Negli ultimi sviluppi, gli attori cibernetici iraniani sono stati al centro dell’attenzione per due operazioni significative: l’hacking della campagna di Donald Trump e l’attività dell’APT UNC1860, un gruppo legato al Ministero dell’Intelligence e Sicurezza (MOIS) dell’Iran. Questi eventi dimostrano come l’Iran stia utilizzando la sua crescente capacità cibernetica per influenzare la politica internazionale e rafforzare il suo controllo nella regione del Medio Oriente.
L’Attacco alla campagna di Trump e il tentativo di contattare il Team di Biden
L’Iran ha recentemente compromesso i sistemi informatici della campagna dell’ex presidente statunitense Donald Trump, rubando informazioni sensibili. Secondo un rapporto delle autorità americane, gli hacker iraniani hanno inviato email non richieste a membri della campagna di Joe Biden, contenenti estratti di materiale riservato rubato dalla campagna di Trump. Tuttavia, non ci sono prove che il team di Biden abbia risposto a tali email.
L’obiettivo dell’operazione era probabilmente quello di seminare discordia e minare la fiducia nel processo elettorale americano. Questo attacco si inserisce in un contesto più ampio, in cui attori come Russia e Cina stanno cercando di sfruttare le elezioni presidenziali statunitensi per i propri fini, alimentando divisioni interne negli Stati Uniti. Le email inviate dal gruppo iraniano contenevano informazioni non pubbliche e sembrano essere parte di una strategia più ampia per influenzare il risultato delle elezioni, favorendo Trump rispetto alla candidata Kamala Harris.
Gli attacchi cibernetici contro la campagna di Trump sono stati collegati a tentativi di phishing da parte di gruppi iraniani che hanno preso di mira anche i consiglieri della campagna, tra cui Roger Stone. Questo tipo di operazioni rientra nella strategia iraniana di destabilizzare i suoi avversari globali attraverso cyber attacchi mirati.
L’APT UNC1860: Un Avversario Formidabile nel Medio Oriente
Parallelamente, l’attività dell’APT UNC1860, un gruppo cibernetico iraniano affiliato al MOIS, sta aumentando nel Medio Oriente. Google Mandiant ha seguito da vicino le operazioni di UNC1860, identificando somiglianze con altri gruppi di hacking, tra cui ShroudedSnooper e Scarred Manticore. UNC1860 si distingue per la sua capacità di accedere e mantenere una presenza persistente nelle reti di alto valore, come quelle governative e delle telecomunicazioni, fornendo accesso remoto a terzi attraverso strumenti avanzati e backdoor passivi.
Le operazioni di UNC1860 sono iniziate con attacchi distruttivi in Albania nel 2022 e sono proseguite con attacchi in Israele e altri paesi del Medio Oriente. Il gruppo utilizza un arsenale di strumenti personalizzati, tra cui STAYSHANTE e TEMPLEDOOR, per garantire un accesso prolungato e discreto ai sistemi compromessi. Questi strumenti consentono agli operatori di condurre attività post-exploit, come il controllo delle reti e il caricamento di file malevoli.
UNC1860 ha dimostrato di essere una minaccia formidabile per la sicurezza informatica nel Medio Oriente, con una particolare attenzione agli attacchi contro i governi e le infrastrutture critiche. Le sue operazioni sono state collegate ad altri gruppi cibernetici iraniani, tra cui APT34, con cui condivide obiettivi e metodologie di attacco.
Le operazioni cibernetiche dell’Iran, che includono l’hack della campagna di Donald Trump e le attività dell’APT UNC1860, evidenziano l’impegno crescente dell’Iran nel cyber-spionaggio e nelle operazioni di disinformazione. Mentre l’attacco alla campagna di Trump cercava di minare la stabilità del processo elettorale americano, UNC1860 continua a rafforzare la sua presenza nella regione del Medio Oriente, utilizzando strumenti avanzati per infiltrarsi nelle reti governative e critiche. Questi sviluppi indicano come l’Iran stia utilizzando la sua capacità cibernetica per raggiungere obiettivi strategici sia a livello internazionale che regionale.
