Passa ai contenuti principali

Chi vuole zittire Iran International? Handala?

Il gruppo hacker filo-iraniano noto come Handala, conosciuto anche con altri alias come Banished Kitten o Hanzala, ha rivendicato la completa violazione dei sistemi di Iran International, emittente con sede a Londra che trasmette in lingua persiana contenuti fortemente critici nei confronti della Repubblica Islamica, e secondo diverse fonti tra cui Kurdistan24, ISNA e altre testate indipendenti e governative, sarebbe riuscito ad accedere non solo ai server e all’infrastruttura tecnica dell’organizzazione ma anche a dati estremamente sensibili come le informazioni personali di oltre 71.000 contatti che utilizzavano il canale "Secure Line" per comunicazioni riservate con i giornalisti, comprese fonti anonime all’interno dell’Iran, oltre a documentazione finanziaria interna e alla posta elettronica privata di numerosi dipendenti, un'operazione che, se confermata nei dettagli, rappresenta un punto di svolta per la guerra informatica condotta a colpi di malware, intimidazioni digitali e campagne psicologiche contro media ritenuti ostili.

Handala non è un gruppo qualunque, non è nemmeno un collettivo di hacktivisti spontanei come Anonymous o i loro derivati geopolitici: il nome stesso è evocativo, richiama la figura simbolica palestinese di Handala, emblema di resistenza contro l’occupazione, ma in questo caso piegato a una narrazione filo-governativa ben orchestrata, legata quasi certamente a elementi dell’intelligence iraniana o al Corpo delle Guardie della Rivoluzione Islamica, con tattiche e operazioni che rientrano nel più ampio spettro di attività dell’APT33 (Helix Kitten) e affini, soggetti che non operano per ideologia individuale ma in simbiosi con gli apparati dello Stato, coordinati, finanziati e probabilmente addestrati per condurre operazioni che non hanno solo valore tecnico ma anche strategico e mediatico, come dimostra la pubblicazione mirata di contenuti sottratti, la diffusione di dati sensibili e la creazione di panico e discredito in rete.

Iran International, dal canto suo, è da tempo al centro delle attenzioni ostili da parte del governo di Teheran, che lo ha ufficialmente designato come "organizzazione terroristica", accusandolo di essere una longa manus dei servizi segreti britannici e israeliani, in particolare del Mossad, e non è un’accusa vuota, nel senso che fa parte di quella narrativa usata per screditare qualunque fonte esterna che denunci la repressione interna, amplifichi le proteste popolari o dia voce all’opposizione, e che va di pari passo con minacce fisiche ai giornalisti residenti a Londra, costretti in alcuni casi a lasciare il Regno Unito dopo aver ricevuto segnalazioni concrete di essere obiettivi di attentati o omicidi, una forma estrema di censura che però si riflette anche nel cyberspazio, dove la delegittimazione, il doxing, la sottrazione di identità e la compromissione dei canali sicuri fanno parte di un unico disegno repressivo che mira a zittire, screditare o neutralizzare l'informazione indipendente.

Dal punto di vista tecnico, l'attacco sembra essere stato portato a termine attraverso una serie di passaggi successivi che dimostrano un’ottima conoscenza del comportamento umano prima ancora che dei sistemi: si parla di malware diffuso attraverso Telegram, sotto forma di link malevoli o documenti Word infetti condivisi da contatti apparentemente fidati, che una volta aperti installavano strumenti di accesso remoto o keylogger in grado di aggirare meccanismi di autenticazione e raccogliere informazioni sensibili come credenziali, configurazioni interne, conversazioni cifrate e file in transito, con particolare attenzione a quei canali come Secure Line che teoricamente dovrebbero garantire anonimato e sicurezza ai whistleblower e alle fonti all’interno del Paese, ma che in questo caso sono stati invece trasformati in una trappola micidiale proprio perché compromessi in modo silenzioso, persistente e mirato, con tempistiche che fanno pensare a un'infiltrazione durata mesi.

A distanza di pochi giorni dalla rivendicazione, i giornalisti della redazione hanno denunciato anche attacchi personali, con pubblicazione di email private, accuse pubbliche di collaborazione con il Mossad e tentativi di discredito personale attraverso la diffusione di contenuti decontestualizzati o manipolati, una strategia nota e già vista in passato nelle campagne di guerra ibrida condotte dalla Russia o dalla Corea del Nord, dove l'obiettivo non è solo colpire l’infrastruttura ma anche infangare l’individuo, isolarlo socialmente e professionalmente, delegittimarlo, renderlo vulnerabile psicologicamente fino a costringerlo all’auto-censura o alla fuga.

L’attacco di Handala, se realmente confermato nella sua portata, è un’operazione chirurgica e d’impatto, frutto di una guerra asimmetrica che si combatte non sul campo con armi convenzionali ma nei canali di comunicazione, nei server, nelle menti delle persone, e che dimostra ancora una volta quanto la sicurezza informatica non sia solo una questione di firewall e patch ma anche e soprattutto di contesto geopolitico, equilibrio del potere, propaganda e percezione pubblica, e quanto fragile sia l’ecosistema informativo quando l’infrastruttura tecnica cade nelle mani di chi sa usarla come arma.

Tag:

Commenti

Posta un commento

Popolari

Cisco ASA sotto attacco, due zero-day sfruttati per prendere il controllo dei firewall e impiantare malware persistente

Negli ultimi giorni è uscita una notizia che vale la pena leggere con attenzione: sono stati sfruttati in attacco dei “zero-day” contro i firewall Cisco della famiglia Adaptive Security Appliance (ASA) e prodotti correlati, e diversi avvisi ufficiali invitano a intervenire subito. La storia è stata riportata da più testate tecniche e da Cisco stessa, che ha pubblicato patch e dettagli sulle falle coinvolte. Cosa è successo, in parole semplici? Alcuni bug nel servizio web/VPN dei dispositivi ASA permettono a un attaccante — inviando richieste appositamente costruite — di superare i controlli e far girare codice sul dispositivo. In pratica, chi sfrutta questi bug può eseguire comandi come se fosse l’amministratore del firewall. Cisco ha identificato più CVE coinvolte e ha confermato che almeno due di queste (quelle catalogate come sfruttate “in the wild”) sono state usate dagli aggressori prima che le correzioni fossero pubblicate. La cosa che preoccupa di più non è solo il controllo tem...
Posta un commento
Continua a leggere »

Microsoft revoca l’accesso del suo cloud all’intelligence israeliana

Microsoft ha annunciato di aver cessato e disabilitato una serie di servizi cloud e di intelligenza artificiale per un’unità del Ministero della Difesa israeliano (IMOD), dopo aver accertato che tali tecnologie erano state impiegate per sostenere un sistema di sorveglianza di massa sui civili palestinesi.  L’azione dell’azienda è stata attivata in risposta a un’inchiesta giornalistica coordinata dal Guardian, +972 Magazine e Local Call, che ha rivelato come l’Unità 8200 dell’intelligence israeliana avesse archiviato e analizzato milioni di telefonate intercettate tramite la piattaforma Azure, con il fine di monitorare gli spostamenti e guidare operazioni militari nella Striscia di Gaza e in Cisgiordania.  Nel comunicato interno rivolto ai dipendenti, il vicepresidente Brad Smith ha dichiarato che Microsoft non fornisce tecnologie che facilitino la sorveglianza di massa dei civili e che, dopo un’analisi interna, sono emersi elementi che violavano i termini di servizio dell’azie...
Posta un commento
Continua a leggere »

Oyster e il malvertising, fake installer di Microsoft Teams diffonde una backdoor

Negli ultimi giorni è emersa una nuova ondata di malvertising e SEO poisoning che punta a intercettare chi cerca il client Microsoft Teams sui motori di ricerca, reindirizzando gli utenti verso annunci o pagine di download fasulle che offrono un installatore contraffatto invece dell’app ufficiale. Secondo le prime segnalazioni, il file distribuito in queste pagine malevole è un installer camuffato che installa la backdoor nota come Oyster (anche indicata in passato come Broomstick/CleanUpLoader), dando agli aggressori un punto d’accesso remoto sui sistemi compromessi. A confermare la dinamica sono multiple realtà che monitorano la minaccia: Blackpoint SOC ha descritto la campagna come basata su SEO poisoning e annunci malvertising che spingono download ingannevoli, mentre analisti di settore e vendor hanno trovato varianti del loader ospitate su domini compromessi o su pagine generate appositamente per mimare download legittimi. Il malware viene spesso confezionato in installer Windows...
Posta un commento
Continua a leggere »