Non aspettatevi colpi di scena. Tutto sembrerà tranquillo. Come nei migliori avvelenamenti, ci si accorgerà di qualcosa solo quando si comincia a rantolare ed è ormai troppo tardi.
Un gruppo di hacker iraniani ha sferrato un attacco massiccio alle industrie israeliane che rappresentano il Gotha del settore tecnologico, della logistica e dei trasporti.
Protagonisti di questo assalto alla baionetta sono quelli di “Imperial Kitten”, banda anagraficamente “cangiante” e nota negli scenari di guerra cibernetica anche con i nomi di Tortoiseshell, TS456, Crimson Sandstorm e Yellow Liderc. Sono gli stessi che per diversi anni hanno utilizzato anche il personaggio online Marcella Flores…
Non è una gang di liberi professionisti, ma un team che agisce sotto il controllo e il coordinamento del Corpo delle Guardie rivoluzionarie islamiche.
Questi balordi sono attivi almeno dal 2017 e vantano nel proprio curriculum l’aver trafitto i sistemi informatici di organizzazioni operanti nelle aree di difesa, innovazione, telecomunicazioni, navigazione marittima, energia, consulenza e servizi di vario genere.
I tizi in questione non hanno certo “firmato” le malefatte che hanno avviato negli ultimi giorni ma i ricercatori della società di sicurezza Crowdstrike hanno riconosciuto la loro “mano”. L’attribuzione della paternità degli attacchi è avvenuta a seguito di una meticolosa attività di analisi che è partita dalla sovrapposizione di elementi rilevati negli archivi di precedenti “campagne offensive”, quali tattiche, tecniche e procedure osservate (TTP), uso del malware IMAPLoader e esche di phishing.
Il “gattino imperiale” non si limita a semplici graffi. La pericolosità di Imperial Kitten (al lavoro su questo fronte già da ottobre, immediatamente a ridosso dell’aggressione di Hamas a Israele) è tutt’altro che trascurabile. In questo caso la gang avrebbe avviato una vasta operazione di phishing incentrata su possibili opportunità di lavoro, inoltrando e-mail contenenti un allegato di Microsoft Excel opportunamente farcito di virus.
Chi riceve il messaggio di posta elettronica e apre il documento che questo porta con sè attiva una “macro”, ovvero un insieme di istruzioni la cui esecuzione avviene in automatico senza che l’utente debba o possa fare nulla. Gli indebiti ordini “avvelenati” determinano l’apertura di due file “batch” (ciascuno contenente una sequenza di comandi preimpostati) che scatenano operazioni indesiderate e dannose sul computer dello sventurato che ha fatto “clic” con il mouse sull’icona dell’allegato…
In una frazione di secondo ci si trova catapultati all’inferno: vengono apportate modifiche ai file di “registro” (ossia quelli contenenti tutte le impostazioni del computer appena colpito) e lanciati – contro la volontà della vittima – alcuni programmi che eliminano ogni protezione in essere, accedono ad aree riservate, acquisiscono il controllo a distanza di tutte le funzionalità, scandagliano la rete cui quell’apparato è connesso, si propagano su altre stazioni di lavoro, rubano le credenziali (account e password) di tutte le macchine in qualche modo raggiungibili. PAExec, NetScan e ProcDump sono alcuni degli ingredienti utilizzati da chi si sta cucinando i computer israeliani attualmente nel mirino.
Il colpo di grazie viene sferrato con malware personalizzati IMAPLoader e StandardKeyboard: chi poco pratico di queste cose inorridisce al solo pronunciare questi strani nomi provi solo a pensare che il computer si trasforma in un irrefrenabile autolesionista, capace di ferirsi e mutilarsi per via di istruzioni folli che i virus mandano in esecuzione…
Questa guerra invisibile è solo apparentemente incruenta. Si provi a pensare l’effetto di certe azioni sui sistemi informatici di un ospedale che – magari risparmiato dai bombardamenti – finisce nel caos per colpa dei computer che danno informazioni sbagliate, non consentono più la lettura di referti o non permettono il funzionamento di apparecchiature medicali sofisticate…
