Israele-Iran: la cyberwar continua

Nella notte tra sabato e domenica scorsi il sito web del Bazan Group, il principale operatore israeliano nell’ambito della raffinazione del petrolio, è andato offline. In quello stesso lasso di tempo il gruppo di hacktivisti iraniano CyberAvenger ha rivendicato l’attacco su un canale Telegram. I militanti di Teheran hanno affermato di essere riusciti a penetrare nei sistemi dell’operatore petrolifero sfruttando una vulnerabilità nei firewall perimetrali del noto brand di security Check Point, anch’esso israeliano. Per provare di essere riusciti nell’impresa il gruppo ha pubblicato un serie di screenshot. Questi ultimi, tra le tante cose, mostravano l’interfaccia utente di alcuni sistemi SCADA deputati al monitoraggio del funzionamento degli impianti, a segnalare quanto in profondità sarebbero riusciti a infiltrarsi nei sistemi del Bazan Group.

Nelle ore successive sono arrivate alla testata on line Bleeping Computer le precisazioni dell’operatore e del produttore dei firewall. il Portavoce di Bazan ha spiegato come tutti gli screenshot pubblicati sarebbero artefatti e che si è trattato di propaganda, ammettendo però che il sito del gruppo è stato messo off-line a seguito di un attacco DDoS. Dal portavoce di Check Point è arrivata un’altra smentita dell’attacco poiché ad avviso dell’azienda di sicurezza “non esiste alcune vulnerabilità scoperta in passato che permetta un attacco del genere”.

A onor del vero quest’ultima affermazione smentisce ben poco, dato che nulla vieta che si tratti di una vulnerabilità di tipo “zero-day” ovvero non ancora scoperta (nella sola giornata di domenica ne sono state rese pubbliche una decina). Altrettanto vero che falsificare qualche immagine è più o meno alla portata di tutti. Non di meno è interessante notare come il sito www.bazan.co.il, ancora domenica sera, sia irraggiungibile da qualsiasi parte del mondo tranne che da connessioni provenienti dal territorio israeliano. In ogni caso si tratta di un altro capitolo nello scontro cyber tra Teheran e Tel Aviv e possiamo immaginare che nelle prossime settimane qualcosa di antipatico accadrà in Iran.

Detto questo, allo stato attuale non si può dire cosa sia realmente accaduto, e questa è una realtà che riguarda la stragrande maggioranza degli attacchi cyber. Come sono andate realmente le cose e fino a che punto l’aggressione è stata grave sono informazioni disponibili soltanto a chi è direttamente coinvolto nell’incidente. Soprattutto dopo l’inizio delle ostilità tra Russia e Ucraina, sento molti sostenere che la cyberwar non deve fare poi tanta paura e mi permetto di dissentire. Se un’aggressione cyber circoscritta resta in una zona d’ombra, viceversa un attacco su vasta scala, nel contesto di un guerra cyber tra superpotenze sarebbe visibile tanto quanto il fungo di un’esplosione termonucleare. Basterebbe ricordarsi cosa ha combinato nel 2017 un malware nemmeno tanto evoluto come NotPetya.