La situazione geopolitica, talvolta trattata anche in questo blog per spiegare i pericoli che si corrono online, come sappiamo è in una fase molto delicata, con i conflitti armati che negli ultimi mesi si sono inaspriti. Quotidianamente sentiamo parlare di attacchi sparsi per il mondo ma esistono anche altri modi per indebolire gli avversari che non passano dalle armi vere e proprie ma dal mondo IT. Se si pensa che nel 2007 un grosso colpo venne inferto al programma nucleare iraniano “soltanto” utilizzando Stuxnet, un malware appositamente creato per infiltrarsi nei loro sistemi, allora capiamo che oggi come allora si possono arrecare grossissimi danni anche senza sparare un colpo.
Questa introduzione spiega alla perfezione la notizia trapelata il 26 giugno, ovvero quella riguardante un attacco cyber dell’Iran ai danni di Israele, due paesi che nelle ultime settimane si sono fatti una guerra senza esclusione di colpi e, come vedremo, non si sono limitati solo ai campi di battaglia veri e propri. Sembra infatti che a partire dalla metà di giugno alcuni professionisti israeliani come giornalisti ed accademici di vario livello, abbiano subito un attacco di spear phishing (ovvero phishing mirato) da parte di un gruppo iraniano di hacktivisti chiamato Educated Manticore, molto attivo da diversi anni e capace di colpire obiettivi anche piuttosto importanti nei settori militari e governativi.
Tramite dei semplicissimi messaggi veicolati via WhatsApp e via email, fingendosi compagnie di cybersecurity e componendo i messaggi usando la AI per avere maggiore presa, contattavano gli obiettivi per chiedere un meeting e parlare di come gestire la protezione e la sicurezza delle loro organizzazioni, ovviamente puntando sul conflitto in corso. L’utilizzo di strumenti tecnologici per comporre il messaggio ha dato anche il vantaggio strategico di evitare di incorrere in uno dei classici errori del phishing, ovvero la presenza di errori grammaticali e refusi banali, questo dovrebbe far riflettere tutti sull’aumento della possibilità degli attaccanti di passare inosservati. L’attacco di spear phishing del quale parliamo, invece, partiva con queste particolarità ma non mandava inizialmente alcun link, puntando a costruire un rapporto di fiducia con chi riceveva i messaggi per poi iniziare uno scambio di messaggi ed infine arrivare ad inviare il link vero e proprio al fantomatico meeting sopracitato. Collegandosi al link l’utente si trovava davanti un form precompilato grazie proprio ai dati in possesso degli hacker, che poi sono stati capaci di rubare credenziali e codici per l’autenticazione multifattore, oltre ad usare uno strumento che consente di vedere i tasti digitati dalla vittima.
Il link talvolta era collegato a finte pagine Google Meet sulle quali una volta fatto clic si veniva reindirizzati sui login per inserire le credenziali che poi sarebbero state trafugate. Gli hacktivisti che hanno messo in piedi questo attacco si sarebbero iniziati a muovere già da gennaio 2025, registrando una lunga serie di domini, circa 130 oltre ai sottodomini, da utilizzare poi per sferrare le offensive e approvvigionandosi con diversi IP. È chiaro che gli esperti sono molto preoccupati riguardo a Educated Manticore, poiché come abbiamo visto opera in modo molto efficace e preciso, dando poco margine per essere scoperto e colpendo obiettivi piuttosto strategici che spesso collaborano anche con colleghi esteri. L’obiettivo di questo gruppo è ovviamente il furto di informazioni ma non va sottovalutato neanche il furto d’identità e degli accessi degli avversari per fare gli interessi del proprio governo. Questo è solo l’esempio più recente di minacce legate alle guerre presenti in giro per il mondo (e che hanno maggior copertura mediatica), ma dà bene l’idea di quanto anche questi ambiti non debbano e non possano sentirsi perfettamente al sicuro.
