Tra luglio e ottobre, gli hacker iraniani del gruppo Lyceum hanno attaccato le reti di almeno una società di telecomunicazioni e fornitori di servizi Internet in Marocco, secondo i ricercatori di sicurezza informatica di Accenture Cyber Threat Intelligence (ACTI) e Prevailion Adversarial Counterintelligence (PACT).
Il gruppo di attacchi informatici Lyceum, con sede in Iran (noto anche come Hexane, Siamesekitten e Spirlin), ha preso di mira il Marocco, ma anche Israele, Arabia Saudita, Tunisia e altri paesi africani. Due società – Accenture, che ha una filiale in Israele, e Prevailion, con sede negli Stati Uniti – hanno pubblicato una ricerca in tal senso il 9 novembre, che ha tracciato attacchi informatici tra luglio e ottobre.
Mentre le società di sicurezza informatica Clearsky e Kaspersky avevano già pubblicato informazioni sui ripetuti attacchi del Lyceum dal 2017, in particolare contro gli interessi strategici in alcuni paesi, il nuovo rapporto rivela “dettagli sulle ultime operazioni, tra cui nuove vittime, aree geografiche e industrie mirate” analizzando in modo più dettagliato l’infrastruttura operativa e il targeting degli hacker iraniani.
Il nuovo studio conferma le conclusioni precedenti “indicando che l’attenzione principale è rivolta agli eventi di intrusione nelle reti informatiche per i fornitori di telecomunicazioni in Medio Oriente”. Identifica anche obiettivi aggiuntivi all’interno dei fornitori di servizi Internet (ISP) e delle agenzie governative nei suddetti paesi.
Lyceum ha ampliato il suo obiettivo per includere ISP e agenzie governative. Uno dei motivi per cui le società di telecomunicazioni e gli ISP sono obiettivi di alto livello per gli attori del cyberintelligence è che il loro “compromesso dà accesso a varie organizzazioni e file di abbonati oltre a sistemi interni che possono essere utilizzati per sfruttare ancora di più comportamenti dannosi”, osserva la ricerca.
Inoltre, le aziende di questi settori possono anche essere “utilizzate dagli attori delle minacce o dai loro sponsor per monitorare le persone di interesse”. Lyceum, secondo il gruppo Cyber Threat Intelligence (ACTI) di Accenture e l’Adversarial Counterintelligence Team (PACT) di Prevailion, ha utilizzato due principali famiglie di malware, chiamate Shark e Milan (alias James).
Tra luglio e ottobre 2021, gli attacchi di Lyceum sembrano aver preso di mira ISP e operatori di telecomunicazioni in Israele, Marocco, Tunisia e Arabia Saudita, nonché un Ministero degli Affari Esteri in Africa.
Lo scorso febbraio, il ministro degli Esteri Nasser Bourita ha riferito sulla minaccia iraniana alla regione e al Marocco in particolare. Queste parole riecheggiano quelle che lui stesso ha usato nel 2018, quando il Marocco ha accusato l’Iran e Hezbollah di finanziare e cooperare con il Fronte Polisario.
Articoli correlati
Tutti i sistemi di attacco e difesa aerea di Israele e Iran
Nascerà un’alleanza militare tra Israele e Paesi arabi?
Perché gli attacchi tra Israele e Iran finiranno qui
De-escalation in corso fra Israele e Iran? Analisi e commenti
