La multiforme strategia cyber dell’Iran
24 Ottobre 2024L’Iran ha sviluppato negli anni forze cyber capaci di sostenere una strategia multiforme contro obiettivi eterogenei. I principali interessi di Teheran sono il contrasto verso il nemico storico Israele e i suoi alleati occidentali, il controllo della regione del Golfo e la repressione dell’opposizione, sia interna, sia dei ribelli fuoriusciti.
In questa strategia vengono messi a sistema operazioni di spionaggio e controspionaggio associate ad APT come Charming Kitten, APT33, MuddyWater e OilRig, sabotaggi ad infrastrutture critiche rivendicati da formazioni apparentemente hacktiviste come i Cyber Av3ngers, offensive Hack-and-Leak attribuite al gruppo Pioneer Kitten, InfoOps condotte perlopiù attraverso la front company Emennet Pasargad e attacchi con finalità distruttive e propagandistiche che sembrano essere appannaggio di una coppia di team chiamati Void Manticore e Scarred Manticore.
Tutte queste formazioni opererebbero grazie al coordinamento del Corpo delle Guardie Rivoluzionarie Islamiche del governo iraniano (IRGC), meglio noto come pasdaran, e del Ministero dell’Intelligence e della Sicurezza (MOIS).
Pioneer Kitten collabora con i gruppi ransomware
Pioneer Kitten è stato oggetto di un recente advisory congiunto di FBI, CISA (Cybersecurity and Infrastructure Security Agency) e Department of Defense Cyber Crime Center (DC3). Le tre agenzie americane lo hanno indicato come il responsabile di violazioni ai danni di organizzazioni del settore della Difesa, dell’istruzione, della finanza e della sanità, nonché di enti governativi locali negli Stati Uniti e in altri Paesi, tra cui Israele, Azerbaigian ed Emirati Arabi.
L’FBI ritiene che una percentuale significativa delle operazioni effettuate contro le organizzazioni americane sia stata finalizzata a ottenere l’accesso alla rete della vittima per poi collaborare con gruppi ransomware come NoEscape, RansomHouse e ALPHV. Nel complesso, il coinvolgimento iraniano in queste offensive va oltre la fornitura dell’accesso, poiché Pioneer Kitten lavora a stretto contatto con gli operatori ransomware per bloccare le reti delle vittime e gestire a proprio favore gli approcci di estorsione.
Precendenti campagne Hack-and- Leak di Pioneer Kitten
Nel recente passato, Pioneer Kitten è stato associato a diverse campagne Hack-and- Leak, come quella di fine 2020 basata sul ransomware Pay2Key, indirizzata contro aziende israeliane.
Una delle vittime è stata lo sviluppatore israeliano di processori AI Habana Labs, azienda acquisita da Intel nel 2019. Dopo aver esfiltrato le informazioni, gli attaccanti hanno pubblicato sul proprio sito dati tecnici della compagnia, come l’account di dominio di Windows ed immagini del codice sorgente. Già allora gli analisti avevano ipotizzato che l’adozione di tecniche cybercrime fosse servita per mascherare intenzioni diverse.
Le operazioni basate sul ransomware Pay2Key, sono state ricollegate anche alla società Emennet Pasargard – strettamente legata all’IRGC e al MOIS – grazie ad un leak di documenti governativi, realizzato nel 2021 dai dissidenti del Lab Dookhregan.In linea con questa rivelazione, ora l’FBI conferma che le attività di Pay2Key sono parte di una InfoOp volta a minare la sicurezza dell’infrastruttura IT in Israele.
Le InfoOps di Emennet Pasargad
La società di sicurezza informatica Emennet Pasargad (ex Net Peygard Samavat Company) viene monitorata almeno dal 2018 ed è stata ripetutamente associata a campagne di disinformazione e propaganda condotte anche con metodi intrusivi ed intimidatori.
In un advisory dell’FBI del 2022 l’azienda è stata accusata di condurre campagne “false-flag”, nelle quali si spacciava per inesistenti gruppi hacktivisti o cybercriminali, con l’intento di colpire Israele e il gruppo di opposizione dei Mojaheddin, che opera dall’Albania.
Nel 2023 Emennet avrebbe esfiltrato e messo in vendita nell’underground dati riservati di Charlie Hebdo in risposta al tentativo della rivista satirica di ridicolizzare il leader supremo Ali Khamenei.
A settembre di quest’anno l’Office of Foreign Assets Control del Dipartimento del Tesoro statunitense ha sanzionato sei impiegati di Emennet per aver tentato di interferire nelle elezioni presidenziali del 2020.
Void Manticore, il wiper BiBi e la propaganda
Void Manticore, tracciato almeno da ottobre 2023 e associato al MOIS, ha effettuato attacchi distruttivi basati sul wiper BiBi (che prende eloquentemente il nome dal soprannome del primo ministro israeliano Benjamin Netanyahu). Le sue offensive sono spesso inserite nell’ambito di operazioni di influenza.
Alcune analisi hanno portato alla luce una significativa sovrapposizione nella vittimologia di Void Manticore con quella del più noto Scarred Manticore, suggerendo una collaborazione tra i due avversari che ha probabilmente facilitato l’accesso di Void Manticore a target di alto valore. Nel dettaglio, è stato possibile identificare una chiara procedura di passaggio sistematico degli obiettivi da Scarred a Void, in alcuni attacchi che hanno coinvolto vittime sia in Israele che in Albania. La partnership prevede che Scarred Manticore acceda alle reti mirate ed esfiltri dati, per poi passare il controllo a Void Manticore, il quale si occupa della fase distruttiva dell’operazione.
Per le attività di amplificazione, Void Manticore gestisce diversi personaggi online, tra cui HomeLand Justice, il quale ha dato eco alle operazioni in Albania, e KarMa, che ha fatto la stessa cosa per quelle in Israele.
Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.
Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.
Scopri di più sui nostri servizi di Threat Intelligence