USA - Iran, una nuova guerra ibrida dal futuro incerto

(di Carlo Mauceli)
13/01/20

“Esiste una guerra silenziosa. Le armi sono invisibili, gli schieramenti fluidi e di difficile identificazione. Potrebbe sembrare una spy story da romanzo eppure vicende come quella degli attacchi informatici avvenuti nel corso delle ultime elezioni americane sono soltanto alcuni tra i più eclatanti episodi di cyber war, una realtà a metà strada tra spionaggio e atto di guerra. Cina, Corea del Nord, Stati Uniti, Russia, cani sciolti, mercenari del web. Lo scenario è vasto e intricato”. Si tratta della descrizione del libro “Cyber War, La Guerra prossima ventura” di Aldo Giannuli e Alessandro Curioni e rappresenta benissimo lo scenario a cui stiamo assistendo dal 2007 ad oggi.

In questo scenario si innesta ciò a cui stiamo assistendo in questi giorni tra USA e Iran, ossia quello che possiamo definire un nuovo conflitto ibrido che ha una chiara matrice politica. Allora, dando seguito a quanto scritto pochi giorni fa da Alessandro Rugolo (v.articolo), proviamo ad approfondire, anche da un punto di vista tecnico, quanto sta accadendo in questi giorni.

Il governo degli Stati Uniti ha emesso un avviso di sicurezza durante il fine settimana d’inizio anno, mettendo in guardia contro possibili atti di terrorismo e cyber-attacchi che potrebbero essere compiuti dall'Iran in seguito all'uccisione del generale Qassim Suleimani, avvenuto all’aeroporto di Baghdad da parte dell'esercito statunitense venerdì 3 gennaio. L’attacco aereo che ha provocato la morte del Generale Suleimani è accaduto dopo violente proteste e attacchi contro l'ambasciata americana a Baghdad da parte di sostenitori dell'Iran.
Dopo l'uccisione del generale Suleimani, la leadership iraniana e diverse organizzazioni estremiste affiliate al Governo, hanno dichiarato pubblicamente che intendevano vendicarsi contro gli Stati Uniti tanto che Il DHS (Department of Homeland Security) ha dichiarato che "l’Iran e i suoi partner, come Hizballah, hanno tutte le capacità per condurre operazioni cibernetiche contro gli Stati Uniti”.
Senza ombra di dubbio le Infrastrutture critiche rappresentano un obiettivo primario e, sempre secondo il DHS, i possibili scenari di attacco potrebbero includere "scouting e pianificazione contro le infrastrutture e attacchi cyber mirati contro una serie di obiettivi basati negli Stati Uniti."
"L'Iran ha un solido programma informatico e può eseguire attacchi informatici contro gli Stati Uniti," ha detto il DHS. "L'Iran è in grado, come minimo, di effettuare attacchi con effetti dirompenti temporanei contro le infrastrutture critiche negli Stati Uniti."
Anche se il Segretario alla Sicurezza Interna degli Stati Uniti Chad F. Wolf ha detto che "non c'è una minaccia specifica e credibile contro il Paese", l'allarme lanciato dal National Terrorism Advisory System (NTAS) avverte anche che "un attacco negli USA può avvenire con poco o nessun avvertimento".
Le aziende di sicurezza informatica, come Crowdstrike e FireEye, ritengono che eventuali futuri attacchi informatici colpiranno, con molta probabilità, le infrastrutture critiche statunitensi, molto probabilmente utilizzando malware con capacità distruttive e di cancellazione dei dati, come i gruppi di hacker sponsorizzati dallo Stato iraniano avrebbero fatto in passato contro altri obiettivi nel Medio Oriente.
Ciò che, forse, non è così noto, è il fatto che gruppi di hacking iraniani hanno ripetutamente attaccato obiettivi degli Stati Uniti nel corso dell'ultimo anno anche se le due motivazioni principali sono state da un lato il cyber-spionaggio (Silent Librarian) e dall’altro motivazioni di natura finanziaria attraverso gruppi criminali informatici (SamSam gruppo ransomware).
Joe Slowik, un cacciatore di malware ICS per Dragos, suggerisce che gli Stati Uniti dovrebbero adottare un approccio proattivo e prevenire alcuni attacchi informatici.
"Gli Stati Uniti o elementi associati agli Stati Uniti potrebbero utilizzare questo periodo di incertezza iraniana per interrompere o distruggere i nodi di comando e controllo o delle infrastrutture utilizzate per controllare e lanciare attacchi informatici ritorsivi, annullando tale capacità prima che possa entrare in azione" ha detto Slowik in un post sul blog pubblicato lo scorso sabato.
A valle di questo articolo, non si sono segnalate risposte provenienti da gruppi di hacker facenti riferimento al governo iraniano anche se abbiamo visto alcuni attacchi informatici di basso livello verificatisi durante lo scorso fine settimana, sotto forma di defacement di alcuni siti web.
Tra questi, quello più significativo è il portale ufficiale del governo, il “Federal Depository Library Program” (FDLP). Secondo un'analisi condotta che descriviamo nel seguito, sul portale FDLP era in esecuzione un'installazione obsoleta di Joomla ed è stato, molto probabilmente, sfruttando proprio le vulnerabilità dettate dalla mancanza di aggiornamento di Joomla stesso che gli hacker hanno eseguito il defacement.
In ogni caso, è giusto segnalare che questi attacchi sembrano essere stati effettuati da attori non affiliati con il regime di Teheran ma con una lunga storia di azioni di defacement non particolarmente sofisticati risalenti agli anni precedenti. Gli attacchi sembrano essere opportunistici e non legati ad operazioni pianificate.
Per il momento, la maggior parte delle ricadute relative all'uccisione del generale Soleimani sembrano essere limitate al fronte politico. Per fare un esempio, il governo iraniano ha annunciato nella giornata di martedì 7 gennaio che non avrebbe rispettato più i limiti contenuti nell'accordo nucleare Iran-USA 2015, dal quale gli USA si erano peraltro già ritirati unilateralmente. Inoltre, il parlamento iracheno ha anche votato per cacciare le truppe statunitensi dal paese.
Nel frattempo, il Dipartimento di Stato degli Stati Uniti ha esortato i cittadini statunitensi a lasciare immediatamente l'Iraq in quanto le loro vite potrebbero essere in pericolo e potrebbero essere intrappolate nel mezzo di complotti e rapimenti terroristici. Quello che è avvenuto dopo, con il lancio dei missili iraniani, è, forse, solo l’inizio di un qualcosa che tutti vorremmo terminasse subito.

Breve Analisi del Defacement di FDLP.gov

A noi interessa, però, capire cosa sia successo in termini cibernetici e quali siano stati i fattori che hanno portato al defacement di molti siti americani. Alla stesura questo articolo, se ne contavano già 150. Per farlo, come anticipato, focalizziamoci sul sito http://fdlp.gov/. Consentitemi, pertanto, di iniziare dicendo che questo defacement non è né una sorpresa né, tantomeno, merita necessariamente una grandissima attenzione ma è un esercizio da cui si possono imparare molte cose in merito alla cultura del defacement e da cui si possono trarre spunti interessanti per ricerche future.

Il defacement è di una semplicità estrema. Gli attaccanti hanno caricato due immagini e oscurato il resto della pagina. Hanno aggiunto il bit standard "lol u get Owned" nella parte inferiore della pagina e, una volta modificata la pagina del sito, si sono dedicati a lanciare defacement automatici verso altri siti grazie a tecniche di SQL Injection.

Quello che si è rivelato davvero interessante è il fatto che c'erano dei dati di tipo EXIF ​​in "we_resist.jpg" il che indica il fatto che erano stati creati nel 2015 con Adobe Photoshop CS6. L'immagine immediatamente sottostante, quella con Donald Trump (1.jpg) non aveva, invece, questo genere di dati. Visto che quasi tutti i principali siti di hosting di immagini e siti di social media rimuovono questi dati, questo fatto, di per sé. Rappresenta un'anomalia interessante.

Facendo un po' di ricerche in relazione al nome dell'immagine è emerso un sito “izumino.jp”. Questo sito si concentra sulla raccolta di metadati estremamente rilevanti per le attività di defacement e, quindi, ha consentito di scoprire che il nome dell'immagine era presente nel codice sorgente di un precedente defacement.

L'immagine è stata originariamente caricata su un sito di hosting di immagini in lingua persiana dove è ancora disponibile (http://s6.picofile.com/file/8223803084/we_resist.jpg). L'immagine è stata utilizzata per la prima volta nel 2015 in una violazione avvenuta ai danni del sito supersexshop.com.br e successivamente, su altri siti. Questi defacement sono stati segnalati in una classifica dei defacement conosciuta come Zone-H da “IRAN-CYBER” che contengono circa 2.447 "notifiche" di defacement risalenti alla fine del 2015. Vale la pena notare che nessuno ha rivendicato il defacement di FDLP su Zone-H.
Fin dall’anno in cui fu creato, nel 2008, FDLP.gov è sempre stato un sito basato su Joomla. Il codice è stato modificato nel corso degli anni con un cambio di modello avvenuto nel 2014 e plug-in differenti che sono stati implementati nel corso degli anni. Tuttavia, quando si osserva il codice sorgente più recente, prima della defacement, sembra che molti plug-in, come MooTools, e dipendenze esterne, come Bootstrap, non siano stati aggiornati dal 2012.

Ora che abbiamo stabilito che gran parte del codice non veniva aggiornato dal 2012, proviamo a dare un'occhiata ai plug-in e ai vari componenti. Navigando tra le due pagine si evidenzia quanto segue:

media/com_rsform
media/com_hikashop
media/mod_rsseventspro_upcoming
modules/mod_djmegamenu
plugins/system/maximenuckmobile

La cosa sconvolgente è che una di queste stringhe è stata realizzata senza criteri di sicurezza e, pertanto, con la possibilità di accettare e pubblicare eventuali modifiche apportate da un qualsiasi utente, senza alcun privilegio amministrativo.

Se diamo un’occhiata alla RSForm quello che appare evidente è che questa era presente fin dal 2014 sulla pagina fdlp.gov/collection-tools/claims e che la versione in essere presentava delle vulnerabilità note da oltre un anno e mezzo come segnalato da KingSkrupellos.

Insomma, per finire, purtroppo, tutto il mondo è Paese.

Nota:
Defacing - termine inglese che, come il suo sinonimo defacement, ha il significato letterale di "sfregiare, deturpare", in italiano reso raramente con defacciare) nell'ambito della sicurezza informatica ha solitamente il significato di cambiare illecitamente la home page di un sito web (la sua "faccia") o modificarne, sostituendole, una o più pagine interne. Pratica che, condotta da parte di persone non autorizzate e all'insaputa di chi gestisce il sito, è illegale in tutti i paesi del mondo.

Un sito che è stato oggetto di questo tipo di deface vede sostituita la propria pagina principale, spesso insieme a tutte le pagine interne, con una schermata che indica l'azione compiuta da uno o più cracker. Le motivazioni di tale atto vandalico possono essere di vario tipo, dalla dimostrazione di abilità a ragioni ideologiche. Le tecniche utilizzate per ottenere i permessi di accesso in scrittura al sito sfruttano solitamente i bug presenti nel software di gestione del sito oppure nei sistemi operativi sottostanti; più raro il caso di utilizzo di tecniche di ingegneria sociale.

Fonti:
https://www.zdnet.com/article/dhs-iran-maintains-a-robust-cyber-program-...
https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-t...
https://www.justice.gov/opa/pr/two-iranian-men-indicted-deploying-ransom...
https://pylos.co/2020/01/04/assassination-retaliation-and-implications/
https://medium.com/@sshell_/brief-analysis-of-the-fdlp-gov-deface-980caba9c786