Passa ai contenuti principali

Dopo le bombe, i byte. La guerra ibrida tra USA, Iran e Israele

Nella notte tra sabato e domenica, le bombe americane hanno colpito i siti nucleari iraniani con una precisione chirurgica che ha fatto rumore nel mondo fisico. Ma mentre le polveri si depositavano a Fordow e Isfahan, un altro fronte si apriva, invisibile agli occhi ma cruciale: il cyberspazio. E lì, non ci sono sirene né detriti, solo silenzi improvvisi nelle connessioni, pacchetti che non arrivano, servizi che collassano. Da quel momento, l’escalation digitale ha cominciato a prendere forma, accelerando quella che è, a tutti gli effetti, una guerra informatica attiva tra Iran, Israele e Stati Uniti.

Nei minuti successivi ai bombardamenti, l’Iran ha cominciato a limitare drasticamente l’accesso alla rete. Una mossa difensiva, certo, ma anche preventiva. Staccare i cavi è una strategia antica quanto efficace: nessuna connessione, nessuna infiltrazione, nessuna fuga di dati. È stato documentato un blackout della connettività con punte del 97% in alcune regioni. La linea è semplice: se temono che tu abbia i mezzi per colpirli anche via software, spegni internet.

Nel frattempo, dall’altra parte dell’oceano, il Department of Homeland Security statunitense ha emesso un’allerta formale per un “heightened threat environment”: in pratica, aspettatevi ritorsioni. Phishing, campagne DDoS, attacchi mirati contro infrastrutture critiche e disinformazione. Gli attori pro-Iran stanno lavorando alacremente, ma finora le loro azioni sembrano più reattive che strategiche. Nulla di paragonabile alle operazioni offensive condotte da Israele nell’ultimo anno, come le incursioni nelle reti di controllo industriale o la compromissione delle piattaforme di comunicazione di gruppi ostili.

È qui che emerge con chiarezza un dato tecnico: Israele, nel contesto di questa cyber‑guerra, è semplicemente un passo avanti. Non parliamo solo di capacità offensive, ma di strategia, visione, precisione. I team dell’Unit 8200, l’intelligence elettronica israeliana, operano con una sofisticazione da manuale NSA. Hanno già dimostrato in passato (con Stuxnet, ma non solo) che sanno colpire dove serve, quando serve, e farlo in modo da restare nel limbo della plausibile negazione.

L’Iran, dal canto suo, ha investito moltissimo nelle sue forze cibernetiche — gruppi come APT33, APT35 (Charming Kitten), o APT42 sono nomi ben noti nel threat landscape globale — ma la maggior parte delle loro azioni ha avuto eco più in ambito di propaganda che di reale impatto strategico. I loro attacchi a siti web governativi americani, i defacement simbolici, le campagne di spear phishing contro oppositori interni, tutto questo è rumore, ma non potenza di fuoco. Possono colpire, ma raramente riescono a destabilizzare.

Gli Stati Uniti si trovano in una posizione ambivalente: tecnologicamente sono in grado di paralizzare qualsiasi rete con strumenti di livello nation-state, ma in questa fase stanno mantenendo un profilo difensivo, almeno in apparenza. Si limitano ad allertare le aziende critiche, a rafforzare le ISAC e a invitare il settore privato a chiudere ogni porta aperta. Nessuna dichiarazione pubblica su attacchi cyber offensivi — per ora.

Quello che osserviamo è un conflitto ibrido dove le bombe fanno rumore, ma i pacchetti silenziosi possono fare danni ancora più mirati. In mezzo ci sono le infrastrutture digitali globali, che diventano campo di battaglia: internet routing, fornitori DNS, servizi cloud, VPN, persino Starlink in funzione di backup comunicativi.

Non ci sono ancora prove pubbliche di malware distruttivi distribuiti dopo i raid, ma le ore successive al bombardamento hanno visto un netto incremento di attività malevola sulle reti occidentali, soprattutto nei settori energetico, idrico e alimentare. Non è una coincidenza.

La verità è che la guerra del 2025 non si combatte solo sui cieli del Medio Oriente. Si combatte nei log, nei firewall, nelle tracce lasciate su GitHub, nei canali Telegram degli hacktivisti, nei report delle threat intelligence company. E chi ha visibilità in questi ambienti lo sa: quello che stiamo vedendo ora è solo la superficie.

L’ultima domanda resta aperta: chi è messo meglio? Al momento, senza dubbio Israele. Non solo per le capacità tecniche, ma per l’integrazione perfetta tra intelligence, cyber e strategia militare. L’Iran combatte a scatti, con strumenti spesso usurati e prevedibili. Gli USA restano la superpotenza silenziosa, ma se dovessero scendere pienamente in campo anche sul fronte digitale, l’equilibrio potrebbe cambiare di nuovo.

Ma in questo scenario c’è un fatto che chi lavora nella cybersecurity dovrebbe tenere a mente: la vera guerra digitale non avviene solo tra stati. Passa anche attraverso le reti delle aziende, le falle dimenticate, i dipendenti ignari, gli endpoint compromessi. Chi è in ascolto adesso, può forse prevenire il prossimo blackout. O quantomeno capirne l’origine.

Commenti

Popolari

Cisco ASA sotto attacco, due zero-day sfruttati per prendere il controllo dei firewall e impiantare malware persistente

Negli ultimi giorni è uscita una notizia che vale la pena leggere con attenzione: sono stati sfruttati in attacco dei “zero-day” contro i firewall Cisco della famiglia Adaptive Security Appliance (ASA) e prodotti correlati, e diversi avvisi ufficiali invitano a intervenire subito. La storia è stata riportata da più testate tecniche e da Cisco stessa, che ha pubblicato patch e dettagli sulle falle coinvolte. Cosa è successo, in parole semplici? Alcuni bug nel servizio web/VPN dei dispositivi ASA permettono a un attaccante — inviando richieste appositamente costruite — di superare i controlli e far girare codice sul dispositivo. In pratica, chi sfrutta questi bug può eseguire comandi come se fosse l’amministratore del firewall. Cisco ha identificato più CVE coinvolte e ha confermato che almeno due di queste (quelle catalogate come sfruttate “in the wild”) sono state usate dagli aggressori prima che le correzioni fossero pubblicate. La cosa che preoccupa di più non è solo il controllo tem...

Microsoft revoca l’accesso del suo cloud all’intelligence israeliana

Microsoft ha annunciato di aver cessato e disabilitato una serie di servizi cloud e di intelligenza artificiale per un’unità del Ministero della Difesa israeliano (IMOD), dopo aver accertato che tali tecnologie erano state impiegate per sostenere un sistema di sorveglianza di massa sui civili palestinesi.  L’azione dell’azienda è stata attivata in risposta a un’inchiesta giornalistica coordinata dal Guardian, +972 Magazine e Local Call, che ha rivelato come l’Unità 8200 dell’intelligence israeliana avesse archiviato e analizzato milioni di telefonate intercettate tramite la piattaforma Azure, con il fine di monitorare gli spostamenti e guidare operazioni militari nella Striscia di Gaza e in Cisgiordania.  Nel comunicato interno rivolto ai dipendenti, il vicepresidente Brad Smith ha dichiarato che Microsoft non fornisce tecnologie che facilitino la sorveglianza di massa dei civili e che, dopo un’analisi interna, sono emersi elementi che violavano i termini di servizio dell’azie...

Oyster e il malvertising, fake installer di Microsoft Teams diffonde una backdoor

Negli ultimi giorni è emersa una nuova ondata di malvertising e SEO poisoning che punta a intercettare chi cerca il client Microsoft Teams sui motori di ricerca, reindirizzando gli utenti verso annunci o pagine di download fasulle che offrono un installatore contraffatto invece dell’app ufficiale. Secondo le prime segnalazioni, il file distribuito in queste pagine malevole è un installer camuffato che installa la backdoor nota come Oyster (anche indicata in passato come Broomstick/CleanUpLoader), dando agli aggressori un punto d’accesso remoto sui sistemi compromessi. A confermare la dinamica sono multiple realtà che monitorano la minaccia: Blackpoint SOC ha descritto la campagna come basata su SEO poisoning e annunci malvertising che spingono download ingannevoli, mentre analisti di settore e vendor hanno trovato varianti del loader ospitate su domini compromessi o su pagine generate appositamente per mimare download legittimi. Il malware viene spesso confezionato in installer Windows...