A cura di Aamir Lakhani, Carl Windsor e Derek Manky di Fortinet
I recenti attacchi militari statunitensi e israeliani contro obiettivi iraniani, e le rappresaglie scaturite contro i presunti responsabili hanno sollevato forti preoccupazioni riguardo a possibili ritorsioni informatiche. La domanda che sorge spontanea è se sia in corso o sia probabile una controffensiva informatica coordinata da parte dell’Iran.
Nel momento in cui scriviamo, le prove di operazioni informatiche iraniane su larga scala direttamente collegate agli attacchi sono limitate. Ma questo non significa che il cyberspazio sia tranquillo o che rimarrà tale a lungo.
Ciò che i FortiGuard Labs stanno riscontrando attualmente è un’ondata di attività informatiche nella regione: hacktivismo informale, rivendicazioni riciclate, manomissioni di siti web, interruzioni di trasmissioni e tentativi di intrusione opportunistici, il tutto grazie all’ombra dello scontro fisico.
Nei conflitti precedenti abbiamo osservato che gli attacchi si espandono rapidamente al di fuori del tradizionale campo di battaglia fisico, prendendo di mira anche quelle organizzazioni con il più tenue legame con gli avversari, colpendo non solo i sistemi militari ma anche le reti civili, aziendali e transfrontaliere, e amplificando così i rischi in tutto il mondo.
Cosa sappiamo ad oggi
Nelle ultime 24-48 ore, abbiamo rilevato:
- Manomissioni di applicazioni e media iraniani, tra cui la diffusa app calendario BadeSaba
- Intrusioni in emittenti e media per la diffusione di messaggi psicologici
- Interruzioni della connessione Internet all’interno del territorio iraniano
- Aumento di dichiarazioni su Telegram relative ad attacchi informatici contro Israele, Giordania, Afghanistan e altri attori regionali
- Intensificarsi di voci che suggeriscono potenziali attacchi contro servizi finanziari e infrastrutture critiche
La maggior parte di questi eventi rientra in tre categorie: operazioni psicologiche, segnalazioni hacktiviste e sfruttamento del rumore geopolitico.
È importante sottolineare che, al momento, non ci sono prove certe di campagne distruttive da parte dell’Iran o di attacchi informatici su larga scala contro le infrastrutture come reazione diretta agli attacchi. La situazione però potrebbe cambiare. Storicamente, infatti, le risposte informatiche dell’Iran agli eventi geopolitici non sono sempre immediate, ma possono essere molto dannose.
Nelle precedenti escalation, gli operatori legati all’Iran hanno dato prova di pazienza. Mentre l’accesso viene spesso preparato in anticipo, l’attivazione può avvenire giorni o settimane dopo l’evento scatenante, quando l’attenzione si è spostata e la posizione difensiva è ormai allentata. Le aziende che interpretano l’assenza di una ritorsione immediata come una riduzione del rischio potrebbero trovarsi impreparate se l’attività dovesse emergere in un secondo momento.
Il trend più pressante: lo sfruttamento del rumore
Un fenomeno merita particolare attenzione in questo momento: il rumore generato nei periodi di forte tensione geopolitica è sfruttato dagli autori delle minacce, compresi quelli non direttamente coinvolti nel conflitto. Ciò include il lancio di campagne di phishing incentrate sulle ultime notizie, la distribuzione di falsi avvisi contenenti malware o aggiornamenti di sicurezza fittizi, che passano sottotraccia grazie al caos della situazione.
Gli scenari di guerra sono una copertura ideale per le attività malevole. È più complicato risalire alle fonti e distinguere le segnalazioni attendibili da quelle fasulle, mentre è più semplice organizzare operazioni sotto falsa bandiera. Di conseguenza, il rischio operativo per chi si occupa di difesa aumenta ancor prima che si concretizzi una ritorsione coordinata e strategica.
Tecniche da tenere d’occhio
Sulla base delle campagne iraniane e delle minacce regionali più ampie segnalate in passato, queste sono le tattiche dimostratesi efficaci che le organizzazioni dovrebbero prepararsi ad affrontare:
- Malware Wiper contro il settore governativo o energetico
- Campagne DDoS contro le istituzioni finanziarie
- Furto di credenziali attraverso notizie sul conflitto
- Aggiornamenti di app mobile o programmi di installazione software falsi
- Manomissioni di siti web per amplificare la diffusione mediatica
La compromissione dell’app calendario BadeSaba mette in luce una questione importante. Lo sfruttamento su larga scala delle notifiche push implica l’accesso al backend che raramente si ottiene in un solo giorno. Ciò suggerisce una compromissione preparatoria o un preposizionamento, come anticipato nelle nostre previsioni CISO per il 2026. Anche se non è ancora chiaro chi ne sia responsabile, questo riflette le moderne tecniche di spionaggio: ottenere l’accesso in anticipo e attendere il momento ottimale per l’esecuzione.
Perché potremmo non cogliere i primi segnali di allarme
Questo conflitto non assomiglia a una campagna cyber convenzionale motivata da ragioni finanziarie. Quando sono coinvolte operazioni militari, è improbabile che il coordinamento operativo, qualora ci fosse, avvenga su canali aperti. Al contrario, l’attività di pianificazione potrebbe spostarsi su comunicazioni riservate o segrete, e avvenire molto prima dell’attivazione. Per questo motivo i difensori non dovrebbero fare affidamento sugli indicatori di intensificazione presenti nei forum pubblici come conferma dei livelli di rischio.
È importante tenere a mente che l’assenza di segnali pubblici di pianificazione non equivale all’assenza di preparazione.
Cosa dovrebbero fare adesso le organizzazioni
L’esperienza pregressa può essere d’aiuto contro eventuali ritorsioni informatiche future. Tenendo conto delle tattiche, delle tecniche e delle procedure (TTP) osservate in passato, nel caso in cui dovesse verificarsi una controffensiva su larga scala, è probabile che si ricorra a tecniche già note piuttosto che a nuove vulnerabilità zero-day. Molte campagne informatiche geopolitiche hanno successo a causa di applicazioni tardive delle patch, credenziali riutilizzate, mancanza di autenticazione a più fattori, servizi esposti e controlli di accesso deboli. Queste lacune, unite alla frequente percezione del conflitto come un evento lontano, possono portare rapidamente le attività informatiche dannose in azienda.
Per proteggere la propria organizzazione, è necessario adottare una serie di misure fondamentali.
Essere consapevoli della situazione geopolitica: innanzitutto, bisogna capire chi sta prendendo di mira chi, con quali strumenti e perché. Si può rimanere aggiornati su ciò che sta accadendo attraverso gli ISAC (Information Sharing and Analysis Centers) del proprio settore o iscrivendosi al Dark Web Intelligence Service di ACI (FortiRecon Adversary Centric Intelligence).
Dare priorità alla formazione in cybersecurity: con una preparazione adeguata, il personale può proteggere meglio l’organizzazione e diventare la prima linea di difesa contro le minacce informatiche. È possibile creare una forza lavoro consapevole dei rischi informatici con corsi di formazione a basso costo o costo zero, come la formazione NSE di Fortinet, disponibile gratuitamente. Inoltre, è possibile integrare simulazioni di phishing realistiche per valutare e migliorare la preparazione dell’azienda.
Abilitare l’autenticazione a più fattori su VPN, accesso remoto e applicazioni SaaS: quando un nome utente o una password vengono compromessi, accidentalmente o intenzionalmente, la sicurezza complessiva dell’utente è garantita perché gli autori dell’attacco non possono accedere al secondo fattore, come token o dati biometrici.
Configurare l’applicazione automatica di patch e aggiornamenti: nonostante anni di raccomandazioni circa l’applicazione tempestiva e regolare delle patch, una delle principali minacce alla sicurezza e all’integrità della rete continua a essere la mancanza di processi di cyber igiene efficaci. È fondamentale mantenere aggiornati tutti i software, i sistemi operativi e le applicazioni con le ultime patch di sicurezza disponibili. Innanzitutto, è consigliabile stabilire un processo di gestione delle patch che semplifichi gli aggiornamenti e garantisca un’implementazione tempestiva; dopodiché, si può ricorrere all’intelligenza artificiale e altre tecnologie che automatizzino le noiose attività di patch.
Sebbene molti sistemi legacy non possano essere aggiornati a causa del funzionamento continuo dei processi critici, è possibile proteggerli dalle vulnerabilità utilizzando controlli compensativi, come ad esempio firme IPS mirate.
Utilizzare password sicure: è necessario impiegare strumenti di gestione delle password e l’autenticazione a più fattori per soddisfare le linee guida essenziali. Rafforzare in questo modo la sicurezza impedisce che password compromesse si traducano in sistemi violati. I servizi che monitorano i forum online che vendono credenziali rubate sul dark web possono anche fungere da sistema di allerta precoce, garantendo che le password vengano aggiornate prima di essere sfruttate. Inoltre, bisogna assicurarsi che i dispositivi IoT, come le telecamere, siano aggiornati e che le password predefinite vengano modificate.
Comprendere e ridurre la superficie di attacco: il primo passo per ridurre la superficie di attacco è capire ciò di cui si dispone. Occorre iniziare eseguendo audit di sistema per scoprire quali applicazioni, hardware e dispositivi IoT sono presenti nell’ambiente interno, senza però dimenticare di guardare oltre i confini dell’organizzazione. Inoltre, è sempre utile avere anche un punto di vista esterno sulla propria rete in grado di assistere nella verifica dei sistemi, identificare cosa c’è e determinare chi ha accesso a cosa. Ad esempio, un servizio di gestione continua dell’esposizione alle minacce (CTEM) può fornire una visione esterna dei rischi che la propria azienda deve affrontare.
Sviluppare una difesa approfondita: è opportuno presumere che prima o poi si verificherà una compromissione e sviluppare la resilienza della sicurezza e la capacità di rilevamento rapido a ogni livello.
- Segmentare la rete per garantire che l’impatto di una violazione sia limitato nella portata, favorendo il rapido ripristino della rete e mantenendo la resilienza aziendale.
- Gli autori delle minacce spesso possono rimanere inosservati in una rete per mesi. Il rilevamento e la risposta di rete, le tecniche di deception e le analisi possono accelerare e semplificare il rilevamento e la risoluzione delle minacce. Queste e altre soluzioni simili possono ridurre il tempo medio di rilevamento da molti giorni a pochi minuti.
- Registrare tutte le attività in una soluzione SIEM centralizzata e sviluppare una capacità di rilevamento automatizzata.
Eseguire il backup dei dati: implementare una solida strategia di backup e ripristino dei dati ne garantisce l’integrità e la sicurezza. È necessario eseguire regolarmente il backup dei dati critici e assicurarsi che i backup siano archiviati in ambienti sicuri, isolati e fuori dalla rete. Altrettanto importante è testare il ripristino dei dati per garantire che, in caso di attacco ransomware o perdita di dati, l’organizzazione sia in grado di recuperare rapidamente le informazioni essenziali.
Sviluppare e verificare un piano di risposta agli incidenti: è utile creare un piano di risposta agli incidenti completo e relativi manuali che descrivano le misure da adottare in caso di incidente di cybersecurity. Tuttavia, un piano che rimane chiuso in archivio ha poco valore. È fondamentale verificare e aggiornare regolarmente i piani per garantirne l’efficacia. Ciò include l’esecuzione di esercitazioni, come simulazioni teoriche, per consentire ai principali stakeholder di mettere in pratica e perfezionare le proprie risposte ai vari tipi di minacce informatiche.
Costruire fiducia e partnership: i CISO e i team IT devono riconoscere che la cybersecurity è una responsabilità condivisa, nessuna singola azienda possiede tutte le risposte. Uno degli elementi più importanti per una solida strategia di sicurezza è la creazione di partnership globali e la condivisione attiva delle informazioni sulle minacce. Ciò include la collaborazione con fornitori affidabili e la partecipazione a ISAC specifici per settore.
Segnalare tempestivamente gli incidenti: le organizzazioni devono informare immediatamente il proprio Computer Emergency Response Team (CERT) e le forze dell’ordine locali in caso di incidente informatico.
In conclusione
Le nostre osservazioni dimostrano che al momento non vi sono conferme di ritorsioni informatiche iraniane su larga scala direttamente collegate ai recenti attacchi. Tuttavia, FortiGuard Labs ha osservato un aumento dell’attività informatica nella regione e un aumento misurabile dei comportamenti che sfruttano la situazione a proprio vantaggio. In conflitti come questo, la prima ondata è spesso rumorosa. Se dovesse arrivare una seconda ondata, potrebbe essere più silenziosa, più coordinata e più mirata, quindi è fondamentale essere preparati a tale eventualità.
Le aziende che sfruttano questa fase iniziale per rafforzare la propria igiene informatica, applicare un’autenticazione forte e a più fattori, e ridurre l’esposizione saranno in una posizione di vantaggio indipendentemente da come si evolveranno gli eventi. FortiGuard Labs continuerà a monitorare gli sviluppi e fornirà aggiornamenti man mano che le informazioni saranno raccolte e convalidate.
