Un gruppo di hacker con collegamenti con l’Iran è l’ultima minaccia che rende il Golfo Persico uno dei teatri più attivi al mondo della guerra informatica.
di Patrick Howell O’Neill
I giganti del petrolio e del gas del Medio Oriente hanno individuato un nuovo gruppo di hacker che stava cercando di penetrare nei loro sistemi informatici.
Le aziende americane di sicurezza informatica Dragos e Secureworks di Dell hanno pubblicato dei rapporti su un gruppo dal nome in codice Hexane.
Anche se nessuna delle due aziende ha certezze assolute su chi è responsabile dell’attacco informatico, entrambe mettono in evidenza le somiglianze con i gruppi di hacking iraniani e l’allineamento con gli obiettivi politici strategici dell’Iran.
È l’ultimo di una lunga serie di gruppi di hacker professionisti che ruotano intorno all’area del Golfo Persico. In Medio Oriente, ci sono pochi altri obiettivi strategici importanti, a parte il settore petrolifero e del gas che sta dietro gran parte della ricchezza e del potere della regione.
“Al momento, ci troviamo di fronte a un semplice tentativo di accesso”, ha affermato Rafe Piling, esperto di sicurezza della Secureworks Counter Threat Unit.
“L’obiettivo a breve termine è guadagnare l’accesso al sistema e creare una postazione stabile. A medio termine, si può parlare invece di spionaggio. Ovviamente, chiunque stia gestendo questo gruppo ha la potenziale capacità di ripresentarsi e fare qualcosa di più dirompente”.
Una delle campagne di hacking più distruttive che la regione abbia mai conosciuto nell’ultimo decennio si è verificata nel 2012, quando gli hacker iraniani hanno fatto irruzione nei terminali dell’azienda petrolifera Aramco dell’Arabia Saudita e cancellato i file per paralizzare decine di migliaia di computer aziendali chiave.
Il malware protagonista di quell’attacco è noto come Shamoon.
Saudi Aramco, una delle aziende più ricche del mondo, è il fulcro del potere in quel paese, ma in genere questo tipo di aziende legate all’energia sono una risorsa fondamentale per tutte le nazioni del Golfo Persico.
Shamoon ha colpito anche RasGas, l’azienda produttrice di gas naturale del Qatar.
Attivo dal 2018, Hexane ha aumentato notevolmente l’attività nel 2019 e ha diffuso malware per mettere in ginocchio i suoi obiettivi. Il primo passo nelle tattiche del gruppo è l’invio di attacchi di spearphishing alle risorse umane e ai responsabili dei settori tecnologici delle organizzazioni prese di mira.
“La compromissione dei singoli account di chi si occupa della gestione delle risorse umane potrebbe fornire informazioni e accesso all’account da utilizzare in ulteriori operazioni mirate contro le altre organizzazioni”, hanno detto i ricercatori di Secureworks in un rapporto pubblicato da poco.
“Il personale IT ha accesso ad account e documentazione riservata che potrebbero aiutare i malintenzionati a capire come muoversi per scovare dati e introdursi nei sistemi avanzati”.
Vi è un acceso dibattito tra le aziende di sicurezza informatica sugli obiettivi immediati del gruppo. Gli hacker possono rivolgersi a sistemi di tecnologia dell’informazione (IT) come computer desktop o sistemi di tecnologia operativa (OT) come controllori logici programmabili, vale a dire computer progettati specificamente per scopi industriali come la raffinazione o la produzione di petrolio e gas.
Ma i due sistemi sono in definitiva collegati e, come ha detto Piling in una recente intervista, “è quasi universalmente vero che il percorso verso l’IT passa attraverso l’OT”.
I ricercatori non hanno stabilito alcun legame tecnico diretto tra l’Iran e il nuovo gruppo di hacker, ma Secureworks ha indicato “somiglianze stilistiche” che confermano il collegamento.
“Il malware è ancora nella sua fase di sviluppo, ma include funzionalità che normalmente si riscontrano nel malware iraniano”, ha affermato Piling. “Ma qualcuno potrebbe emularne il comportamento, se volesse entrare nel dominio”.
Anche se il Golfo Persico è un indubbio focolaio di attività di guerra informatica, paesi come l’Iran agiscono a livello globale.
All’inizio di quest’anno, Dragos ha identificato un gruppo soprannominato Magnallium che prende di mira le aziende governative, finanziarie e del settore energetico americane.
A sua volta, l’Iran continua a essere il bersaglio di hacker americani, come nel caso dell’attacco informatico ai sistemi di difesa iraniani, ordinato dal presidente Donald Trump dopo che un drone americano era stato abbattuto dall’esercito iraniano.
Immagine: Kuwait Towers in Kuwait City, Kuwait
(rp)
