La Stampa, 22 agosto 2019
Gli hacker di Teheran rubano i dati ai turisti?
Lo scorso gennaio l’Enisa, agenzia dell’Unione Europea incaricata della sicurezza in rete, ha pubblicato un rapporto che identificava l’Iran come una delle principali minacce cyber. Da anni Teheran sta potenziando il suo esercito di hacker, che oggi rappresentano, dopo la Russia e la Cina, la maggior minaccia alla sicurezza in rete. Nonostante le smentite iraniane al rapporto Enisa, le prove di continui attacchi a banche dati, imprese, infrastruttura, istituzioni ed enti pubblici continuano ad emergere. Documenti ottenuti da “La Stampa” da fonti di intelligence occidentali illustrano il modus operandi degli hacker iraniani e la loro spregiudicatezza.
L’unità “Chafer"
I documenti risalgono al 2017 e sembrano essere resoconti scritti dall’unità di hacker “Chafer” per i loro superiori, dove vengono dettagliati successi, spiegati passo per passo, e discusse le difficoltà incontrate. Tra gli obiettivi spiccano numerose agenzie turche, a dispetto della stretta cooperazione di intelligence che esiste tra Ankara e Teheran. Uno dei rapporti, non datato, sottolinea il successo degli hacker iraniani nel penetrare le banche dati turche del ministero della Salute, della polizia, dell’agenzia passaporti e del ministero degli Esteri. Tale accesso, dettagliato in un separato rapporto di 14 pagine, è stato di tale successo, da creare problemi agli hacker iraniani, che si sono trovati improvvisamente con milioni di dati alla mano ma senza un modo pratico per sottrarli passando inosservati. Un altro rapporto, datato 2017, si concentra sulla compagnia aerea Serbia Air, il cui sito gli iraniani sono riusciti a penetrare con successo come parte di una campagna contro Belgrado – le cui ragioni non sono però spiegate. Gli hacker sono riusciti a entrare nel sistema di Serbia Air usando un Vpn, grazie al quale hanno potuto impossessarsi dei dati di tutti i voli giornalieri della compagnia di bandiera serba. Il rapporto include schermate di singoli voli, completi della lista passeggeri, utilizzati a mo’ di esempio del successo ottenuto. Non solo. Grazie alla penetrazione del sistema Air Serbia, dicono gli autori, gli iraniani hanno potuto anche acquisire i dati d’accesso di Etihad, la compagnia aerea di Abu Dhabi. Air Serbia ed Etihad non sono le uniche compagnie aeree colpite. Gli hacker raccontano anche di come hanno penetrato le difese di Austrian Airlines e Swiss Air.
Gli utenti violati
Tra le vittime menzionate, infine, ci sarebbe una impresa assicurativa degli Emirati Arabi. I documenti dimostrano non solo la versatilità e la abilità dell’esercito cyber iraniano. Mostrano come attraverso attacchi cyber l’Iran colpisce non solo avversari ma anche alleati come la Turchia. Interessante anche il fatto che gli iraniani si siano concentrati sull’agenzia passaporti e sulla polizia nazionale turche. I documenti ottenuti indicano come tra il materiale hackerato vi siano i passaporti di milioni di passeggeri in transito dagli aeroporti turchi e di visitatori di alberghi in Turchia.
Come avviene in Italia e altri Paesi, ospiti degli hotel devono fornire un documento d’identità al momento dell’accettazione, che viene poi trasmesso alla polizia per controlli di sicurezza. Gli iraniani hanno messo le mani su questo catalogo di passaporti, oltre che sui dati della motorizzazione turca che si possono accedere dal sito della polizia. L’Iran, in altre parole, potrebbe essere entrato in possesso dei dati personali di decine di milioni di turisti di molti Paesi, a cui si assommano i dati rinvenuti sui siti delle compagnie aeree, che giocoforza devono includere anche numeri di carta di credito e dati anagrafici degli utenti. L’allarme lanciato dall’Enisa in gennaio va insomma preso sul serio.
Elevata vulnerabilità
L’azione eversiva dell’armata cyber iraniana è già da tempo nota ai mezzi di informazione specializzati e agli addetti ai lavori, ma non sembra essere stata presa sufficientemente sul serio dai governi europei, la cui vulnerabilità rimane significativa. Le imprese e le istituzioni dovrebbero dunque premunirsi, visto che l’azione degli hacker iraniani si svolge a tutto campo, cercando di carpire non solo segreti di Stato, ma anche i dati personali di milioni di inconsapevoli utenti di servizi pubblici e commerciali. In quanto al governo italiano, tra i pochi in Europa con un volume del commercio bilaterale con Teheran in crescita, a dispetto delle sanzioni Usa, Roma dovrebbe investire maggiori risorse non solo nella difesa dei propri sistemi operativi e banche dati. Dovrebbe anche passare al contrattacco, sviluppando migliori strumenti offensivi nel settore cyber, per poter rafforzare la propria deterrenza contro questo tipo di azioni.