Attacchi cyber
Con il gruppo hacker “Gattino” Teheran spia le mail dei generali d'Israele e la campagna americana
Il gruppo Apt 42 è entrato nella mail di un consigliere di Donald Trump. Come funziona la "pesca subacquea" e lo scouting dei Guardiani della rivoluzione nei politecnici dell'Iran per trovare giovani esperti di codici
Questa estate il gruppo hacker Apt 42 – noto anche con il nome di “Gattino affascinante” – è entrato nella mail di Roger Stone, un consigliere di Donald Trump. Gli israeliani conoscono bene il gruppo Apt 42 perché due anni fa aveva mandato mail infette a un generale di Tsahal, al dirigente di una società della Difesa e all’ex ministro degli Esteri dello stato ebraico Tzipi Livni. Gli iraniani che stanno dietro ad Apt 42 avevano preso il controllo delle caselle di posta elettronica dei tre israeliani per un periodo e – spacciandosi per un generale, un ex ministro e un dirigente d’azienda – avevano potuto chiedere informazioni ad altri obiettivi ancora più esclusivi via mail.
La pratica si chiama “pesca subacquea” e funziona in questo modo: dopo che un primo abboccamento riesce, un hacker–pasdaran, dalla mail del generale israeliano, scrive al ministro Livni e gli chiede di leggere un articolo che il generale ha appena pubblicato, l’invito è ad aprire un link che – in apparenza – porta al sito di un think tank che entrambi gli interlocutori conoscono bene, per esempio “CentroStudiGerusalemme.com”, anche se la dicitura corretta del sito web sarebbe “CentroStudiGerusalemme.org” – con “.org” al posto di “.com”. Dopo il clic dell’ex ministro Livni, i pasdaran si ritrovano dentro alla sua mail. Da lì possono mandare un altro invito a un altro alto funzionario con cui Livni si scambia mail regolarmente, così da rendere l’abboccamento meno sospetto e aumentare le probabilità che un altro bersaglio dell’attacco informatico cada nella trappola e sveli il contenuto della propria casella di posta. L’operazione va avanti potenzialmente all’infinito finché l’intelligence israeliana oppure qualcuno nella catena delle vittime non se ne accorge. Nel caso citato l’operazione si è fermata quando Livni ha telefonato al generale e ha scoperto che l’amico non gli aveva mai mandato alcun invito a leggere un proprio articolo. Nel 2022, gli hacker di Apt 42 avevano creato siti internet che imitavano quelli di think tank israeliani e occidentali e di testate giornalistiche famose come l’Economist e il Jerusalem Post per evitare che le vittime, una volta aperto il link inviato da un altro bersaglio già compromesso, capissero subito di essere caduti in una trappola.
Non sappiamo cosa siano riusciti a carpire gli hacker iraniani dalle caselle di posta che fino a quel momento erano riusciti a infettare, perché è un segreto custodito dagli apparati di sicurezza israeliani. Da un report pubblicato dalla sezione di Google che si occupa della cybersicurezza sappiamo però che Apt 42 ha tentato un’operazione di pesca subacquea anche tra le mail della campagna presidenziale di Kamala Harris e di Donald Trump in vista delle elezioni americane.
Il gruppo si fa chiamare in molti modi: Apt 42, Fosforo Apt, Gattino affascinante oppure Squadra di sicurezza “Ajax” – che è il nome di un’operazione congiunta della Cia e dei servizi segreti britannici per promuovere un colpo di stato in Iran nel 1953. Rispetto ad altri gruppi hacker iraniani o che vengono considerati agenti manovrati da Teheran, Apt 42 usa metodi sofisticati ed è specializzato in bersagli di alto profilo – la maggioranza delle prede del finto “collettivo” dietro cui si nascondono i pasdaran si trovano in Israele, alcune sono negli Stati Uniti e altre vivono nei paesi arabi del Golfo di cui Teheran si fida poco, per esempio gli Emirati Arabi Uniti.
I Guardiani delle rivoluzione fanno scouting nei politecnici dell’Iran per trovare giovani esperti di codici adatti a ricoprire incarichi dentro i gruppi del tipo di Apt 24, ma offrono anche ricompense in criptovalute agli eventuali hacker-criminali autonomi che vivono all’estero e che volessero mettersi al servizio delle spie di Teheran (magari senza neppure capire di preciso chi siano i committenti dell’operazione).
Di recente sia la direttrice della National Intelligence Avril Haines, sia Microsoft sia Google hanno detto che gli hacker iraniani sono diventati più efficaci e aggressivi. Da quando è cominciata la campagna elettorale per le presidenziali americane, il primo bersaglio (conosciuto) a cadere in una trappola di Apt 42 è stato Stone. Stone è lo stesso consigliere di Trump che – in vista delle presidenziali del 2016 – era in contatto con l’hacker Guccifer, quello che trafugò e rese pubbliche le famose mail di Hillary Clinton. Più tardi scoprimmo che Guccifer era un agente dell’intelligence militare russa. Questa volta Stone si trova dal lato opposto della fuga di notizie: non più dalla parte di chi riceve le informazioni ma da quella di chi le fornisce involontariamente. Stone avrebbe consegnato dettagli teoricamente riservati della campagna trumpiana a un hacker iraniano, compreso il report interno sul candidato alla vicepresidenza J. D. Vance.