Entrare nella rete degli hacker iraniani 'Rocket Kitten' attraverso una falla, monitorarla e smascherare le vere identità di chi si nascondeva dietro gli alias. Uno su tutti, 'Wool3n.H4T', figura chiave del gruppo il cui vero nome, ora, è scritto nero su bianco. Non è la trama di un film di spionaggio, ma il risultato del lavoro portato avanti da Check Point, una delle aziende specializzate in sicurezza a livello mondiale, che in seguito al lavoro dei propri ricercatori ha pubblicato un report nel quale in maniera dettagliata si racconta il lavoro dei 'gattini' iraniani, suggerendo inoltre i possibili legami tra loro e il Corpo delle Guardie della Rivoluzione Islamica Iraniano. Il report rivela anche alcuni dettagli sulle operazioni globali del gruppo e considerazioni inedite su oltre 1.600 bersagli nel mirino dell’organizzazione.
Intanto, si legge nel lungo documento di quasi 40 pagine, nello scenario degli attacchi malware strategici e supportati da campagne di phishing continue, si evidenzia come gli obiettivi principali fossero aziende e organi governativi in Arabia Saudita, tra cui agenzie stampa e giornalisti, istituti accademici e scolastici, attivisti per i diritti umani, generali del corpo militare e membri della famiglia reale saudita.
Nel mirino c'erano anche ambasciate, diplomatici, addetti militari e personalità di spicco in Afghanistan, Turchia, Qatar, Emirati Arabi Uniti, Iraq, Kuwait e Yemen, oltre ad autorità regionali della Nato. E dall'altra parte del mondo, c'erano addirittura bersagli appartenenti al settore commerciale e finanziario del Venezuela. Insomma, i 'Rocket Kitten' avevano messo in piedi una vera e propria rete internazionale di controllo.
Sul suolo di casa, cioè l'Iran, erano tenuti sotto controllo decine di ricercatori, sindaci, gruppi di ricerca anche dell’Unione europea nei settori politiche estere, sicurezza nazionale e energia nucleare. Ma non solo: sotto la lente passavano predicatori e gruppi islamici e anti-islamici, celebri editorialisti e vignettisti, conduttori televisivi, partiti politici e ufficiali di governo.
"La campagna iraniana di cyberspionaggio 'Rocket Kitten' era già stata pubblicata da altri ricercatori, ma gli attacchi non si erano mai fermati. Gli hacker hanno fatto alcune modifiche ai propri strumenti e infrastrutture e ripreso le operazioni. Dopo un attacco nei confronti di un nostro cliente, noi di Check Point ci siamo uniti nelle indagini e svelato molto di più di ciò che è stato fatto prima", racconta Sharar Tal, research group manager di Check Point.
"Abbiamo scoperto una falla nei server di phishing utilizzati dagli hacker e siamo riusciti ad accedere all'intero database vittima dell’anno scorso. Inoltre, per la prima volta, possiamo rivelare la vera identità di uno degli autori del malware. Ciò è stato possibile - continua Tal - a causa di alcuni errori compiuti dagli hacker che inavvertitamente hanno collegato la loro vera identità al loro alias da hacker. In questo momento noi di Check Point abbiamo a disposizione una lista di 1.600 obiettivi che erano nel mirino dell’organizzazione, ma che però non intendiamo pubblicare. Faremo il possibile per identificare e informare le vittime caso per caso", conclude il manager.
