Gli hacker iraniani stanno sempre più utilizzando gli strumenti di cyber-spionaggio contro gli esuli e i dissidenti.
Ad un esule di origini iraniane residente negli Stati Uniti il pomeriggio del 9 marzo 2016, è arrivata una e-mail che sembrava riferire un messaggio da parte del dipartimento della burocrazia più temuto dagli esuli: il servizio immigrazione degli Stati Uniti. Nella mail vi è scritto:
"Se riceve questo messaggio è perché non dispone di una residenza permanente, lo stato di residenza permanente deve essere regolato o avete bisogno di rinnovare / sostituire i documenti circa la vostra residenza permanente"
Il messaggio proviene da un indirizzo postale dhs.gov, contiene i link ai relativi moduli, e termina con un allegro "Cordiali saluti". L'e-mail ha l'aspetto di un documento legittimo e autentico di corrispondenza da parte del governo degli Stati Uniti.
Ma non è cosi: l'e-mail è stata inviata da un hacker che molto probabimente lavora per conto del governo iraniano. I link ai moduli contenevano un malware progettato per spiare i destinatari, in questo caso un attivista per i diritti umani, e probabilmente anche altre persone coinvolte nella diaspora iraniana, per conto di Teheran.
L'e-mail non è stata un attacco isolato contro un potenziale dissidente. Teheran sta usando sempre più gli strumenti di spionaggio su computer sia contro gli esuli all'estero sia contro i potenziali dissidenti in patria. I ricercatori occidentali hanno trovato diverse prove che dimostrano come gli hacker iraniani abbiano preso di mira i presunti oppositori del regime cercando di inserirsi nei loro computer per installare il software spia, tracciando milioni di utenti iraniani sul servizio di messaggistica criptato Telegram, e accusando molti giornalisti di spionaggio.
Anche se non è chiaro come esattamente i computer di molti dissidenti siano stati infettati dal software, quandolo lo spyware ha successo questo riesce a tracciare ogni singola battitura dell'utente e dà agli hacker la possibilità di prendere il controllo del computer ed esaminare tutto il suo contenuto e le precedenti comunicazioni. I ricercatori hanno documentato più di 200 tentativi di intrusione e ottenuto prove tecniche che un certo malware abbia infettato 236 computer in 27 paesi. Queste cifre sono relative e costituiscono solo una piccola frazione del totale delle attività di hacking iraniano.
I risultati provengono da un progetto di ricerca di tre anni condotto dal tecnologo Claudio Guarnieri di Amnesty International e dal ricercatore di sicurezza indipendente Collin Anderson. La loro ricerca è stata presentata la scorsa settimana prima alla conferenza sulla sicurezza Black Hat di Las Vegas, e mentre puntano il dito contro Teheran per lo svolgimento di questi attacchi, è importante notare che le prove per la responsabilità iraniana rimangono circostanziali. L'attribuzione di un reato ad un colpevole preciso nel cyberspazio rimane un affare complicato, ma Anderson e Guarnieri hanno raccolto sufficienti prove tattiche, strumenti e procedure che costituiscono una prova solida per dare la responsabilità di questi attacchi agli Iraniani.
Anche se l'Iran continua ad implementare i termini di un accordo storico sul nucleare, i membri conservatori della sua classe dirigente stanno cercando di mantenere una presa di potere ed evitare un riavvicinamento più ampio con Washington. I sostenitori della linea dura stanno sostenendo Bashar al-Assad in Siria, finanziando i gruppi militanti in Libano, Yemen e Iraq, e prolungando il mantenimento della deplorevole situazione dei diritti umani del loro paese. L'Iran continua ad essere un leader globale delle esecuzioni, e solo la settimana scorsa ha condannato a morte Shahram Amiri, uno scienziato nucleare sospettato di spionaggio per conto degli Stati Uniti.
La sorveglianza aggressiva rimane uno strumento chiave nel tentativo da parte del regime di mantenere il potere e oggi trovarsi un sofisticato software di snooping installato sui propri computer può essere molto facile, basta aprire l'allegato sbagliato o cliccare su un link pernicioso. Il software viene poi scaricato tranquillamente in background e inizia a comunicare con chi ti ha scelto per la sorveglianza.
Gli hacker che lavorano per conto dell'Iran si rivolgono spesso ad un metodo noto come spear phishing, termine inglese che indica l'uso di una e-mail che sembra provenire da un account legittimo ma in realtà contiene un allegato o un link dannosi, al fine di installare spyware sui dispositivi digitali dei loro obiettivi.
L'e-mail di marzo 2016 che sembrava provenire dal servizio dell'immigrazione degli Stati Uniti è stata effettivamente inviata da un gruppo di hacking soprannominato da Guarnieri e Anderson "Sima", una parola ricorrente nel codice del malware, ed i ricercatori dicono che questo tipo di sofisticata rappresentazione è diventata un biglietto da visita per il gruppo.
In un altro caso di tentativo di pirateria da parte di Sima, il gruppo ha inviato una e-mail a un attivista per i diritti umani spacciandosi per Peter Bouckaert, un alto funzionario di Human Rights Watch e una figura ben nota all'interno della comunità attivista globale.
Nella mail inviata dal gruppo Sima, gli hacker si presentano come Bouckaert e dicono di star scrivendo al destinatario per avvisarlo di nuove ricerche di HRW che mostravano come le autorità iraniane stessero mandando migliaia di afgani senza documenti, residenti in Iran a combattere in Siria. Il link per leggere le ricerche in realtà conteneva un software che sarebbe poi stato utilizzato per spiare il destinatario. Qualche ora prima il destinatario, che rimane anonimo per evitare ritorsioni da parte del regime iraniano, aveva scritto dei tweets sullo stesso argomento.
Durante la presentazione della scorsa settimana a Las Vegas, Anderson ha spiegato che gli hacker del gruppo Sima "monitorano attivamente i loro obiettivi e poi rispondono molto rapidamente ai loro interessi percepiti" in modo da piantare subito lo spyware.
Ma nonostante tutta la loro raffinatezza nel crafting delle e-mail, gli hacker del gruppo Sima sono stati a volte goffi. Un cosiddetto "dropper" utilizzato dal gruppo, ovvero un programma che consente agli hacker di scaricare altre applicazioni su un computer, generava continui pop-up in quando tentava di installarsi sul computer della vittima. "Anche se l'esperienza della vittima come utente di un computer non è grande, capisce subito che li c'è qualcosa che non va", ha detto Guarnieri, sorridendo sarcasticamente.
In un altro attacco mirato da parte dell'Iran, i suoi hacker hanno fatto irruzione nel sito web dell'Università di Navarra in Spagna e hanno poi creato un questionario e forum online su questioni relative ai diritti umani in Medio Oriente. Gli hacker, soprannominati "Cleaver" dalla società di sicurezza informatica Cylance quando tale impresa ha scritto su di loro nel 2014, avevano poi inviato email contenenti inviti ad attivisti per eventi circa i diritti umani. Se gli attivisti decidevano di partecipare, cliccando gli veniva chiesto di aggiornare Adobe Flash, e così facendo il software di sorveglianza si auto-installava sui propri computer.
Altri hacker che lavorano per conto dell'Iran, in gruppo soprannominato "INFY" dalla società di sicurezza informatica Palo Alto Networks, all'inizio di quest'anno hanno preso di mira i giornalisti che lavorano per conto della BBC e il suo servizio in lingua persiana.
Per i paesi come l'Iran, il malware è diventato uno strumento per governare. Quando gli Stati Uniti e Israele presero di mira le centrali nucleari iraniane per sabotarle con il virus Stuxnet, l'Iran reagì manomettendo i computer di Saudi Aramco, il gigante del petrolio, e colpendo le banche americane online. L'Iran ha poi iniziato ad utilizzare quegli stessi strumenti di hacking contro i gruppi per la difesa dei diritti umani e della società civile, con conseguenze devastanti. "Queste organizzazioni sono molto meno in grado di difendersi", ha detto Anderson.
Ma le attività di INFY non si sono limitate all'opposizione politica moderata, e hanno preso di mira anche i militanti, conducendo ad una guerra di basso livello con le autorità iraniane. Il gruppo ha anche creato un sito web associato alla Jundallah, un gruppo terrorista che opera al confine iraniano con l'Afghanistan, al fine di installare spyware sui visitatori di un blog riportava le notizie sul gruppo.
Anche se i gruppi di hacker iraniani stanno scegliendo i loro bersagli con precisione (gli attivisti per i diritti umani in genere sono i preferiti di Sima), Guarnieri e Anderson hanno anche documentato la scelta indiscriminata di molti utenti, tattica probabilmente utilizzata per facilitare la vigilanza del regime.
I servizi di messaggistica crittografati, come WhatsApp, Viber e Telegram sono straordinariamente popolare in Iran, sia come mezzo di comunicazione all'interno del paese sia tra gli esuli all'estero.
Questi servizi, dotati una solida crittografia e di memorizzati di dati sui server end-to-end al fuori del paese, rappresentano una sfida che le autorità iraniane che vogliono affrontare.
Recentemente Telegram è diventata l'applicazione del giorno, e secondo la ricerca di Guarnieri e Anderson le autorità iraniane sfruttando un bug nell'interfaccia dell'applicazione sono già il grado di mappare il numero di telefono di quasi tutti gli utenti che utilizzando l'applicazione in Iran. Prima che Telegram avesse risolto tale bug nei loro sistemi, le autorità iraniane avevano raccolto più di 15 milioni di numeri. Ottenendo tali numeri di telefono, che Telegram utilizza per autenticare gli utenti, gli hacker non hanno comunque violato alcuna comunicazione, ha detto Anderson, ma ciò potrebbe essere utilizzato per trovare ulteriori utenti-vittime su Telegram in Iran e non solo.