APT iraniani: l’hacking come affare di stato
Nel report pubblicato il 30 ottobre da FBI, Dipartimento del Tesoro degli Stati Uniti e Israel National Cyber Directorate, si informa di recenti operazioni da parte di un gruppo cyber sponsorizzato dallo stato iraniano attraverso i Corpi delle Guardie della Rivoluzione Islamica (IRGC).
Le attività informatiche del gruppo, che spaziano dal sabotaggio all’interferenza politica, dimostrano come gli attori malevoli possano costituirsi anche nel tessuto economico e societario per mezzo di compagnie come Aria Sepehr Ayandehsazan (ASA).
Negli ultimi anni, il panorama della cyberwarfare e dei servizi d’intelligence iraniani ha visto un coinvolgimento crescente di aziende appaltatrici di copertura, strettamente connesse alle principali strutture d’intelligence iraniane. Tali aziende, con a capo personalità di spicco del mondo politico-militare di Teheran, fungono da vere e proprie facciate per attività malevole, eseguendo attacchi informatici o fornendo supporto infrastrutturale a gruppi affiliati, contribuendo così a una strategia di elusione e ambiguità che rende difficile l’attribuzione diretta degli attacchi.
Tali compagnie, al fine di aggirare le sanzioni, ricorrono a metodologie di elusione sofisticate, come il cambio di nome. Ne rappresenta un esempio l’evoluzione di Net Peygard Samavat, rinominata dapprima Emen Net Pasargad e successivamente Aria Sepehr Ayandehsaza (ASA).
Nel 2023 ASA ha sfruttato provider europei come BAcloud e Stark Industries Solutions, per offuscare la propria infrastruttura, creando falsi provider di hosting per gestire operazioni malevole. Secondo il report menzionato, ASA ha persino esteso il proprio supporto a gruppi affiliati a HAMAS, come dimostrato dalla gestione dell’hosting per il sito web “alqassam[.]ps”, legato alla sua branca militare. Difatti, in seguito all’attacco di HAMAS contro Israele del 7 ottobre, ASA ha intensificato le sue operazioni informatiche e di manipolazione psicologica. Ad esempio, attraverso il tentativo di comunicare direttamente con le famiglie degli ostaggi israeliani, diffondendo messaggi intimidatori volti a destabilizzare emotivamente i familiari, promuovendo campagne di disinformazione tramite l’alias "Cyber Court" e sostenendo attività di presunti gruppi hacktivisti con impostazione anti-israeliana.
Inoltre, le tecniche di ASA si sono evolute al punto da sfruttare l’IA, con Voicemod, Remini AI e Murf AI, per rafforzare campagne di propaganda mirate a manipolare l’opinione pubblica e destabilizzare il nemico.
Nel 2024, ASA ha orchestrato una campagna di phishing mirata contro organizzazioni israeliane, distribuita tramite e-mail fraudolente che esortavano le vittime a scaricare aggiornamenti di sicurezza per Google Chrome, per poi installare WezRat, un RAT modulare sviluppato per il furto di informazioni e l’esecuzione di comandi remoti. Questa operazione ha permesso l’esfiltrazione di dati sensibili e l’accesso a sistemi critici. Tra le altre campagne attribuibili al gruppo vi sono operazioni di disinformazione, come quella avvenuta durante i Giochi Olimpici del 2024 attraverso il controllo remoto dei sistemi di visualizzazione per trasmettere propaganda anti-israeliana, e la compromissione di numerose telecamere IP israeliane, fornendo dati in tempo reale per attacchi coordinati.
Le attività di ASA mettono in luce le capacità e le nuove strategie che i governi, attraverso le operazioni di gruppi malevoli, dispongono per condurre conflitti nell’era contemporanea. In questo caso, il governo iraniano fa spesso ricorso a contractor esterni per sostenere il suo arsenale informatico. Ne sono esempi società come Mahak Rayan Afraz, Parnian Telecommunication and Electronic Company e la stessa ASA.
La società Aria Sepehr Ayandehsazan è stata fondata sotto l’egida di figure legate a Mohammad Bagher Shirinkar - conosciuto anche con lo pseudonimo di Mojtaba Tehrani - uomo d'influenza negli ambienti di potere e figura chiave nella gestione di progetti riservati nel settore sicurezza.
Il suo organigramma suggerisce l’esistenza di stretti legami con strutture governative, avallando l’ipotesi di una sinergia con entità che operano nel quadro della sicurezza nazionale.
Sfruttando tecnologie avanzate e mantenendo così una plausibile negazione, l’IRGC e i suoi contractor possono condurre una guerra non convenzionale, destabilizzando Israele tramite una rete di attori che operano nel cyberspazio. Così facendo, l’Iran rafforza la propria influenza nella regione, modificando le dinamiche di conflitto e dimostrando come la guerra del XXI secolo si combatta non solo sul campo fisico, ma anche attraverso la manipolazione informativa e la guerra psicologica.
Di particolare interesse risulta la comprensione del panorama legale iraniano in cui gli attori operano.
Le operazioni cibernetiche nel paese mediorientale sono regolate da una serie di normative sulla sicurezza nazionale e sulla gestione delle informazioni sensibili, tra cui la Law on Cyber Crimes del 2009. Tale normativa, affiancata da un quadro giuridico complesso e articolato, impone a tutte le società che operano in ambito strategico, comprese quelle appaltatrici, l’obbligo di ottenere autorizzazioni specifiche e di rispettare rigorosi vincoli di riservatezza e subordinazione al controllo governativo, quest’ultimo dipendente principalmente dal Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) e il Consiglio Supremo del Cyberspazio (SCC).
Sul piano internazionale, l’attribuzione della responsabilità per attività cyber compiute da società, tra cui quelle appaltatrici, solleva diverse problematiche. In base al diritto internazionale, lo Stato può essere ritenuto responsabile per atti compiuti da soggetti privati se questi operano “su istruzione” o “sotto il controllo effettivo” dello Stato stesso (ex artt.4 e 8). Tale principio implica che, qualora le operazioni cyber siano pianificate, dirette o autorizzate dalle autorità iraniane, come l’IRGC o altre agenzie di intelligence, esse possono essere giuridicamente imputabili allo Stato stesso.
Di conseguenza, le operazioni cyber che violano l’integrità territoriale o interferiscono con l’ordine pubblico di un altro Stato configurano una violazione del divieto dell’uso della forza. Nel caso dell’Iran, potrebbe costituirsi responsabilità per atti di cyberwarfare.
Conclusione
L’Iran nel corso degli anni ha sviluppato una strategia politica che, attraverso il sostegno indiretto in termini politici, economici, militari e cyber a gruppi sciiti e/o filoiraniani, permette al Paese di sostenere le sue mire geopolitiche regionali, evitando dirette ripercussioni e tenendo lontani conflitti dai suoi confini.
Tuttavia, nonostante l’assiduo utilizzo di operazioni informative e psicologiche di gruppi hacktivisti filoiraniani e/o affiliati ad HAMAS, come campagne di disinformazione e propaganda per la manipolazione dell’opinione pubblica, l’attuale leadership iraniana teme un’escalation regionale che possa costringere l’Iran a difendere i propri confini, minacciando il futuro del regime.
Sullo sfondo di un tale posizionamento strategico nei confronti del conflitto in Medio Oriente si pongono le operazioni cyber di ASA, le quali vanno oltre il semplice spionaggio informatico. L’Iran in passato considerato tecnicamente meno avanzato rispetto a potenze come Cina e Russia, sta rapidamente migliorando. ASAdimostra la capacità di combinare disinformazione, ransomware e cyberspionaggio al supporto di operazioni militari.
Il manuale di Tallin, inoltre, introduce anche il concetto di contromisure proporzionali, per cui uno Stato colpito da un attacco cyber ha il diritto di rispondere con azioni equivalenti, incluse misure offensive di natura cibernetica, con la conseguenza che, in caso di coinvolgimento delle società appaltatrici iraniane in operazioni di cyberwarfare, è possibile legittimare contromisure internazionali, compromettendo la stabilità delle relazioni e aumentando il rischio di escalation.