Questo articolo è stato pubblicato da questo sito
Nel momento in cui scriviamo, sia il sito di Sepah che quello di Nobitex risultano offline. La banca non ha risposto alla richiesta di commento di Wired US, mentre non è stato possibile contattare l’exchange.
Come spesso accade nella caos di una guerra in rapida evoluzione e di attacchi informatici legati al conflitto, non è chiaro quali effetti abbiano avuto le azioni di Predatory sparrow. Hamid Kashfi – ricercatore iraniano di cybersecurity che vive in Svezia e fondatore dell’azienda di sicurezza DarkCell – racconta che alcuni suoi contatti in Iran riportano che i servizi di online banking e i bancomat di Sepah sono fuori uso dall’inizio degli attacchi, e che in molti casi i civili non riescono ad accedere ai propri fondi. “Ci sono stati molti danni collaterali – osserva Kashfi –. Sembra che stiano causando solo danni e caos. Non riesco a pensare a quale altra logica ci possa essere dietro. Sì, [Sepah] fornisce servizi all’esercito, ma a anche a milioni di persone normali e civili“.
Un’analisi della blockchain rivela alcuni dettagli del sabotaggio messo in atto da Predatory sparrow ai danni di Nobitex: secondo Elliptic, il bottino a otto cifre rubato dalla piattaforma è stato trasferito a una serie di indirizzi crittografici, i cui nomi iniziavano tutti con variazioni della frase “FuckIRGCterrorists” (“Fanculo ai terroristi delle Guardie rivoluzionarie dell’Iran). Generalmente questo tipo di indirizzi – che in gergo si vengono definiti vanity – non permette in alcun modo il controllo o il recupero dei fondi custoditi. Per questo, Elliptic ha concluso che il trasferimento compiuto da Predatory sparrow fosse finalizzato a distruggere il denaro. “Gli hacker hanno chiaramente motivazioni politiche e non finanziarie – afferma il cofondatore di Elliptic Tom Robinson –. Le criptovalute che hanno rubato sono state effettivamente bruciate“.
In un post pubblicato sul suo blog aziendale, Elliptic ha anche confermato che il tracciamento delle criptovalute rivela che Nobitex ha effettivamente legami con agenti sottoposti a sanzioni tra le Guardie rivoluzionarie, Hamas, i ribelli Houthi dello Yemen e il gruppo palestinese della Jihad islamica. Quello di Predatory sparrow è “anche un atto di sabotaggio, compiuto attaccando un’istituzione finanziaria che è stata fondamentale nel ricorso alle criptovalute da parte dell’Iran per eludere le sanzioni“, sottolinea Robinson.
Chi sono gli hacker di Predatory sparrow
Predatory sparrow – il cui nome tradotto significa “passero rapace” – è da tempo uno dei gruppi più aggressivi al mondo nel campo della guerra informatica. Gli hacker, che avrebbero legami con le agenzie militari o di intelligence israeliane, prendono di mira da anni l’Iran con una raffica intermittente di attacchi alle infrastrutture critiche accuratamente pianificati. In passato, hanno colpito e distrutto i dati delle ferrovie del paese e in ben due occasioni sono riusciti a disattivare i sistemi di pagamento di migliaia di stazioni di servizio, innescando una carenza di carburante a livello nazionale. Nel 2022 Predatory sparrow ha messo a segno il cyberattacco che forse ha causato più danni fisici nella storia, manomettendo i sistemi di controllo industriale di un’acciaieria nella provincia iraniana del Khūzestān. L’operazione ha provocato la fuoriuscita di un’enorme quantità di acciaio fuso, che ha incendiato l’impianto e rischiato di bruciare vivo il personale, come mostra un video dell’attacco pubblicato dallo stesso gruppo sul proprio account YouTube.
Il motivo esatto per cui Predatory sparrow ora abbia rivolto la sua attenzione al settore finanziario iraniano è ancora poco chiaro, dichiara John Hultquist, analista capo del gruppo di intelligence sulle minacce di Google, che monitora da tempo il gruppo. Oggi quasi tutti i conflitti, continua Hultquist, includono anche attacchi informatici sferrati da hacktivisti o cybercriminali sostenuti dagli stati. Ma l’ingresso di Predatory sparrow in questa guerra suggerisce che potrebbero essere in arrivo altre offensive, con gravi conseguenze.
“Parliamo di un attore molto serio e molto capace, ed è questo che lo distingue da molte delle operazioni che probabilmente vedremo nelle prossime settimane o mesi – commenta l’analista –. In molti faranno delle minacce. Ma loro sono in grado di dare seguito alle proprie“.
Questo articolo è apparso originariamente su Wired US.
