Il panorama geopolitico e della cybersicurezza globale è cambiato radicalmente in seguito al lancio dell'operazione "Furia epica" da parte degli Stati Uniti il 28 febbraio 2026 e della parallela campagna israeliana "Leone ruggente" contro l'Iran. Gli attacchi militari coordinati hanno eliminato con successo i principali dirigenti iraniani, tra cui la Guida Suprema Ayatollah Ali Khamenei, e hanno fortemente degradato le infrastrutture militari e nucleari convenzionali dell'Iran.
Panoramica
Insieme agli attacchi cinetici, le forze statunitensi e israeliane hanno eseguito attacchi informatici contro l'Iran, creando una "nebbia digitale" che ha ridotto la connettività internet iraniana al 4% del traffico normale. Questa offensiva informatica ha paralizzato l'architettura di comando e controllo del Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) e ha dirottato le reti dei media statali. L'obiettivo era interrompere la loro capacità di coordinare i contrattacchi, in particolare il lancio di droni e missili balistici.
Con le sue opzioni militari convenzionali gravemente ostacolate, l'Iran fa ora grande affidamento sulle operazioni informatiche come strumento primario di rappresaglia asimmetrica. Gli attacchi cinetici di rappresaglia hanno già preso di mira le basi e gli alleati degli Stati Uniti in tutto il Medio Oriente, mentre il trasporto commerciale attraverso lo Stretto di Hormuz si è sostanzialmente fermato, minacciando una crisi energetica globale e un'impennata dei prezzi del petrolio.
Contemporaneamente, il Dipartimento della Difesa degli Stati Uniti ha modificato in modo aggressivo la sua catena di approvvigionamento tecnologico, designando l'azienda di IA Anthropic come "rischio della catena di approvvigionamento" e vietandone l'uso dopo che la società si era rifiutata di consentire l'utilizzo dei suoi modelli per la sorveglianza di massa e le armi autonome. La concorrente OpenAI si è poi assicurata un contratto da 200 milioni di dollari per distribuire i suoi modelli di IA sulle reti classificate del Pentagono.
Elevata attività di minaccia informatica
Le società di intelligence confermano che gli attori sponsorizzati dallo Stato iraniano e i proxy hacktivisti stanno attivamente riattrezzando e intensificando le operazioni contro gli obiettivi occidentali. La finestra di rischio è immediata, con i seguenti gruppi e azioni identificati:
- Gruppo Handala: Prende attivamente di mira i sistemi di controllo industriale (ICS) israeliani e rivendica interruzioni contro l'infrastruttura giordana del carburante e le reti sanitarie israeliane.
- Fatimiyoun Electronic Team: Tentativo di distribuire un malware wiper distruttivo contro istituzioni finanziarie occidentali e aziende energetiche.
- Cyber Islamic Resistance: Lancio di attacchi DDoS (Distributed Denial of Service) e di cancellazione di dati contro fornitori di logistica militare statunitensi e israeliani.
- APT33 (Peach Sandstorm) / MuddyWater / APT42: questi gruppi di spionaggio altamente qualificati sono stati attivati e sono noti per sfruttare lo spraying di password, lo spear-phishing e le backdoor personalizzate contro i settori aerospaziale, della difesa, dell'energia e delle telecomunicazioni.
- Sfruttamento dei dispositivi edge: Gli attori delle minacce stanno sfruttando attivamente le vulnerabilità critiche, come CVE-2026-20127 e CVE-2022-20775 nelle implementazioni SD-WAN di Cisco, che possono garantire agli aggressori un accesso amministrativo completo e un punto di appoggio per il movimento laterale. Maggiori informazioni all'interno di questo avviso: https://insights.integrity360.com/threat-advisories/security-advisory-cve-2026-20127-cisco-catalyst-sd-wan-authentication-bypass
TTP e CIO
Sono note diverse tattiche, tecniche e procedure (TTP) associate agli attori delle minacce allineati all'Iran, ma non sono ancora stati confermati indicatori di compromissione (IOC) specifici legati agli eventi attuali.
Sulla base dell'attività storica sono state identificate le seguenti tecniche MITRE ATT&CK:
- Accesso iniziale:
- Phishing e spearphishing (T1566)
- Sfruttamento di applicazioni rivolte al pubblico (T1190)
- Sfruttamento di servizi remoti esterni come le VPN (T1133)
- Accesso alle credenziali:
- Brute force e password spraying (T1110)
- Download di credenziali del sistema operativo (T1003)
- Estrazione di credenziali da archivi di password (T1555)
- Persistenza ed evasione della difesa:
- Manipolazione dell'account (T1098)
- Iniezione di processi (T1055)
- Compromissione delle difese (T1562)
- Rimozione di indicatori sull'host (T1070)
- Offuscamento dei file (T1027)
- Comando e controllo:
- Protocolli di livello applicativo (T1071)
- Trasferimento di strumenti in ingresso (T1105)
- Canali criptati (T1573)
- Impatto:
- Distruzione dei dati o attività di wiper (T1485)
- Ransomware (T1486)
- Inibizione del ripristino del sistema (T1490)
- Defacement di siti web (T1491)
La blacklist immediata è efficace? No, affidarsi esclusivamente alla blacklist non è una strategia primaria efficace in questo scenario per alcuni motivi fondamentali:
- Assenza di CIO attuali: I ricercatori di sicurezza notano che non è stata ancora confermata alcuna campagna specifica, il che significa che mancano indicatori statici freschi (come indirizzi IP o hashish di file dannosi) da mettere subito in blacklist.
- Concentrarsi sui comportamenti piuttosto che sugli indicatori statici: Gli attori delle minacce spesso combinano accesso basato su credenziali, movimento laterale e payload distruttivi. Gli esperti raccomandano esplicitamente ai team di sicurezza di mettere a punto le proprie capacità di rilevamento e di Extended Detection and Response (EDR/XDR) per identificare i comportamenti dannosi associati a queste tecniche, piuttosto che affidarsi esclusivamente a blacklist statiche.
- Abuso di infrastrutture legittime: Gli aggressori utilizzano attacchi basati sulle credenziali, come lo spraying di password e il phishing, per accedere attraverso punti di accesso esterni legittimi. Inoltre, recenti campagne hanno abusato di siti legittimi e compromessi per distribuire trojan di accesso remoto, rendendo difficile l'inserimento in blacklist dei domini senza bloccare i servizi benigni.
Mitigazione e azioni consigliate
Poiché la geografia non offre alcuna protezione contro gli avversari informatici, le organizzazioni dei settori governativo, delle infrastrutture critiche, della difesa, finanziario e sanitario devono adottare immediatamente una postura difensiva rafforzata.
- Proteggere i sistemi di controllo industriale (ICS) Le aziende che operano nei settori dell'energia, dell'acqua e della produzione devono isolare immediatamente i sistemi ICS e SCADA dalla rete Internet pubblica per ridurre le interruzioni in stile Handala.
- Patchare immediatamente i dispositivi periferici Esaminare e patchare i sistemi rivolti a Internet contro le vulnerabilità note. Le agenzie federali e i partner privati devono affrontare con urgenza la questione CVE-2026-20127 nei sistemi SD-WAN di Cisco e devono prendere in considerazione la ricostruzione completa dei controller compromessi, poiché la sola patch potrebbe non essere in grado di porre rimedio alle intrusioni precedenti.
- Convalidare i backup e la resilienza Garantire l'integrità dei backup, mantenendo copie offline o immutabili per riprendersi rapidamente da una potenziale distribuzione di malware wiper o ransomware.
- Migliorare i controlli di identità e accesso Applicare l'autenticazione a più fattori (MFA) a tutti gli accessi remoti e agli account privilegiati. Aumentare la sensibilità del triage degli avvisi per lo spraying delle password, i tentativi di brute force e l'abuso di credenziali.
Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoperscoprire come potete proteggere la vostra organizzazione.