Fuoco incrociato cibernetico: hacker iraniani prendono di mira le infrastrutture globali mentre le tensioni in Medio Oriente traboccano

Quando i missili illuminano i cieli del Medio Oriente, il mondo osserva - ma nell’ombra di internet infuria una guerra parallela, in gran parte invisibile. All’indomani dell’Operazione Lion’s Roar - un attacco congiunto USA-Israele contro siti militari iraniani - hacker affiliati allo Stato iraniano hanno intensificato la loro offensiva digitale, mirando non solo ai rivali ma anche a sistemi vitali in tutto il mondo. I loro bersagli: l’energia che tiene accese le luci, le reti che muovono le merci e i dati che fanno funzionare i governi.

Secondo Nozomi Networks, gli avvisi legati a gruppi di minaccia persistente avanzata (APT) connessi all’Iran sono schizzati verso l’alto dopo il conflitto - rispecchiando un picco del 133% osservato durante precedenti escalation. I gruppi più attivi - MuddyWater (noto anche come APT34 o Seedworm), OilRig (Helix Kitten), APT33 (Elfin) e UNC1549 - impiegano un mix di tattiche classiche e all’avanguardia: spear-phishing, furto di credenziali, web shell e approcci “living-off-the-land” che riutilizzano strumenti di sistema legittimi per fini malevoli.

MuddyWater, direttamente collegato al Ministero dell’Intelligence e della Sicurezza iraniano, di recente ha puntato le organizzazioni mediorientali con l’Operazione Olalampo, brandendo malware personalizzati come GhostFetch. OilRig ha mantenuto una pressione incessante su obiettivi nei settori energia e telecomunicazioni, mentre APT33 utilizza password spraying e attacchi alla supply chain per insinuarsi nelle reti aerospaziali e governative. UNC1549, un attore emergente, si è concentrato su difesa e telecom, allineando le proprie campagne alle priorità strategiche iraniane.

Le difese digitali della regione mostrano segni di cedimento. Oltre il 60% delle vulnerabilità scoperte quest’anno nelle organizzazioni mediorientali è classificato come alto o critico, rispetto a una media globale del 48%. Gli attaccanti stanno approfittando di credenziali predefinite e deboli, forzando l’accesso con attacchi brute force e conducendo ricognizioni in vista di future azioni potenzialmente più dirompenti. I sistemi air-gapped - un tempo considerati sicuri - non sono più una soluzione miracolosa; solo patching proattivo e monitoraggio robusto offrono una protezione reale.

Gli esperti di sicurezza raccomandano alle organizzazioni di aumentare immediatamente la sensibilità degli alert rispetto alle tattiche iraniane, aggiornare i feed di threat intelligence e andare a caccia di attività sottili e persistenti nelle proprie reti. La segmentazione degli ambienti IT e OT, il patching rapido e piani di risposta agli incidenti provati e riprovati sono ormai essenziali per la resilienza contro queste minacce ibride che fondono rischio digitale e fisico.

Mentre la scacchiera geopolitica mondiale si sposta, il campo di battaglia cibernetico diventa sempre più complesso. In questa nuova era, la capacità di vedere, segmentare e rispondere rapidamente può fare la differenza tra un incidente minore e una crisi con conseguenze nel mondo reale.

WIKICROOK

• Minaccia Persistente Avanzata (APT): Una Minaccia Persistente Avanzata (APT) è un attacco informatico prolungato e mirato condotto da gruppi esperti, spesso sostenuti da Stati, con l’obiettivo di rubare dati o interrompere le operazioni.
• Spear: Lo spear phishing è un attacco informatico mirato che utilizza email personalizzate per ingannare specifiche persone o organizzazioni e indurle a rivelare informazioni sensibili.
• Living: Living off the Land significa che gli attaccanti usano strumenti di sistema affidabili (LOLBins) per azioni malevole, rendendo le loro attività furtive e difficili da rilevare.
• MITRE ATT&CK: MITRE ATT&CK è una base di conoscenza pubblica che descrive tattiche e tecniche degli hacker, aiutando le organizzazioni a comprendere e difendersi dalle minacce informatiche.
• Punteggio CVSS: Un punteggio CVSS valuta la gravità delle vulnerabilità di sicurezza da 0 a 10, con numeri più alti che indicano maggiore rischio e urgenza di risposta.