I Cyber Av3ngers iraniani e la taglia milionaria del Governo americano

Con l’avvio del conflitto fra Israele e l’Iran l’attenzione nei confronti di avversari cyber finanziati dal Governo di Teheran si sta intensificando. Gli analisti ipotizzano che le attività cyber contro Israele possano aumentare e che possano essere coinvolte altre aree del Medio Oriente, nonché soprattutto gli Stati Uniti.

Lo U.S. State Department (DOS) sta ricercando da tempo informazioni sul gruppo iraniano Cyber Av3ngers, al quale si attribuiscono gli attacchi distruttivi contro le infrastrutture idriche americane ed israeliane del 2023 e 2024.

Nei documenti ufficiali si legge che i “CyberAv3ngers hanno utilizzato il malware IOCONTROL per prendere di mira i dispositivi (ICS/SCADA) utilizzati dai settori delle infrastrutture critiche negli Stati Uniti e nel mondo”.

IOCONTROL, tracciato dagli analisti a fine 2024, è un malware modulare capace di infettare dispositivi IoT e dell’Operational Technology (OT) di vari vendor che implementano varie piattaforme software: router, PLC (programmable logic controller), (HMI human-machine interface), firewall, ecc. Fra i vendor potenzialmente coinvolti sono stati citati Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika ed Unitronics. Quest’ultimo, con base in Israele, è il produttore dei dispositivi PLC/HMI della serie Integrated Unitronics Vision che sarebbero stati compromessi per sabotare le attività di impianti per il trattamento delle acque.

I funzionari statunitensi hanno associato Cyber Av3ngers ai pasdaran, L’Islamic Revolutionary Guard Corp (IRGC) al quale nelle ultimissime ore l’ayatollah Ali Khamenei, guida suprema della Repubblica Islamica dell’Iran, avrebbe trasmesso temporaneamente alcuni suoi poteri esecutivi.

A febbraio 2024 il DOS ha identificato sei cittadini iraniani come responsabili dei sabotaggi. Hamid Reza Lashgarian, Hamid Homayunfal,  Mahdi Lashgarian, Milad Mansuri, Mohammad Bagher Shirinkar e Mohammad Amin Saberian sono attualmente considerati “Specially Designated Nationals” ai sensi dell’Ordinanza Esecutiva 13224 dell’autorità antiterrorismo, in quanto leader e funzionari del Cyber-Electronic Command (CEC) dell’IRGC.

Da agosto 2024, su di loro pende una taglia complessiva da $10 milioni.

Recenti pubblicazioni online menzionano un nuovo annuncio del Dipartimento di Stato, nel quale si farebbe riferimento specifico a un Mr Soul, o Mr Soll, capo dei Cyber Av3ngers, il quale avrebbe ristabilito “l’accesso iraniano alle difese hackerate”. La notizia non ha avuto una particolare eco mediatica e, secondo il fact checking di Grok sulla piattaforma X, non sarebbe del tutto attendibile. In ogni caso, nella pagina ufficiale rewardsforjustice[.]net, fra i nomi dei ricercati compare effettivamente “Mr Soul”.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence