Iran: cyber-enabled influence operations

4
Minute Read


L’Office of the Director of National Intelligence’s 2023 Annual Threat Assessment afferma che l’Iran rimane una delle principali minacce informatiche: “La crescente esperienza e la volontà dell’Iran di condurre operazioni cyber offensive lo rendono una minaccia importante per la sicurezza delle reti e dei dati degli Stati Uniti e degli alleati. L’approccio opportunistico dell’Iran agli attacchi informatici rende i proprietari di infrastrutture critiche negli Stati Uniti suscettibili di essere presi di mira”. I cyber actors statali iraniani stanno dimostrando una crescente sofisticazione nelle loro operazioni cyber, in alcuni casi si può considerarli in forte avvicinamento al livello di quelli di Russia e Cina.

Si rileva una progressiva migrazione e adozione di metodologie per gli attacchi che consentono loro di spostarsi da ambienti on-premises ad ambienti cloud, il che rappresenta un aumento tangibile della maturità delle loro capacità. Secondo il report Microsoft del 2023, anche i partner e i proxy iraniani hanno dimostrato costanti miglioramenti dal 2022, nel 2023, un gruppo palestinese ha fornito backdoor configurate per consentire la rotazione di domini C2 in grado di eludere i rilevamenti. Viene rilevato il potenziamento offensivo cibernetico, è presente una nuova forma che combina attacchi di bassa sofisticazione con operazioni di influenza su più fronti per ottenere un maggiore effetto a livello geopolitico internazionale. Le operazioni cibernetiche e di influenza iraniane si sono indirizzate contro l’Occidente e contro ciò che viene percepito come potenzialmente di disturbo. L’orientamento delle attività si concentra verso il sud del mondo. Le operazioni cyber iraniane sono aumentate in tutti i settori, con una maggiore persistenza nei confronti dei Paesi di maggiore interesse per Teheran e con un’espansione nelle imprese dei Paesi del Sud-Est asiatico, dell’Africa, dell’America Latina e dell’Europa, in particolare nell’Europa orientale e meridionale. Microsoft mette in luce alcuni momenti significativi:

  • A febbraio, le operazioni distruttive messe in atto da Mango Sandstorm, un gruppo legato al Ministero dell’Intelligence e della Sicurezza iraniano, hanno avuto un impatto sia sugli ambienti on-premises che su quelli cloud. Prima dell’attacco, gli attori statali iraniani si sono spostati lateralmente da un ambiente on-premises a uno cloud manipolando l’agente Azure Active Directory Connect utilizzando le credenziali rubate di account altamente privilegiati.
  • A marzo, Peach Sandstorm, collegato all’Islamic Revolutionary Guard Corps (IRGC), ha condotto un attacco GoldenSAML per sfruttare la compromissione di una rete on-premises e passare all’ambiente cloud della vittima per esfiltrare i dati.
  • I TTP osservati nelle intrusioni di Peach Sandstorm rappresentano un aumento significativo della maturità delle sue capacità, una crescita particolarmente degna di nota dopo un periodo di due anni durante il quale abbiamo osservato pochissime attività legate a questi operatori.

Come detto il modus operandi dei cyber-actors iraniani combina operazioni cibernetiche offensive con operazioni di influenza su più fronti per alimentare un cambiamento geopolitico in linea con gli obiettivi del regime. Tra gli obiettivi delle cyberenabled influence operations (IO) vi sono il tentativo di sostenere la resistenza palestinese, fomentare disordini in Bahrein e contrastare la normalizzazione in corso dei legami arabo-israeliani, con particolare attenzione a seminare panico e paura tra i cittadini israeliani.

L’Iran ha anche adottato un’organizzazione di intermediazione cyber per indebolire lo slancio delle proteste nazionali, facendo trapelare informazioni che mirano a mettere in imbarazzo figure di spicco dell’opposizione al regime o a smascherare le loro relazioni “corrotte”.

La maggior parte di queste operazioni segue uno schema prevedibile, in cui l’Iran utilizza un’identità virtuale per pubblicizzare ed esagerare un cyberattacco a bassa sofisticazione. Successivamente, falsi profili online apparentemente non correlati, amplificano e spesso enfatizzano ulteriormente l’impatto degli attacchi, utilizzando il linguaggio del pubblico target. Le tecniche di influenza iraniane includono l’uso della messaggistica SMS e l’impersonificazione delle vittime per aumentare l’efficacia della loro amplificazione.

Sebbene le tecniche iraniane siano cambiate, non sono cambiati i loro obiettivi. Queste operazioni rimangono focalizzate su Israele, su figure e gruppi di spicco dell’opposizione iraniana e sugli avversari di Teheran negli Stati del Golfo.

P. Giannetakis

Ulteriori risorse di approfondimento

Scarica Microsoft Digital Defense Report 2023

@ RIPRODUZIONE RISERVATA

Fake Trading Apps Target Victims Globally via Apple App Store and Google Play

China-Linked CeranaKeeper Targeting Southeast Asia with Data Exfiltration

Fake Job Applications Deliver Dangerous More_eggs Malware to HR Professionals

Alert: Over 700,000 DrayTek Routers Exposed to Hacking via 14 New Vulnerabilities

Alert: Adobe Commerce and Magento Stores Under Attack from CosmicSting Exploit

5 Must-Have Tools for Effective Dynamic Malware Analysis

Researchers Sound Alarm on Active Attacks Exploiting Critical Zimbra Postjournal Flaw

AI-Powered Rhadamanthys Stealer Targets Crypto Wallets with Image Recognition

CISA Kicks Off 21st Anniversary of Cybersecurity Awareness Month

5 Actionable Steps to Prevent GenAI Data Leaks Without Fully Blocking AI Usage

Free Sniper Dz Phishing Tools Fuel 140,000+ Cyber Attacks Targeting User Credentials

New Cryptojacking Attack Targets Docker API to Create Malicious Swarm Botnet

U.K. Hacker Charged in $3.75 Million Insider Trading Scheme Using Hacked Executive Emails

THN Cybersecurity Recap: Last Week’s Top Threats and Trends (September 23-29)

Human-Cyber-Physical Systems
INTERNATIONAL AI SUMMIT


Home

Cyber Trolling eBook 2023
ᴘᴀᴏʟᴀ ɢɪᴀɴɴᴇᴛᴀᴋɪꜱ

Analisi comportamentale

Cybersecurity

Intelligenza Artificiale

News

ᴘᴀᴏʟᴀ ɢɪᴀɴɴᴇᴛᴀᴋɪꜱ

Cookie Policy - Terms and Conditions - Privacy Policy