La logorante guerra che intercorre tra Israele e Iran è stata caratterizzata, come prevedibile, anche da azioni compiute sul livello cyber. Proviamo ad approfondirne alcune per comprenderle al meglio.
Cronistoria sintetica
- 13 giugno 2025: Israele attacca l’Iran intorno alle 2 del mattino (op. Rising Lion).
- 22 giugno 2025: Stati Uniti intervengono con attacchi aerei contro tre siti nucleari iraniani situati a Fordow, Natanz ed Esfahan.
Colpire le banche
Il collettivo israeliano Predatory Sparrow (conosciuto anche con il nome di Gonjeshke Darande) ha attaccato la banca Bank Sepah di proprietà dello stato iraniano. Il collettivo ha spiegato che l’attacco è stato necessario perché Bank Sepah supportava economicamente le operazioni militari iraniane contro Israele. Il messaggio originale diceva:
Destruction of the infrastructure of the Islamic Revolutionary Guard Corps “Bank Sepah” We, “Gonjeshke Darande”, conducted cyberattacks which destroyed the data of the Islamic Revolutionary Guard Corps’ “Bank Sepah”. “Bank Sepah” was an institution that circumvented international sanctions and used the people of Iran’s money to finance the regime’s terrorist proxies, its ballistic missile program and its military nuclear program.This is what happens to institutions dedicated to maintaining the dictator’s terrorist fantasies. We thank the brave Iranians whose help made this operation possible.
Non sfuggirà ai più attenti l’ultima frase “We thank the brave Iranians whose help made this operation possible.” Ne consegue che questo attacco, stando a quello che viene dichiarato, è stato possibile anche grazie ad una collaborazione interna degli iraniani.
L’attacco in effetti non è stato “banale” ma ha colpito la rete di collegamento tra i sistemi centrali e i terminali ATM, compromettendo il funzionamento di questi ultimi. Come molti lettori sapranno, l’escalation del conflitto ha causato una fuga dei cittadini da Teheran, TGCom 24 pubblica un articolo in cui questo passaggio è ottimamente sintetizzato: “Chi può lascia la capitale, chi non è in grado di farlo si sente in trappola, alla ricerca di rifugi in cui proteggersi“. Tuttavia, lasciare la città per un lungo periodo richiede denaro e se la rete bancaria non funziona, diventa difficile scappare; questo anche alla luce del fatto che a Theran le banche hanno limitato i prelievi dei contanti.
Cambio di messaggistica
In Iran la popolazione usava massivamente Whatsapp che, come il lettore saprà, gode di un certo livello di protezione offerto dalla crittografia end-to-end. L’Iran aveva realizzato un’applicazione proprietaria per l’interscambio dei messaggi: il nome è Bale Messenger (il significato da persiano è “sì”) e permette di scambiare messaggi, fare pagamenti, in maniera molto simile a WeChat cinese o analoghe. L’applicazione è stata lanciata nel dicembre 2016 dalla National Bank of Iran (attraverso SADAD Informatics Corp), con l’intenzione di unire chat, chiamate VoIP e servizi finanziari in un’unica app ma proprio perché “applicazione di stato”, non è stata vista di buon occhio. Il timore di molti cittadini era che il regime potesse spiare le conversazioni e, avendone la possibilità, in molti si sono orientati verso Whatsapp. Chiaramente allo scoppio della guerra la rete Internet è stata contingentata e limitata e molti hanno disinstallato Whatsapp per installare Bale Messenger
Dal punto di vista tecnico Bale Messenger partecipa al “Message Exchange Bus” (MXB), una rete gestita dal ministero competente che permette di scambiare messaggi tra le piattaforme domestiche iraniane come Eitaa, Soroush, Rubika, Gap e iGap. Non offre una cifratura end-to-end: i messaggi sono crittografati lato client-server, ma possono essere letti dai server e dalle autorità. Rapporti di esperti (Open Tech Fund) segnalano l’assenza di reale privacy, data l’assenza di cifratura fine-fine e la capacità dei server di analizzare contenuti, URL, e attività . Su questo punto, particolarmente delicato, è bene essere chiari: stando a quanto dichiarato da Open Tech Fund, il governo iraniano avrebbe affermato che Bale e le altre applicazioni sarebbero protette da cifratura end-to-end (E2EE – End to End Encryption).
According to the Iranian government, as many as 89 million people have signed up to use Iranian messaging apps and Eitaa, Rubika, and Bale, in particular, are gaining in popularity. All three are interoperable and claim to use end-to-end encryption (E2EE)—whereby only the sender and receiver of messages are able to read their contents.
Tuttavia dalle verifiche tecniche effettuate proprio sull’applicazione in questione si sarebbe rivelata la completa assenza di meccanismi crittografici.
OTF’s Security Lab performed an audit of these apps in December 2023 and October 2024 to try and answer these questions. All three apps were confirmed not to use E2EE.
Il security audit, per chi volesse approfondire questo tema, è stato condotto su tre applicazioni android:
- Eitaa (v6.4.2, SHA256:943d25d2cb842ee91e404922c9eeb7433158ba14ee5da821de3870cd92676731)
- Rubika (v3.7.5, SHA256:9f4ca46bbcec994063376f18cc3c3f7adcdf7c41fd5de9eabaafc4c050d4da6d)
- Bale (v9.41.5, SHA256:9bb94f028bb34e97123b26ca7baefd10c7191fa61b3c6ecbd1f4928a75bc3f8f)
E ci sono alcune conclusioni che, a parer di chi scrive, meritano di essere conosciute (fonte: Open Tech Fund):
- Tutte e tre le app utilizzavano diverse forme di crittografia client-server, ma nessuna aveva E2EE abilitato per mantenere le conversazioni tra gli utenti protette dai server di back-end, nonostante le affermazioni del governo.
- Il servizio MXB menzionato precedentemente e gestito a livello statale, mantiene una directory degli utenti partecipanti e i suoi server potrebbero potenzialmente visualizzare messaggi in chiaro a causa della mancanza di E2EE in una qualsiasi delle app.
- Data la mancanza di E2EE nelle app, tutte le chat e le informazioni sugli utenti (ad esempio, nomi, numeri di telefono) erano leggibili dai server di back-end delle applicazioni.
- Nel caso di Eitaa, i messaggi di bozza non inviati sono stati inoltre segnalati al server di back-end dell’applicazione.
- Gli auditori non hanno trovato casi basati su sensori di dati inaspettati inviati, come l’abilitazione inaspettata del microfono o della telecamera di un utente.
- In tutte e tre le app, quando gli utenti hanno fatto clic sugli URL nei messaggi che sono stati inviati loro, sono stati reindirizzati al server di backend dell’applicazione con l’URL originale nella stringa di query a meno che l’URL non fosse contenuto in un breve elenco di permessi di URL “sicuri”. Ciò consentirebbe effettivamente ai server di monitorare quali siti web sono stati visualizzati dagli utenti all’interno dell’app. Questo aggiunge anche un livello di censura, poiché le app stanno costringendo gli utenti a passare attraverso la propria pagina web per accedere a domini esterni non approvati e potrebbero bloccarli in qualsiasi momento. Un utente potrebbe facilmente aggirare questo, tuttavia, incollando il link in un browser web separato.
Un ulteriore aspetto d’interesse è la modalità con cui è nato Bale Messenger dal punto di vista dello sviluppo: le app Eitaa e Rubika si basano sul codice sorgente di Telegram, in Eitaa vi è stata la rimozione delle funzionalità legate alla gestione delle chat segrete (che sfruttavano in effetti la E2EE). Bale, invece, è stato derivato dalla Actor Messaging Platform, un codice sorgente sviluppato e abbandonato da un ex ingegnere di Telegram. L’ultimo rilascio è stato effettuato il 3 agosto 2016, come si evince dallo screenshot scattato il 18 giugno alle ore 09:30 circa.
L’impatto sull’Italia
Nel mese di giugno 2025 il collettivo DieNet ha rivendicato un data breach ai danni della Confederazione Nazionale Artigiani (CNA). Secondo quanto dichiarato da KrakenLabs su X le motivazioni dell’attacco sarebbero da ricondursi dal conflitto Israele-Iran. In particolare la motivazione sarebbe:
DieNet accusa le nazioni del G7, in particolare l’Italia, di sostenere “l’asse della tirannia” (Stati Uniti, Regno Unito, Francia, Germania, Giappone, Canada, Italia). Avvertono: “Non appoggiate le uccisioni. Non attaccate l’Iran. O farete come l’Italia”.
Il data breach avrebbe interessato un volume di oltre 34.000 files tra cui contratti e documenti di identità. L’attacco, sempre secondo quanto riportato da KrakenLabs, è solo uno tra quelli che colpiranno “le nazioni allineate al G-7“.
Chi è DieNet?
DieNet si è annunciato sulla rete il 7 marzo 2025 e ha rivendicato l’attacco contro il social network X come spiegato anche nell’articolo del The Guardian. In particolare, secondo la SITE Intelligence, l’attacco contro il social network X sarebbe stato un test. Secondo Sharon Levin (Radware Linkers Program Manager), tra l’11 e il 17 marzo sarebbe stato responsabile di una sessantina di attacchi (circa 10 attacchi al giorno) contro vari target tra cui SpaceX, Nasdaq, TikTok impiegando tecniche differenti tra cui il DDoS. Nello specifico il Guardian fa una lista dei settori colpiti tra cui ci sarebbero: trasporto pubblico, uffici governativi iracheni, portali web, strutture afferenti all’energia, alla sanità e al commercio elettronico. Secondo quanto riportato dal portale NetScout:
DieNet has targeted the Los Angeles Metropolitan Transportation Authority, Port of Los Angeles, and Chicago Transit Authority, as well as the North American Electric Reliability Corporation, and in Iraq, it has targeted the Ministry of Foreign Affairs. The group also has targeted large centers of digital commerce and communication, such as X, medical websites such as MediTech and Epic, the Internet Archive, NASDAQ, and other large ecommerce and software-as-a-service (SaaS) providers.
Collaborazioni
Come spesso accade in questi casi, anche il collettivo DieNet collabora attivamente con altri collettivi. Tra i principali troviamo:
- Mr Hamza è un gruppo hacktivista di matrice filo-palestinese, che ha mostrato nel tempo legami con ambienti filo-russi e filo-iraniani. Le sue operazioni si concentrano principalmente su attacchi rivolti contro agenzie governative occidentali, infrastrutture critiche (come trasporti, energia e comunicazioni) e aziende private considerate vicine a governi “ostili” secondo la loro visione politica. Il 7 marzo 2025, Mr Hamza ha pubblicamente promosso DieNet, suggerendo non solo un’alleanza ideologica ma anche una possibile collaborazione tecnica per aumentare la capacità e il coordinamento negli attacchi. Si consiglia la lettura dell’approfondimento su questo attore.
- LazaGrad Hack è un collettivo hacktivista con una doppia affiliazione ideologica: da una parte sostiene la causa palestinese, dall’altra mostra apertamente simpatia per la narrativa geopolitica russa. Questo gruppo ha collaborato attivamente con DieNet fin dai suoi esordi, condividendo sia obiettivi simbolici (come l’ostilità verso istituzioni occidentali) sia, probabilmente, parte dell’infrastruttura tecnica necessaria per eseguire gli attacchi. La loro attività su Telegram nel marzo 2025 ha avuto un ruolo chiave nel rendere visibile e promuovere il debutto operativo di DieNet.
- Sylhet Gang-SG è un gruppo hacktivista caratterizzato da una retorica molto esplicita, con dichiarazioni di ostilità rivolte a tutti i soggetti percepiti come “alleati del sionismo”. Le loro attività sono focalizzate su attacchi DDoS (Distributed Denial of Service), in particolare contro organizzazioni occidentali e israeliane. Il gruppo ha mostrato sinergia con DieNet attraverso una promozione incrociata dei contenuti e la condivisione di bersagli comuni. La loro adesione e il sostegno al lancio delle attività di DieNet nei primi giorni di marzo 2025 costituiscono un indizio importante della rete relazionale che si sta consolidando tra questi collettivi.
- OverFlame è un altro attore attivo nel panorama degli attacchi informatici ideologici. Nonostante non vi siano dichiarazioni pubbliche dirette di affiliazione a DieNet, l’analisi del traffico di rete proveniente da attacchi DDoS ha mostrato un’evidente condivisione dell’infrastruttura tecnica, in particolare quella basata su servizi di DDoS‑as‑a‑Service. Questo suggerisce una collaborazione tecnica o, perlomeno, un utilizzo coordinato di risorse comuni, forse acquistate o affittate da fornitori underground specializzati.
- DenBots Proof è un gruppo che, come OverFlame, utilizza la stessa infrastruttura DDoS‑as‑a‑Service impiegata da DieNet. Le indagini condotte sull’origine del traffico malevolo rivelano che questi gruppi non solo adottano strumenti simili, ma probabilmente cooperano attivamente per sfruttare al massimo i vettori d’attacco disponibili. Questo tipo di condivisione – sia di strumenti che di target – contribuisce ad amplificare l’efficacia degli attacchi e complica la capacità di risposta da parte delle difese tradizionali.
