In questo contributo Samuele Zaniboni, Manager of Sales Engineering di ESET Italia, fornisce alcuni suggerimenti sulle principali aree dove le imprese dovrebbero focalizzare l’attenzione.
Autore: Redazione ChannelCity
In meno di 24 ore dall’inizio del conflitto in Iran è stato registrato un primato: il bersagliamento deliberato verso i data center. Il 1° marzo droni iraniani hanno colpito tre infrastrutture di Amazon Web Services (AWS) negli Emirati Arabi Uniti e in Bahrein, causando il blocco di applicazioni finanziarie e strumenti critici aziendali non solo nel Golfo, ma anche in aree molto lontane dal teatro del conflitto. Gli attacchi hanno così dimostrato che la distanza geografica da una zona di guerra non garantisce protezione dai suoi effetti.
Per la maggior parte delle organizzazioni, il rischio più immediato si manifesta nel cyberspazio e coinvolge numerosi blackhat. Nel giro di poche ore dall’inizio dell’operazione militare congiunta Stati Uniti-Israele (Operation Epic Fury) del 28 febbraio, hacker legati all’Iran si sono mobilitati in massa: la Unit 42 di Palo Alto Networks ha contato oltre 60 gruppi hacktivisti filo-iraniani attivi. Contemporaneamente le agenzie di cybersicurezza di Regno Unito e Canada hanno emesso avvisi sull’innalzamento del livello di minaccia, seguite da Europol e Dipartimento per la Sicurezza Interna degli Stati Uniti.
Lo scoppio di una guerra cinetica tende spesso ad ampliare numero e varietà degli attori coinvolti negli attacchi informatici. In genere la prima ondata è costituita da attività hacktiviste, spesso accompagnate da propaganda. In parallelo, o appena dopo, entrano in azione gruppi APT (Advanced Persistent Threat) che conducono operazioni di ricognizione. Una volta ottenuto l’accesso ai sistemi e individuati i bersagli, partono le operazioni più complesse di spionaggio, sabotaggio e di interruzione dei servizi. I confini tra queste attività non sono sempre chiari e alcune tattiche possono essere utilizzate in contemporanea: un attacco di defacement di un sito web o un’azione DDoS apparentemente dimostrativa può servire da diversivo per un’altra operazione più sofisticata che sfrutta un altro vettore per colpire il bersaglio.
I gruppi legati all’Iran sono tra i più attivi al mondo e negli ultimi anni hanno potenziato le proprie capacità offensive. Il rischio è particolarmente elevato per le organizzazioni con legami in Medio Oriente o che dipendono da infrastrutture cloud collocate in quell’area.
Il “faketivism” è il fenomeno in cui identità hacktiviste e operazioni allineate agli interessi di uno Stato si confondono. Ma le collaborazioni tra gruppi possono essere ancora più profonde. Ricercatori di ESET hanno documentato collegamenti tra diversi attori APT iraniani: in particolare, MuddyWater ha lavorato con il gruppo Lyceum, un sottogruppo di OilRig, per agire come broker di accesso per altri gruppi allineati all’Iran. A complicare ulteriormente lo scenario, alcuni gruppi hacktivisti filo-russi sembrano aver iniziato a sostenere le operazioni pro-Iran, mentre forum di cybercriminalità russi ospiterebbero intermediari che collaborano con attori iraniani. Questo amplia gli strumenti disponibili e la gamma dei potenziali obiettivi. Tra questi, le infrastrutture critiche restano bersagli ambiti: secondo i dati di telemetria di ESET gli attori allineati all’Iran colpiscono spesso organizzazioni nei settori ingegneristico e manifatturiero.
Quando si punta alla ritorsione, la distruzione vince sull’uso di ransomware con finalità di estorsione: malware progettati per cancellare del tutto i dati sono ormai attività ricorrenti nei conflitti - gruppi allineati alla Russia hanno dimostrato ripetutamente questo schema in Ucraina.
Ma gli attacchi dal massimo risultato con il minimo sforzo sono soprattutto le compromissioni delle supply chain. Nel 2022 ESET Research ha documentato come il gruppo iraniano Agrius abbia distribuito il malware distruttivo Fantasy attraverso la supply chain di uno sviluppatore software israeliano, colpendo organizzazioni in vari settori e al di fuori di Israele. L’impatto di un attacco alla supply chain può estendersi, infatti, anche a organizzazioni che non hanno alcun collegamento evidente con il conflitto.
Un rischio simile riguarda i Managed Service Provider (MSP) e i loro clienti. Sempre nel 2022 ESET ha documentato una campagna in cui gli hacker hanno compromesso un MSP per colpire indirettamente i loro obiettivi. Non si sono infiltrati direttamente: hanno lasciato che fossero i canali di accesso dell’MSP a fare tutto il lavoro. La campagna era stata orchestrata dal gruppo di cyberspionaggio MuddyWater, oggi uno uno dei gruppi APT iraniani più rilevantiigap. Noto in passato per attacchi automatizzati, oggi MuddyWater privilegia operazioni discrete, spesso condotte con attività manuali all’interno degli ambienti target, adottando la collaudata tecnica di abusare di software legittimi di Remote Monitoring and Management (RMM). In questo modo si mimetizza nel traffico di rete legittimo e rende più difficile il rilevamento delle sue attività. Il gruppo è noto anche per privilegiare lo spearphishing interno a partire da caselle di posta già compromesse - email inviate dall’account di un collega piuttosto che da un mittente esterno - con un tasso di successo particolarmente elevato, per ovvi motivi.
MuddyWater è ancora attivo: nell’ultimo mese i ricercatori di Broadcom Symantec e Carbon Black hanno individuato il gruppo nelle reti di diverse organizzazioni statunitensi, tra cui un aeroporto, una banca e un’azienda software legata a Israele. Va detto comunque che finora il volume complessivo delle attività cyber offensive da parte di attori allineati all’Iran non è paragonabile alla raffica di azioni osservata dai ricercatori di ESET dopo l’attacco a Israele del 7 ottobre 2023. Ciò potrebbe essere in parte una conseguenza del quasi totale blackout di Internet autoimposto dall’Iran.
Attualmente le minacce spaziano da campagne opportunistiche di DDoS e defacement a incursioni mirate con la cancellazione dei dati e operazioni di cyberspionaggio a lungo termine, fino a provocare danni alla supply chain che possono colpire anche organizzazioni senza legami con il conflitto. Le misure indicate di seguito saranno familiari alla maggior parte dei team di sicurezza. Ma vale la pena ricordarle. L’attenzione è rivolta ai punti deboli che gli hacker allineati all’Iran hanno storicamente sfruttato.
Conoscere cosa è esposto. Il primo passo è identificare e proteggere tutte le risorse esposte su Internet, come accessi remoti, applicazioni web, gateway VPN e dispositivi OT/ICS connessi alla rete. Le credenziali predefinite devono essere modificate su tutti i device. Se un dispositivo non supporta l’autenticazione forte, è opportuno valutare se debba per forza essere collegato alla rete. Nel 2023 la campagna del gruppo CyberAv3ngers ha preso di mira controller logici programmabili (PLC) che utilizzavano password di fabbrica.
Limitare la superficie d’attacco. Gli ambienti OT/ICS presentano una sfida particolare: dispositivi installati decenni fa senza requisiti di sicurezza e raramente inventariati. Credenziali predefinite ed esposizione a Internet sono i problemi più evidenti, ma la vera questione è che molti di questi sistemi non sono stati progettati per essere protetti dopo la messa in servizio. Dove possibile, occorre disconnettere questi dispositivi da Internet o applicare tutte le patch disponibili. Quando ciò non è possibile, occorre implementare la segmentazione della rete tra ambienti IT e OT e stabilire baseline comportamentali per i protocolli industriali.
Colmare le lacune. La maggior parte dei gruppi sponsorizzati dallo Stato iraniano ha fatto della compromissione delle identità un obiettivo costante. Un avviso congiunto CISA/FBI/NSA dell’ottobre 2024 ha documentato una campagna durata un anno, durante la quale attori iraniani hanno utilizzato tecniche di password spraying e di “MFA push-bombing” (inondando gli utenti di richieste di accesso finché qualcuno non ne approvava una) per violare organizzazioni dei settori sanitario, governativo, energetico e IT. Una volta all’interno, hanno modificato le registrazioni MFA per mantenere un accesso persistente e hanno venduto le credenziali raccolte su forum criminali. Per contrastare la minaccia, occorre applicare l’autenticazione multifattore (MFA) resistente al phishing su tutti i sistemi esposti all’esterno e verificare le configurazioni MFA esistenti per individuare registrazioni non autorizzate.
Verificare la supply chain e l’accesso delle terze parti. Occorre verificare tutti i percorsi di accesso delle terze parti. Gruppi come CyberAv3ngers cercano specificamente dispositivi OT di fabbricazione israeliana: controllate se qualche nostro dispositivo rientra in questa categoria. Se ci affidiamo poi a un MSP, serve informarsi su come protegge gli strumenti di accesso remoto e se ha valutato la propria esposizione. Lo sfruttamento di SimpleHelp da parte di MuddyWater ha dimostrato che la postura di sicurezza dei propri MSP rientra nella superficie di attacco.
Attenti al phishing. Poiché MuddyWater e altri gruppi sfruttano le vulnerabilità umane, in particolare messaggi di spearphishing provenienti da account interni compromessi, i dipendenti devono verificare tutte le richieste tramite canali separati, soprattutto quelle relative a credenziali, modifiche di accesso, urgenti “aggiornamenti di sicurezza” e qualsiasi comunicazione che faccia riferimento al conflitto in corso. Gli avversari utilizzano strumenti di AI comuni non solo per generare esche di phishing sofisticate, ma anche per altre fasi del ciclo di attacco, inclusa la ricerca di vulnerabilità e lo sviluppo di malware.
Mappare la dipendenza dal cloud. Occorre controllare i fornitori di software-as-a-service e verificare dove è ospitata la loro infrastruttura. Anche se l’azienda non esegue workload in Medio Oriente, i fornitori potrebbero farlo. Dopo gli attacchi ad AWS, diversi vendor, tra cui Snowflake e Red Hat, hanno emesso avvisi di failover, ricordando ai clienti che le interruzioni regionali del cloud si propagano in modi non sempre evidenti.
Prepararsi alla distruzione, non solo al furto. Durante i conflitti, gli attori allineati a uno Stato tendono a privilegiare i wiper rispetto ai ransomware. Assicurarsi che almeno una copia dei backup critici sia offline e isolata (air-gapped), e non semplicemente replicata in un’altra regione cloud. Verificate, inoltre, se il piano di disaster recovery copre un’interruzione dell’intera regione cloud: la maggior parte dei piani è progettata per gestire solo guasti in singole zone. È inoltre fondamentale accertarsi che i backup siano effettivamente ripristinabili.
Lo scenario delle minacce continuerà a evolvere con il progredire del conflitto. L’attività hacktivista può intensificarsi o diminuire rapidamente, mentre le operazioni APT tendono a svilupparsi più lentamente e a emergere nel tempo. Le imprese più resilienti sono generalmente quelle che hanno già colmato le lacune di base prima che una minaccia diventi seria. Se attività basilari (come l’inventario degli asset) non sono ancora state completate, occorre accelerarle. Se l’organizzazione ha accesso a intelligence sulle minacce e ricerche tra le migliori del settore, questo è il momento di monitorarle attentamente.