Come due ricercatori hanno smascherato un gruppo di hacker iraniani

L'anno scorso, un gruppo di hacker probabilmente legato al governo iraniano ha riorganizzato l'infrastruttura che supportava i suoi attacchi informatici. Gli hacker l'hanno costruita in modo che il malware da loro generato, usato per infettare, sia nel paese che all'estero, gli attivisti iraniani votati alla difesa dei diritti umani e più in generale i dissidenti, contattasse diversi server sotto il loro controllo.

A quel punto, Collin Anderson e Claudio Guarnieri, due ricercatori indipendenti che stavano tenendo sotto controllo gli hacker iraniani già da tre anni, hanno individuato un'opportunità da cogliere. Così hanno registrato una serie di domini legati all'infrastruttura degli hacker in questione e hanno aspettato.

Per i sei mesi successivi, ogni volta che un attivista dei diritti umani iraniano veniva attaccato, il malware inviava le sue informazioni personali agli hacker—e, allo stesso tempo, anche ai due ricercatori.

"Non si sono mai accorti che stavamo monitorando tutte le loro attività da diversi mesi," ha detto Guarnieri, che è un esperto di tecnologia ad Amnesty International e membro del Citizen Lab.

I due non sono stati solo in grado di ottenere informazioni sulle vittime, però. Quando gli hacker hanno iniziato a testare nuovi tipi di malware su loro stessi, hanno inviato anche i propri dati ai server e così anche a Anderson e Guarnieri.

In questo modo, i due sono riusciti a tenere d'occhio gli hacker stessi, raccogliendo i nomi dei computeri, gli indirizzi IP, le identificazioni specifiche dei computer, "e altra roba del genere," mi hanno raccontato i due, ridendo sotto i baffi, durante un'intervista a Las Vegas.

La settimana scorsa, Anderson, un ricercatore indipendente che si occupa di sicurezza, e Guarnieri hanno pubblicato una ricerca di 50 pagine che svela tre anni di campagne di hacking iraniane, durante i quali hanno monitorato oltre 300 attacchi ai danni di attivisti.

La ricerca mostra che, a dispetto di quello che raccontano spesso i media, secondo cui gli hacker iraniani concentrerebbero gli attacchi sui governi stranieri, le aziende e le infrastrutture critiche, questi soggetti sono in realtà molto più interessati a spiare i cittadini iraniani che vivono nel paese o che sono emigrati, hanno spiegato i ricercatori.

"Ci sanno fare," dice Guarnieri, specificando che le tecniche degli hacker non sono particolarmente sofisticate, ma decisamente efficaci. E "fanno rapidi progressi," cosa che è "un segnale del fatto che forse la situazione potrebbe peggiorare in futuro."

Per esempio, i due hanno mostrato un vecchio tentativo di phishing inviato a un attivista iraniano. L'email era trascurata e facilmente riconoscibile come dannosa da chiunque abbia un minimo di preparazione sugli attacchi malware. L'email dichiarava di provenire da un "Programma Segreto della CIA!" e invitava i destinatari a installare un file ".exe" per poter inviare informazioni anonime all'agenzia di spionaggio.

Tre anni dopo, gli attacchi di phishing non fingevano più di arrivare dalla CIA, ma dalle autorità dell'immigrazione, e cercano di fare leva sul fatto che molti iraniani all'estero dispongono di una visa e hanno a che fare con molte scartoffie burocratiche. Avevano anche un aspetto più professionale, quindi più credibile.

Nel loro paper, che è solo una parte di un progetto di ricerca più ampio che sarà pubblicato più avanti quest'anno dal Carnegie Endowment for International Peace—un think tank a Washington D.C.—, Anderson e Guarnieri espongono i dettagli delle attività di quattro gruppi di hacking iraniani diversi, noti come Infy, Cleaver o Ghambar, Rocket Kitten e Sima.

Il loro lavoro non rappresenta solo uno studio approfondito e senza precedenti sulle attività degli hacker iraniani ai danni della società civile, che si basa e amplia ricerche precedenti, ma è anche un testamento del fatto che non c'è bisogno di gestire un'azienda di antivirus che ha accesso a migliaia di computer nel mondo per mettere le mani sui malware.

Per arrivare a questi risultati Anderson e Guarnieri hanno sviluppato una relazione con le comunità prese di mira dagli hacker.

"Non abbiamo modo di basarci su grossi dataset, non abbiamo accesso a grossi cloud di dati." dice Guarnieri. "Ma abbiamo accesso a una risorsa che probabilmente nessuna azienda di sicurezza può vantare: una rete di persone."

I due hanno alimentato queste reti lavorando direttamente con i dissidenti e mettendosi in contatto con quelle comunità. Anderson, per esempio, è diventato l'esperto di riferimento quando si è trattato di problemi legati a internet in Iran. Il ricercatore di Washington D.C. ha fatto eco ai pensieri di Guarnieri, dicendo che "avere queste relazioni di fiducia con le comunità attaccate ci ha permesso di creare in un certo senso le nostre versioni di quei sistemi di monitoraggio."

Nel corso degli anni, i due sono diventati un punto di riferimento per gli iraniani che ricevevano strane email, benché costruire un rapporto di fiducia sia tutt'altro che semplice. Una volta, si ricorda Anderson, un amico di un amico lo ha messo in contatto con qualcuno che aveva ricevuto una mail potenzialmente pericolosa. All'inizio, la vittima non gli credeva.

"Gli ho detto, 'senti, so che non mi conosci, ma sei stato compromesso,'" racconta Anderson. "Qualche volta non mi credevano e in un paio di casi ho dovuto dire tipo, 'bene, questi sono file presi dal tuo computer.'"

Dopo tre anni di meticolosa documentazione, i due hanno deciso di rendere pubbliche le loro ricerche questa estate, dopo che l'azienda di sicurezza Palo Alto ha esposto il gruppo in cui i ricercatori si erano infiltrati all'inizio di maggio.

È stato allora che l'azienda di sicurezza ha ridirezionato il traffico che arrivava alla botnet degli hacker ai server che controllava lei stessa, distruggendo le loro operazioni, durante la settimana santa di Iran. Quando gli hacker sono tornati dai giorni di vacanza, hanno dato di matto, secondo Anderson e Guarnieri, che erano lì ad assistere quando il gruppo criminale ha iniziato a controllare freneticamente tutti i server per capire cosa fosse successo.

A quel punto, hanno concordato i due, era il momento di venire allo scoperto. Rivelare le tattiche criminali, secondo i ricercatori, non solo aiuta le potenziali vittime ad essere più attente, ma ostacola anche le future operazioni degli hacker.

"Se non facciamo niente, non li fermeremo mai," dice Guarnieri. "Rendere pubblico il nostro lavoro non basterà certo a farlo, ma almeno crea una sorta di tensione economica tra i costi investiti nel creare e mantenere queste campagne e il fatto che diventino pubbliche."

Eppure, nonostante abbiano portato alla luce oltre 300 casi, i due ammettono che potrebbe trattarsi solo della "punta dell'iceberg," e hanno spronato l'industria della sicurezza a farsi avanti e aiutarli a raccogliere altri casi e condividere i campioni di malware.

Le comunità con cui abbiamo a che fare sono lasciate completamente a loro stesse, non sono clienti di nessuno, non ricevono l'assistenza tecnica di nessuno," dice Guarnieri. "È troppo dura farcela da soli."