Un massiccio cyber attacco contro Tirana, la capitale dell’Albania. E, come conseguenza, l’espulsione dei diplomatici iraniani dal Paese. Da metà luglio a oggi si è consumato un vero e proprio atto di guerra tra due Stati, da cui è scaturito un vero e proprio precedente nelle relazioni internazionali: secondo molti osservatori, infatti, non è mai accaduto prima che i rapporti tra Paesi si interrompessero del tutto a causa di un cyber attacco.
La vicenda prova quanto la cyberwarfare (la guerra cibernetica) sia un tema che valica i confini tecnici della sicurezza informatica per assumere risvolti politici decisamente delicati. L’attacco è avvenuto alla metà di luglio, rendendo inaccessibili un congruo numero di siti governativi albanesi. Poche settimane prima, inoltre, il governo di Tirana aveva migrato in rete una serie di servizi per i cittadini (registrazione nelle scuole, pagamento delle tasse, e così via), che non hanno potuto quindi svolgere attività importanti.
I report delle società di sicurezza
Un primo rapporto su quanto accaduto arriva da Mandiant, player di cybersecurity. A sorpresa, le responsabilità dell’attacco sono assegnate all’Iran (e non alla Russia, la principale indiziata). E’ il 4 agosto; un mese dopo, l’8 settembre, Microsoft conferma il ruolo principale della repubblica islamica nella vicenda. Il giorno prima il governo albanese aveva parlato di aggressione condotta attraverso quattro gruppi criminali, con l’obiettivo di distruggere l’infrastruttura digitale del governo dell’Albania e di sottrarre dati e comunicazioni dai sistemi governativi. Il governo ha anche precisato che l’attacco non ha avuto esito: i sistemi sono stati ripristinati e non si sono verificate perdite irreversibili.
Uno scenario complesso
Lo scenario in cui si inserisce l’attacco è estremamente complesso. In Albania opera infatti un gruppo di oppositori iraniani (il MEK), che proprio nella seconda metà di luglio avrebbe dovuto tenere una conferenza con la partecipazione di altri diplomatici, in particolare statunitensi. Per colpirli, un gruppo – sempre iraniano - chiamato HomeLand Justice ha inoculato nei sistemi albanesi un ransomware e un wiper. Ma oltre a colpire un Paese che ospita un gruppo di opposizione, l’attacco è stato motivato dalla situazione di stallo che al momento riguarda le negoziazioni sul nucleare iraniano, condizione che muoverebbe Teheran ad azioni sul fronte digitale.
Un’ulteriore ragione, infine, sta nei rapporti tradizionalmente ostili tra Iran e Israele, e che secondo i report sono richiamati dal logo degli attaccanti: un’aquila che caccia un uccellino inserito in una stella di David.
L’uccellino è il simbolo di un gruppo chiamato Predatory Sparrows, autore di operazioni che a giudizio del governo iraniano coinvolgono Israele. Il gruppo ha rivendicato cyberattacchi complessi e sofisticati contro enti pubblici e infrastrutture critiche iraniane, a partire dal luglio del 2021: acciaierie, ferrovie e siti degli enti locali defacciati con immagini dei leader del MEK. Per Teheran questo proverebbe una sorta di alleanza tra Albania e Israele, lo Stato che ritengono si nasconda dietro Predatory Sparrows.
I dettagli dell’attacco
E’ Microsoft a spiegare, nel suo report, che l’attacco è stato sferrato sfruttando una vulnerabilità non corretta. Una volta entrati nei sistemi albanesi, gli attaccanti hanno esfiltrato mail e inoculato – come detto - un ransomware e un wiper. Il tentativo ha impattato per meno del 10 percento sull’ambiente informatico colpito; tuttavia, ciò dimostra che i sistemi governativi dei paesi NATO (l’Albania ne fa parte) possono essere violati se non c’è attenzione ai buchi. E in tempi come questi, non ci si può permettere ambienti digitali che non siano perfettamente integri.
