Il rapporto dell'azienda di sicurezza Cylance ha riferito che gli hacker iraniani hanno "estratto materiale estremamente sensibile" da agenzie governative e dalle maggiori società d'infrastruttura negli Stati Uniti, Gran Bretagna, Canada, Cina, Francia, Germania, India, Israele, Kuwait, Messico, Pakistan, Qatar, Arabia Saudita, Corea del Sud, Turchia ed Emirati Arabi Uniti. I ricercatori di Cylance hanno denominato la loro operazione "Operation Clever", che pare abbia "condotto una notevole campagna di sorveglianza e d'infiltrazione globale". Gli hacker tentano di penetrare e rubare informazioni da governi e società a livello mondiale dal 2012 ponendo una grave minaccia alla sicurezza.
I ricercatori di Cylance pensano che il gruppo lavori per Teheran, con l'aiuto di altre organizzazioni localizzate nei Paesi Bassi, Canada e Gran Bretagna. Gli obiettivi includono network statali come pure società in campo militare, petrolio e benzina, energia e utilità, trasporti, linee aeree, aeroporti, ospedali, telecomunicazioni, tecnologia, educazione, aerospazio ed altri settori. "Nel corso dell'intensa intelligence che ci ha impegnato negli ultimi 24 mesi, abbiamo osservato le capacità tecniche del gruppo di Operation Cleaver, che si evolve in modo più rapido di qualsiasi organizzazione iraniana osservata in precedenza" ha spiegato il rapporto.
"Dato che le capacità della guerra cyber iraniana continuano a modificarsi, aumenta rapidamente la probabilità che un attacco possa avere un impatto sul mondo fisico nazionale o globale.
Le loro capacità sono avanzate oltre le semplici deturpazioni del web". Secondo il rapporto di Cylance la guerra cyber iraniana si è dimostrata abile dopo l'attacco del worm Stuxnet, un programma che era considerato il più potente degli Stati Uniti o di Israele e che mirava all'energia nucleare. La ritorsione dopo la vicenda Stuxnet iniziò quasi immediatamente nel 2011.
Cylance spiega di aver scoperto solo una parte dell'intero obiettivo di Operation Cleaver e aggiunge che "se si permetterà che l'operazione continui, per l'impatto sulla sicurezza fisica mondiale sarà solo una questione di tempo". Secondo l'azienda di sicurezza, la campagna sponsorizzata dallo stato ha il potenziale di colpire la sicurezza delle linee aeree, i sistemi industriali ed altre reti critiche.
L'obiettivo dell'Iran è fare leva geopolitica per i suoi obiettivi globali. Cylance aggiunge che gli hacker potrebbero pensare di collaborare con le controparti nella Corea del Nord per attaccare società della Corea del Sud. Il gruppo sta anche reclutando "hacker a nolo" dalle università negli Stati Uniti e altrove.
"La prova principale che abbiamo raccolto è l'obiettivo e la compromissione delle reti di trasporto e di sistemi come le linee aeree e gli aeroporti nella Corea del Sud, Arabia Saudita e Pakistan" prosegue il report. Per infiltrazione s'intende "la loro intera infrastruttura di accesso remoto e la catena di approvvigionamento sotto il diretto controllo del team di Cleaver, che permette la persistenza permanente dietro credenziali compromesse".
Ciò porta a "completare l'accesso agli aeroporti ed ai loro sistemi di controllo della sicurezza" e ad un rilevamento di sistemi di pagamento per consentire acquisti fraudolenti. Il report di 86 pagine afferma che la prova di un coinvolgimento iraniano è chiara, con nomi di hacker persiani usati attraverso la campagna e molti domini usati che sono stati registrati in Iran.
