Le campagne filoiraniane in Albania contestano la presenza dei mujaheddin

Lo scorso dicembre, l’Albania è finita nel mirino di una campagna cyber di presunta matrice filoislamica che ha interessato il Parlamento, le Telco One Albania e ALBtelecom Mobile (ex Eagle Mobile) e la compagnia aerea di bandiera Air Albania.

Stando alle dichiarazioni ufficiali, l’offensiva contro il Parlamento, rilevata lunedì 25, avrebbe causato la sospensione temporanea delle attività istituzionali, ma non avrebbe determinato alcuna perdita o alterazione di dati, sebbene mirasse a cancellarli. La finalità distruttiva è stata poi confermata da analisi pubblicate a gennaio. Ricercatori di sicurezza hanno infatti tracciato un wiper inedito chiamato No-Justice che è stato distribuito sfruttando un archivio ZIP.

Tutti gli attacchi sono stati rivendicati via Telegram dal fronte HomeLand Justice e rientrerebbero nell’ambito di un’operazione avviata proprio il 25 dicembre e caratterizzata dall’hashtag #DestroyDurresMilitaryCamp (DDMC). Il nome fa probabilmente riferimento al quartier generale dell’organizzazione iraniana Mojahedin-e Khalq (MEK), che si oppone all’attuale regime di Teheran, situato nella contea albanese di Durazzo.

I mujaheddin sono stati ricollocati dall’Iran all’Albania nel 2016, su iniziativa degli Stati Uniti. Il trasferimento del MEK, sebbene abbia costretto l’Albania ad interrompere ogni rapporto diplomatico con l’Iran, è stato inizialmente accolto con favore, sia dalle maggiori forze politiche, sia dalla popolazione locale. Tuttavia, la presenza nel territorio nazionale albanese di una realtà paramilitare di opposizione politica a un Paese terzo costituisce motivo di costante attenzione. Nel giugno dello scorso anno, ad esempio, la polizia ha fatto irruzione nel campo per sospette attività di terrorismo e di interferenza in sistemi informatici.

Non è la prima volta che HomeLand Justice avvia una campagna per protestare contro la presenza del MEK in Albania. A luglio 2022 aveva rivendicato un’operazione che aveva costretto il Governo di Tirana a mettere offline i propri siti web. L’offensiva era stata lanciata pochi mesi dopo il trasferimento della maggior parte dei servizi del settore pubblico su un portale online.

Allora, la National Agency of Information Society (AKSHI) aveva rilasciato alla stampa locale una dichiarazione in cui si faceva riferimento ad un sofisticato attacco informatico proveniente dal di fuori del territorio nazionale. Il fatto precedeva di poco il Free Iran World Summit del MEK, che si sarebbe dovuto tenere il 23-24 luglio 2022 a Durazzo.

Anche in quell’occasione HomeLand Justice ha rivendicato l’operazione. A riprova della compromissione, il gruppo ha pubblicato documenti appartenenti a organizzazioni governative albanesi insieme a quelli che sembravano permessi di soggiorno, certificati di matrimonio, passaporti e altri documenti personali di presunti membri del MEK e a un video dell’attivazione di un ransomware. Successive analisi hanno ricostruito una campagna a fini distruttivi, molto sofisticatae articolata in più fasi, alla quale avrebbero preso parte diversi gruppi state-sponsored iraniani, fra cui OilRig. L’accesso alla rete governativa sarebbe avvenuto con grande anticipo, nel maggio 2021, sfruttando la vulnerabilità CVE-2019-0604 su un server SharePoint esposto. Poi sarebbero state esfiltrate delle e-mail; infine, sarebbero stati distribuiti, in sequenza, un ransomware e un wiper.

Le reazioni diplomatiche a quella violazione sono arrivate nel settembre 2022, quando il primo ministro albanese ha invitato l’intero personale dell’Ambasciata della Repubblica Islamica dell’Iran a lasciare il Paese. A distanza di pochi giorni, inoltre, avversari legati al governo iraniano hanno sferrato un nuovo attacco contro il Total Information Management System (TIMS), sistema governativo dell’Albania utilizzato per tracciare i passaggi di frontiera.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.