Dopo l’uccisione del generale Qassem Soleimani e la ritorsione delle Guardie Rivoluzionarie con il bombardamento di due basi militari che ospitano militari USA in Iraq, lo scenario della crisi tra Iran e Stati Uniti continua a rimanere incerto e pieno di incognite—anche dal punto di vista di eventuali cyber attacchi.

In tanti ritengono che l’operazione israele-americana Stuxnet che ha mandato fuori uso il programma nucleare iraniano nel 2009 sia stata un serio campanello d’allarme per Teheran, e un incentivo a investire nel suo dipartimento hacker. Da allora, il paese è diventato una cyber-potenza in grado di attivarsi su vari livelli, dall’hacking di infrastrutture critiche al furto di proprietà intellettuale, fino al classico spionaggio.

Secondo Robert Lee, ex analista dell’NSA e fondatore dell’azienda di intelligence Dragos, l’Iran non è la più grande cyber-potenza del mondo, ma non va assolutamente sottovalutata. “L’Iran ha migliorato in modo costante le proprie capacità informatiche nel corso degli anni, e per quanto possano non essere paragonabili ad altri paesi, hanno dimostrato interesse e determinazione nell’essere aggressivi e dannosi,” ha detto Lee a Motherboard.

Nel 2012, in uno dei primi attacchi importanti dell’Iran, un gruppo di hacker ha mandato in tilt oltre 30.000 computer della compagnia petrolifera saudita Saudi Aramco, impedendole di esportare il suo grezzo. Si è trattato dell’attacco hacker più costoso di tutti i tempi, almeno fino a quel momento.

L’operazione ai danni di Saudi Aramco ha usato un malware, “Shamoon”, per prendere di mira i computer amministrativi e non i sistemi di controllo industriale usati nei macchinari di produzione del petrolio; per colpire questi sistemi sarebbe stato necessario un attacco molto più elaborato e sofisticato. Ma un recente articolo di Wired ha rivelato che gli hacker iraniani stanno concentrando i loro attacchi sempre di più sulle infrastrutture critiche e sui sistemi fisici che controllano raffinerie di petrolio e utenze elettriche.

Negli Stati Uniti, in un’operazione condotta tra il 2011 e il 2013, un gruppo di sospetti hacker iraniani ha provocato perdite da milioni di dollari prendendo di mira alcune banche con attacchi DDOS (denial-of-service distribuito), hackerando poi una piccola diga nello stato di New York (senza però riuscire a comprometterla), e ottenendo in risposta una serie di accuse (nel 2016) contro gli agenti delle Guardie Rivoluzionarie.

Nell’estate del 2018 un’impianto petrolchimico in Arabia Saudita ha subito una serie di esplosioni, inizialmente ritenute parte di un’operazione hacker iraniana e in seguito attribuite alla Russia—benché con un possibile input da parte dell’Iran. Nell’ottobre dello stesso anno, poi, dei presunti hacker governativi russi sono stati accusati di aver usato hacker iraniani per mascherare le proprie identità e non essere riconosciuti.



Considerato che le operazioni di hacking sono in generale difficili da attribuire con certezza—e che i timori di un attacco informatico russo ai danni degli Stati Uniti sono in parte fondati, e in parte no—l’uso della Russia di infrastrutture di hacking iraniane è preoccupante. Di questo almeno ne è convinta Priscilla Moriuchi, direttrice dell’azienda di intelligence privata Recorded Future [che un tempo era finanziata dalla CIA].

“I casi recenti di gruppi russi che manipolano e usano infrastrutture iraniane per operazioni cyber provocheranno facilmente un clima di incertezza e confusione per le vittime,” ha detto Moriuchi a Motherboard. “È meno chiaro oggi se le operazioni che utilizzano cyber-infrastrutture iraniane note e tracciate siano effettivamente gestite e dirette dal governo iraniano.”

Lee ritiene che le aziende che gestiscono infrastrutture critiche dovrebbero stare all’erta, considerando l’escalation provocata dagli Stati Uniti con l’uccisione di Soleimani. “Le aziende dovrebbero fare attenzione, senza però esagerare,” ha detto. “Nessuno sa cosa succederà ora ed è importante essere preparati, senza andare nel panico. Se le aziende non hanno fatto investimenti in questo senso finora, la cosa migliore che possono fare è stabilire un piano in caso di incidente.”

Sul versante dello spionaggio, gli hacker iraniani sono stati collegati al furto di proprietà intellettuali e dati ai danni delle università negli Stati Uniti e in paesi alleati, cosa che nel 2018 ha spinto il Dipartimento di Giustizia a incriminare nove hacker iraniani legati alle Guardie Rivoluzionarie. Poco dopo, il presidente Trump si è ritirato dall’Accordo sul nucleare iraniano, provocando un fermento di attività da parte di hacker iraniani ai danni di americani che lavorano nel nucleare e politici legati ai negoziati tra i due paesi, mentre Teheran si affrettava a capire cosa significava la dissoluzione del trattato.

Stephanie Carvin, docente di affari internazionali alla Carleton University ed ex analista per l’agenzia di spionaggio canadese, ha detto che l’Iran sta dimostrando da tempo “allarmanti ambizioni nel settore dell’hacking malevolo.”

“Abbiamo visto che l’Iran ha saputo infiltrarsi nelle infrastrutture critiche dell’Occidente, comprese banche, dighe e università,” ha detto. “Ogni infrastruttura potrebbe trasformarsi in un obiettivo nella campagna iraniana di vendetta.”