All’alba di sabato, mentre l’attenzione globale era concentrata sui raid condotti dalle forze militari statunitensi e israeliani contro obiettivi in Iran, si è materializzato in parallelo un fronte digitale, meno visibile ma altrettanto strategico e coerente con una dottrina di guerra ibrida ormai consolidata negli scenari ad alta intensità.

I primi segnali sono arrivati dal defacement di diversi siti d’informazione iraniani, sostituiti da messaggi politici e intimidatori. L’episodio più emblematico ha riguardato BadeSaba, applicazione religiosa con oltre cinque milioni di download utilizzata per consultare calendari liturgici e orari di preghiera. L’interfaccia è stata alterata per mostrare frasi come “It’s time for reckoning” e inviti espliciti alle forze armate a deporre le armi.

Colpire un’app di questo tipo significa intervenire su un’infrastruttura digitale identitaria, frequentata da un pubblico tendenzialmente vicino all’establishment. Dal punto di vista psicologico, l’operazione appare calibrata per generare disorientamento in segmenti sociali ritenuti fedeli al potere.

L’analisi del traffico internet ha inoltre evidenziato anomalie marcate. Doug Madory, direttore dell’analisi internet presso Kentik, ha segnalato un crollo della connettività iraniana alle 07:06 GMT, seguito da un secondo calo alle 11:47 GMT, con livelli residui minimi. Una dinamica simile può derivare da misure di contenimento interne, attivate per isolare il Paese e limitare la propagazione di attacchi, oppure da azioni esterne capaci di interferire con backbone e nodi di transito. In entrambi i casi, l’effetto operativo è lo stesso, ovvero frammentare la superficie digitale e complicare eventuali coordinamenti difensivi.

Secondo il Jerusalem Post, le operazioni informatiche avrebbero interessato anche servizi governativi e asset militari iraniani, con l’obiettivo di ridurre la capacità di risposta coordinata. L’assenza di conferme indipendenti impone cautela, anche se l’ipotesi è coerente con una strategia di “shaping the battlespace” digitale, che mira a degradare comunicazioni, logistica e processi decisionali prima e durante un attacco fisico.

Crediti: Shutterstock

Crediti: Shutterstock

Il rischio di escalation nel dominio cyber è stato sottolineato da diversi analisti. Rafe Pilling, responsabile threat intelligence di Sophos, ha evidenziato come gruppi proxy e collettivi hacktivisti possano attivarsi contro target israeliani o statunitensi, spaziando da infrastrutture militari a realtà commerciali e civili. In questi contesti, le campagne DDoS rappresentano il livello minimo di conflittualità tra saturazione di servizi esposti su internet, interruzione temporanea di portali istituzionali e pressione mediatica amplificata attraverso la riproposizione di vecchie violazioni presentate come nuove.

Cynthia Kaiser, oggi in Halcyon dopo un percorso ai vertici cyber dell’FBI, ha registrato un incremento dell’attività in Medio Oriente e richiami all’azione provenienti da figure digitali pro-iraniane già note per operazioni di hack-and-leak e ransomware, con quest’ultimo che può essere impiegato per destabilizzare, sottrarre dati sensibili o creare leva negoziale (Adam Meyers di CrowdStrike ha parlato apertamente di ricognizioni e DDoS riconducibili ad attori allineati a Teheran).

Un ulteriore elemento di preoccupazione proviene dall’analisi di Anomali, che ha rilevato attività di “wiper” contro obiettivi israeliani. A differenza del ransomware, il wiper, strumento tipico di conflitti statuali già osservato in altri teatri ad alta tensione, non cerca profitto ma distruzione visto che cancella dati, compromette sistemi e rende oneroso il ripristino.

Anche se l’Iran viene citato storicamente dalle autorità statunitensi accanto a Russia e Cina tra le principali minacce cibernetiche, le risposte iraniane a precedenti attacchi sul proprio territorio sono apparse contenute. Dopo i raid statunitensi di giugno contro siti nucleari, non si sono infatti registrate campagne cyber dirompenti su larga scala e questo precedente suggerisce che Teheran tenda a calibrare le reazioni digitali, probabilmente per evitare un’escalation incontrollata.

Nel frattempo, un episodio significativo ha coinvolto Amazon Web Services. La società ha comunicato che una propria Availability Zone negli Emirati Arabi Uniti è stata colpita da oggetti che hanno provocato scintille e un incendio, costringendo i vigili del fuoco a interrompere l’alimentazione elettrica. Le Availability Zone costituiscono cluster di data center fisicamente separati all’interno di una regione cloud, progettati per garantire ridondanza e resilienza. L’interruzione di una zona, pur con le altre operative, può generare disservizi significativi per clienti che non abbiano architetture multi-AZ adeguate.

Il contesto regionale è già segnato da attacchi missilistici e droni iraniani verso infrastrutture nel Golfo. Se l’episodio di AWS fosse correlato, si configurerebbe un’intersezione tra dominio fisico e digitale, considerando che colpire un data center significa incidere su supply chain tecnologiche, servizi finanziari, piattaforme governative ospitate nel cloud.

(Immagine in apertura: Shutterstock)