Come Proofpoint stiamo seguendo con attenzione i gruppi sponsorizzati dallo stato iraniano, e per il momento non abbiamo visto variazioni di rilievo. Storicamente, l’Iran ha una capacità informatica solida e comprovata, con numerosi gruppi che hanno missioni e obiettivi differenti. Hanno ampie capacità di accesso, solide infrastrutture e un programma professionale organizzato. Detto questo, è difficile prevedere come potranno comportarsi in futuro.
In passato, abbiamo visto gruppi sponsorizzati dall’Iran attaccare un piccolo numero di aziende, da una a dieci alla volta, per stabilire un punto d’appoggio interno e prelevare dati e informazioni. Spesso realizzano campagne email pericolose – anche più volte al mese – molto mirate e difficili da rilevare. Una volta penetrati nel sistema, sono in grado di leggere la posta elettronica della loro vittima e agire a sua insaputa per compromettere altre risorse.
Negli ultimi anni i gruppi sponsorizzati dallo stato iraniano si sono concentrati su figure accademiche all’interno delle istituzioni educative, in particolare sui cittadini stranieri che parlano arabo o persiano, inviando loro email-trappola nella loro lingua. L’Iran ha generalmente concentrato gran parte delle proprie capacità su obiettivi in Medio Oriente, la propria area di riferimento, lasciando in secondo piano altre regioni. Hanno inoltre preso di mira settori verticali, tra cui società finanziarie, governative e aziende di tecnologia di protezione.
I conflitti moderni vanno oltre il campo fisico e un attacco informatico di successo può avere un impatto reale e duraturo. L’interruzione di una rete elettrica, il blocco dei servizi di interi comuni, ostacoli alle capacità dell’intelligence di sicurezza nazionale e persino la manipolazione di elezioni politiche, sono esempi di cyber attacchi reali. Poiché le informazioni digitali hanno un peso sempre maggiore nella nostra società, gli hacker le utilizzano per influenzare la percezione del pubblico e generare problemi.
Dal punto di vista della protezione, le aziende devono ridurre la superficie di attacco, completare gli aggiornamenti del programma di sicurezza di base e assicurarsi che i dipendenti siano adeguatamente preparati per identificare possibili minacce. Controllare la posta in entrata e in uscita dalla rete, i siti aperti, visitati e condivisi in azienda. Più piccola è la superficie, più è difficile agire per gli aggressori. È importante che i sistemi siano sottoposti regolarmente a patch perché esistono strumenti open source disponibili per chiunque. Abbiamo anche visto gruppi APT utilizzare le vulnerabilità pubbliche nel momento in cui vengono rilasciate, perché sono molto più semplici da sfruttare.
Di Sherrod DeGrippo, Sr. Director, Threat Research and Detection di Proofpoint
