Tra Teheran e Tel Aviv, una guerra fredda e asimmetrica con attacchi tattici a infrastrutture e obiettivi civili, con lo scopo di danneggiare l’avversario e raccogliere informazioni
Il Medio Oriente vive da più di 40 anni un conflitto a bassa intensità su più fronti. Se il Levante può essere considerato il centro di questo scontro – dalla guerra israelo-libanese del 2006 fino agli attacchi aerei israeliani su assetti militari iraniani in Siria – nell’ultimo biennio si registra tuttavia un preoccupante crescendo di azioni in dimensioni finora inedite.
Dal 2019, alla dottrina diplomatica della periferia inversa, tramite la quale Israele cerca di creare un’alleanza informale in funzione anti-iraniana con i principali paesi arabi della Regione, si abbina una serie continua di attacchi (non rivendicati) a navi commerciali, iraniane e israeliane, nel tratto di mare che si dipana dal Golfo Persico al Mar Rosso.
Ma è nel cyberspazio che si assiste al duello più importante. Sebbene già nel 2010 il virus Stuxnet, avesse causato seri danni alla centrale nucleare di Bushehr arretrando gravemente il programma nucleare iraniano, è tuttavia dal 2020 che si registra una nuova fase caratterizzata da una regolare attività APT (Advanced Persistent Threat) fra Teheran e Tel Aviv, concentrata su infrastrutture e obiettivi civili.
Da parte israeliana abbiamo assistito a un attacco informatico che ha bloccato i sistemi che regolano il flusso di navi nel porto di Shahid Rajaei a Bandar Abbas, creando un ingorgo che ha necessitato diversi giorni per essere risolto (9 maggio 2020); una deflagrazione nel sito sotterraneo di produzione missilistica a Khojir (luglio 2020); un’esplosione alla centrale nucleare di Natanz che ha colpito l’alimentazione elettrica per le centrifughe, causando danni che hanno richiesto diversi mesi per essere completamente riparati (11 aprile 2021); il blocco dei treni a livello nazionale tramite la pubblicazione sui tabelloni delle stazioni ferroviarie di messaggi inerenti cancellazioni di tratte (9-10 luglio 2021); la violazione del sistema di telecamere a circuito chiuso interno del carcere di Evin, centro di detenzione dei prigionieri politici, disvelando video che mostravano ampi abusi sui detenuti (24 agosto 2021); infine è stata mandata offline la fruizione della tariffa agevolata del carburante in 4.300 stazioni di servizio creando lunghe code e disagi alla cittadinanza (26 ottobre 2021);
Da parte iraniana, sono stati violati i sistemi di comando e controllo di sei impianti idrici preposti al trattamento delle acque reflue e alla gestione dei livelli di cloro nell’acqua per uso residenziale (24-25 aprile 2020); hackerati i dati dei clienti di Amital Data, una società tecnologica che fornisce soluzioni software nel campo dell’importazione e della logistica (novembre-dicembre 2020); attaccata la compagnia assicurativa Shirbit, con la successiva raccolta e diffusione sul dark web di informazioni personali dei suoi clienti (dicembre 2020); targeting di circa 250 account di società impegnate nel trasporto marittimo e nella produzione di tecnologia militare (fra cui droni, sistemi satellitari, radar di livello militare e altre attrezzature avanzate), riuscendo a violare con successo circa 20 obiettivi (luglio-ottobre 2021); penetrati i server dalla società di hosting Internet CyberServe (ottobre 2021); azione ransomware all’ospedale Hillel Yaffe di Hadera, che ne ha bloccato i sistemi informatici (13 ottobre 2021); attacco al Ministero della Difesa, con pubblicazione di dettagli militari (ottobre 2021); violato il sito di incontri LGBTQ Atraf con successiva divulgazione di informazioni private (ottobre 2021); attacco al Machon Mor Medical Institute scaricando file medici sensibili di 290.000 pazienti (novembre 2021).
Sebbene non sia facile decifrare chi abbia iniziato questa disfida, è tuttavia più semplice esaminare le reciproche capacità Cyberwar.
L’Iran non ha finora pubblicato alcun documento strategico o dottrinario inerente la propria Cybersecurity. Dallo studio delle attività informatiche si evince tuttavia come Teheran utilizzi l’attività cibernetica in relazione ai propri interessi geopolitici, quale strumento asimmetrico finalizzato a danneggiare gli avversari e raccogliere informazioni. Di conseguenza la recente offensiva può essere letta sia come una reazione concreta agli attacchi cinetici contro obiettivi iraniani nel Levante, sia come una operazione di guerra economica tesa a compromettere le capacità strategiche dei suoi nemici, sia come azione di furto di proprietà intellettuale progettata per fornire informazioni sulla pianificazione strategica dei suoi avversari o per migliorare le proprie capacità industriali o militari. Anche in relazione al personale impegnato nella cyber-intelligence si hanno pochi dettagli. I budget pubblicati, piccoli in confronto a quelli di Israele, non permettono il possesso di tecnologie e capacità operative particolarmente sofisticate costringendo Teheran ad appaltare molti attacchi a gruppi “esterni” in possesso di capacità informatiche più avanzate – con l’indubbio ulteriore lato positivo di affermare una negabilità plausibile dell’azione data la difficoltà di identificazione e attribuzione degli attacchi nel cyberspazio. Al contempo il regime di sanzioni non permette al Paese di creare un adeguato ambiente imprenditoriale per le start-up tecnologiche, vincolandone la crescita.
Israele ha invece formulato, già nel 2017, una strategia informatica nazionale che include una stretta cooperazione tra Governo, mondo accademico, settore privato e multinazionali. Tale collaborazione permette allo Israeli National Cyber Directorate di sfruttare a fini militari questo dinamico complesso informatico ed espandere l’industria high-tech israeliana – che attrae circa il 20% degli investimenti globali del settore ed è sede di importanti centri di ricerca di aziende quali Apple, Google, Microsoft, Amazon e Facebook. Per quel che riguarda l’impegno sul “terreno”, se gli attacchi alle basi iraniane o contro il trasferimento di armi sofisticate a Hezbollah sono comprensibili in una logica di analisi costi/benefici, tuttavia la guerra cibernetica contro il settore civile iraniano dimostra una conoscenza relativa delle dinamiche interne alla Repubblica islamica in quanto tale azione di destabilizzazione e pressione sull’opinione pubblica non influenza la postura fortemente ideologizzata del Regime – per cui uno scambio cibernetico potrebbe non essere visto come un costo proibitivo. Teheran ha, al contrario, mutuato la strategia israeliana e, consapevole della superiore capacità cyber di Tel Aviv, piuttosto che colpire obiettivi militari o securitari fortemente protetti, ha concentrato la propria risposta su target più morbidi quali le reti infrastrutturali critiche e la società civile.
In conclusione, sebbene ambedue le nazioni mirino, tramite queste operazioni, a stabilire delle linee di deterrenza che forzino la controparte a desistere – non essendo però chiara né la definizione delle azioni che l’avversario deve evitare di implementare né l’utilità residuale della implementazione della condotta vietata rispetto all’inazione a guidare l’iniziativa nel cyberspazio al fine di ottenere un vantaggio relativo in termini di sicurezza informatica, anticipando le azioni ostili e sfruttando le vulnerabilità dell’avversario – grazie allo sfruttamento di funzionalità monitorate e acquisite in precedenti intrusioni informatiche.
In un contesto fluido quale quello attuale, nel quale i negoziati nucleari fra Washington e Teheran stagnano e gli equilibri di potere interni iraniani e israeliani non sono ancora chiari (a seguito dei recenti insediamenti del Presidente Raisi e del nuovo Primo Ministro Bennett), la difficoltà delle due controparti a impostare nuove regole di ingaggio e deterrenza unite all’impossibilità a mostrarsi deboli agli occhi dell’avversario, rischiano di portare a un ciclo di scambi d’intensità sempre più crescente, che potrebbe, facilmente, degenerare in un’escalation del conflitto.
Questo articolo è pubblicato anche sul numero di gennaio/febbraio di eastwest.
Puoi acquistare la rivista in edicola o abbonarti.
Dal 2019, alla dottrina diplomatica della periferia inversa, tramite la quale Israele cerca di creare un’alleanza informale in funzione anti-iraniana con i principali paesi arabi della Regione, si abbina una serie continua di attacchi (non rivendicati) a navi commerciali, iraniane e israeliane, nel tratto di mare che si dipana dal Golfo Persico al Mar Rosso.