Negli ultimi mesi le agenzie statunitensi di sicurezza informatica e intelligence hanno pubblicato un avviso congiunto riguardo all’aumento delle minacce di cyber attacchi provenienti da attori legati o sponsorizzati dallo Stato iraniano. Questo incremento di attività malevole, secondo le autorità, è destinato a intensificarsi a causa delle tensioni geopolitiche in corso, soprattutto tra Iran e Israele. In particolare, le aziende della Defense Industrial Base (DIB), in relazione con realtà israeliane, sono ritenute ad alto rischio insieme ad altre infrastrutture critiche americane.
Gli attaccanti iraniani sfruttano principalmente vulnerabilità note e non corrette in software o dispositivi connessi a internet, oltre all’uso di password deboli o impostazioni di default. Secondo la Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI), il Department of Defense Cyber Crime Center (DC3) e la National Security Agency (NSA), non è stata individuata una campagna su larga scala attualmente in corso, ma si sottolinea la necessità di mantenere alta la vigilanza.
Tecniche di attacco e strumenti utilizzati
Le tecniche di attacco più diffuse prevedono la fase iniziale di ricognizione tramite strumenti come Shodan, per identificare dispositivi vulnerabili esposti su internet, in particolare nei sistemi di controllo industriale (ICS). Gli aggressori possono poi sfruttare configurazioni errate dei firewall o segmentazione di rete debole, muovendosi lateralmente all’interno delle reti. Sono stati osservati l’uso di strumenti di accesso remoto (RAT), keylogger e utility di amministrazione legittime come PsExec e Mimikatz, per ottenere privilegi elevati senza essere rilevati dalle difese tradizionali degli endpoint.
Le campagne precedenti degli hacker iraniani hanno evidenziato l’uso di attacchi automatizzati di password guessing, cracking di hash e sfruttamento di password di fabbrica per conquistare l’accesso ai dispositivi esposti. Altre tattiche prevedono l’uso di strumenti ingegneristici e diagnostici per penetrare nelle reti OT (Operational Technology), compromettendo così la sicurezza delle infrastrutture critiche.
Raccomandazioni delle agenzie di sicurezza
- Isolare sistemi OT e ICS da internet
- Rafforzare le password, eliminare quelle deboli o predefinite e abilitare l’autenticazione a più fattori (MFA)
- Applicare MFA resistente al phishing per accessi alle reti OT
- Mantenere aggiornati tutti i software con le ultime patch di sicurezza
- Monitorare i log di accesso remoto
- Implementare processi OT che prevengano modifiche non autorizzate
- Pianificare backup regolari e completi
Per una difesa efficace è suggerito l’uso di strumenti di scansione e il riferimento al framework MITRE ATT&CK, per allineare le strategie ai metodi reali degli aggressori. Nonostante i tentativi di negoziazione e cessate il fuoco, resta alta la probabilità che gruppi iraniani continuino attività malevole contro obiettivi sensibili.