La guerra tra Iran, Israele e Stati Uniti si sta combattendo non solo nei cieli del Medio Oriente, ma anche - e insistentemente - in un secondo campo di battaglia, il cyber spazio, più o meno con le stesse modalità, ovvero adottando la strategia del caos. A fare luce sulla questione è Maticmind, società italiana di di Zenita Group impegnata nella sicurezza informatica, che nel suo ultimo report ha evidenziato una crescente attività cybercriminale da parte dell'Iran: più di 600 rivendicazioni di attacco in soli 7 giorni - con un “picco operativo ha superato le cinquanta rivendicazioni giornaliere” - a opera di 47 diversi attori criminali, che hanno attaccato obiettivi sensibili in 11 diversi paesi del mondo - la società segnala anche il data center di Amazon Web Services negli Emirati Arabi Uniti, colpito da droni iraniani all'inizio del mese.Tra questi, Israele e Stati Uniti risultano essere i più colpiti dai cyberattacchi iraniani, seguiti da Arabia Saudita, Giordania e Kuwait. Nel mirino dei criminali, però, sembrano esserci anche il Canada, “in ragione del supporto politico espresso verso Usa e Israele” e “altri paesi NATO ed europei con posizioni pubbliche allineate”.La strategia iraniana “Jang-e-Ashub”“Jang-e-Ashub”, Guerra e caos: questa la logica strategica che sottende alle attività cybercriminali iraniane, che non sono viste da Teheran come un'arma per vincere la guerra, quanto piuttosto come uno strumento di pressione psicologica e leva negoziale. Tutto ha inizio con una serie di “operazioni come attacchi wiper contro target israeliani o sauditi”, che servono a dimostrare la capacità di reazione dell'Iran, senza ricorrere a un'azione militare vera e propria. A queste seguono una serie di azioni mirate volte a creare una vera e propria pressione psicologica agli avversari, gonfiando la minaccia di un'azione imminente da parte dell'Iran.Infine, per chiudere la strategia, i criminali cercano di infiltrarsi nei sistemi informatici dei paesi colpiti, al fine di assicurarsi “accessi persistenti e dormienti che costituiscono una capacità di coercizione latente”. In questo modo, tentano di portare gli avversari al tavolo delle trattative, minacciandoli direttamente dall'interno. “Per le organizzazioni europee, il messaggio è chiaro: - scrive Maticmind - il rischio primario non è il blackout immediato, ma lo spionaggio persistente (APT34, MuddyWater) e l'esposizione indiretta della supply chain cloud”.Obiettivo: spionaggio digitalePer quanto possa fare rumore, ora l'attività cybercriminale iraniana sembra avere un unico obiettivo: raccogliere informazioni strategiche. In più di un'occasione è stato notato che i gruppi criminali vicini a Teheran - come APT34, MuddyWater o Charming Kitt - hanno portato avanti operazioni persistenti all’interno di reti governative, energetiche e militari in numerosi Paesi del Medio Oriente, mantenendo l'accesso alle infrastrutture compromesse per mesi o anni, con l’obiettivo di acquisire dati sensibili su capacità militari, negoziati diplomatici o asset tecnologici strategici. “La Repubblica Islamica sembra privilegiare un approccio graduale, fatto di accessi silenziosi, raccolta di informazioni e costruzione di leve di pressione da utilizzare quando il contesto politico o militare lo richiede - sottolinea Maticmind -. In questo senso, il cyber iraniano appare meno come una ‘super-arma’ capace di produrre effetti spettacolari e più come uno strumento di influenza strategica”.