di Teheran e delle reti radiotelevisive nazionali, sono stati oggetto di attacchi massicci.
Il gruppo “Gyamsarnegouni (“Rivolta fino al rovesciamento”) si è assunto la responsabilità dei principali attacchi e ha divulgato ampi documenti governativi interni del governo iraniano sul suo account Telegram. Il gruppo ha deturpato le home page di alcuni siti web, pubblicando immagini cancellate della Guida Suprema Ali Khamenei e posizionando le foto dei leader dell’opposizione iraniana.
Nel 2022, le strutture e i servizi Internet del governo albanese sono stati presi di mira da un massiccio attacco informatico che ha causato molti problemi. Un’indagine approfondita di Microsoft e altri ha puntato il dito contro Teheran.
Secondo la valutazione di Treadstone71, “l’Iran ha una lunga storia di attacchi alla sicurezza informatica e, secondo alcune statistiche, si colloca al quinto posto tra le nazioni note per aver preso di mira i propri avversari attraverso la guerra informatica”.
“Come precauzione di sicurezza”, osserva Treadstone71 nel suo rapporto, “l’Iran ha deciso di spostare i suoi siti web governativi dai server di hosting europei a società di hosting nazionali, come parte della sua ‘Internet nazionale'”, e di conseguenza “tutti i siti web governativi e controllati dallo Stato sono stati trasferiti da server di hosting europei e americani a host nazionali”, e “l’accesso a siti web governativi e controllati dallo Stato selezionati è stato limitato alla ‘Internet nazionale’, rendendoli inaccessibili attraverso l’Internet globale”.
Il rapporto di Treadstone71 sottolinea che “abbiamo assistito anche a un altro tipo di attacco, distinto da quelli che infiltrano siti web governativi su servizi di hosting iraniani vulnerabili: quelli effettuati da Gyamsarnegouni (“Uprising till Overthrow”). Gli attacchi condotti da questo gruppo sono stati tra le infiltrazioni più profonde contro le reti del governo iraniano”.
Il rapporto osserva che:
Questi attacchi si sono distinti per tre caratteristiche fondamentali:
1. La portata dell’infiltrazione nelle reti governative più sicure, paragonabile solo all’attacco Stuxnet (che ha utilizzato una chiavetta USB).
2. Il volume dei documenti esfiltrati.
3. L’accesso diffuso a server e computer.
Il rapporto di Treadstone71 sottolinea che le reti radiotelevisive statali, soprattutto in Paesi non democratici come l’Iran, “sono tra le reti più isolate e più protette”. Si legge inoltre: “La rete radiotelevisiva interna iraniana non è connessa a Internet ed è gravemente isolata; ciò significa che è fisicamente isolata da Internet e vi si può accedere solo dall’interno… L’unico modo per un estraneo di accedere alla rete sarebbe l’infiltrazione fisica”.
Nel gennaio 2022, i media iraniani hanno sottolineato che le istituzioni governative ritengono che l’attacco sia stato condotto da persone che avevano informazioni interne sui sistemi radiotelevisivi di Stato iraniani.
L’attacco ai siti web della municipalità di Teheran del 2 giugno 2022 comprendeva l’intrusione in 5.000 telecamere utilizzate per il controllo del traffico e il riconoscimento dei volti. Secondo Treadstone71, gli hacker “avrebbero saputo che le telecamere non erano collegate a Internet e che avrebbero dovuto ottenere l’accesso fisico alle telecamere per violarle”.
Ma le scoperte più sorprendenti di Treadstone71 riguardano i due attacchi di alto profilo e che hanno attirato l’attenzione di Gyamsarnegouni nel maggio 2023.
Durante l’attacco al sito web del Ministero degli Affari Esteri iraniano, gli hacker hanno avuto accesso a 50 terabyte di dati provenienti dagli archivi del Ministero. Secondo la valutazione di Treadstone71, ciò ha richiesto “la penetrazione negli strati più interni di questo organismo governativo”. La natura dei documenti trapelati indica che tali documenti sarebbero inaccessibili da Internet, a ulteriore sostegno dei sospetti di coinvolgimento di persone interne”.
La valutazione degli esperti di Treadstone71 ha concluso che “il trasferimento di 50 TB di dati non sarebbe stato possibile da remoto – e su una rete filtrata come quella iraniana”, e ha aggiunto che le dimensioni dell’hack sono rivelatrici anche delle modalità di esecuzione.
“La normale velocità di download di Internet in Iran è di 11,8 megabit al secondo. Per scaricare 50 terabyte di dati dal Ministero degli Affari Esteri iraniano a questa velocità ci vorrebbero più di 392 giorni o più di un anno di tempo di download ininterrotto, e l’Internet iraniano cade spesso, viene strozzato dal governo e subisce regolarmente blackout indotti dal governo”, si legge nel rapporto.
“Sulla base di questi numeri, è altamente probabile che un attacco di questo tipo sia avvenuto grazie all’accesso diretto ai dati”.
In relazione all’attacco al sito web dell’ufficio presidenziale, gli hacker hanno violato i sistemi di comunicazione più sicuri del governo e hanno ottenuto decine di migliaia di documenti risalenti a non più di qualche mese fa.
Secondo un esperto iraniano, questo sito “utilizzava un indirizzo IP dedicato che era impenetrabile”.
“Il fatto che gli hacker abbiano avuto accesso a decine di migliaia di documenti risalenti a non più di qualche mese fa suggerisce che l’attacco sia stato condotto da persone interne. Questi documenti sarebbero stati archiviati su computer con accesso limitato a Internet e sarebbe stato difficile per un estraneo accedervi”, ha dichiarato Treadstone71.
Il rapporto conclude affermando che: “Il governo iraniano ha inizialmente attribuito la colpa ad avversari stranieri. Tuttavia, gli esperti di cybersicurezza e le prove crescenti suggeriscono il coinvolgimento di persone interne”.
