Sicurezza informatica, counter-intelligence e operazioni segrete nel programma nucleare iraniano

Il rapporto del 2013 segnala che gli attacchi informatici e lo spionaggio informatico sono le maggiori minacce con cui dovrà imbattersi lo Stato americano. Tanto per sottolineare l’importanza di questa realtà, si potrebbero citare alcuni esempi di “negazione del servizio” che subirono, nell’ultimo anno, alcuni siti internet di istituti di credito e mercati valutari americani, così come quello perpetrato, nel 2012, a danni dalla più importante multinazionale dell’Arabia Saudita: la Saudi Aramco. In entrambi i casi, ufficiali degli Stati Uniti ed esperti informatici sospettano che l’Iran possa essere l’istigatore ed esecutore degli attacchi come ritorsione alle sanzioni imposte dal Governo americano e dai restanti attori internazionali a causa dello sviluppo del suo programma nucleare.

Infatti il regime degli Ayatollah – dopo essere stato oggetto dell’attacco informatico “stuxnet” che colpì l’impianto di Natanz durante una operazione segreta ideata, probabilmente, dagli Stati Uniti ma eseguita materialmente da Israele con l’obiettivo di rallentare il programma nucleare iraniano – in questi ultimi anni ha iniziato un rapido sviluppo della propria sicurezza informatica tanto per azioni difensive quanto offensive.
Il 20 marzo 2013, a seguito dell’attacco informatico alla Saudi Aramco, un portavoce del Ministero dell’Interno saudita annunciò l’arresto di un iraniano, un libanese e sedici sauditi, tutti sciiti – alcuni di loro lavoratori della stessa Aramco – accusati di far parte di una presunta rete di spionaggio al servizio dell’Iran. La notizia, smentita dall’ormai ex portavoce del Ministero degli Affari Esteri iraniano, Ramin Mehmanparast, coincide con diversi capi di accusa che il sostituto procuratore di Teheran ha rivolto contro diciotto persone sospettate di collaborare e partecipare tra gli anni 2007 e 2012 agli omicidi mirati di cinque scienziati nucleari iraniani, vittime, secondo l’Iran, di azioni intrapprese dai servizi d’intelligence britannici, americani e israeliani.

Ed è proprio il programma nucleare iraniano ad essere definito dall’esperto in sicurezza internazionale e diplomatica Julian Borger (The Guardian) come “il Santo Graal dell’intelligence mondiale”, dato che sarebbe lo scenario propizio per la messa a punto di operazioni occulte e di controspionaggio tanto per gli attori che vorrebbero frenarlo, come nel caso degli Stati Uniti, Israele, Gran Bretagna o Arabia Saudita, tanto per l’Iran e il suo rappresentante in Libano, Hezbollah, che provano a difenderlo, mentre nel contempo si cercano nuove strade per trovare una soluzione al conflitto attuando politiche di “compromesso” come la diplomazia e la negoziazzione che vedono il coinvolgimento dell’Iran nelle riunioni dell’Organizzazione Internazionale dell’Energia Atomica, ma anche con politiche di “contenimento” che vedono l’applicazione di sanzioni. Vi sono poi alcune alternative di dubbia legittimità: la politica di “prevenzione” attraverso l’intervento militare come richiesto dal rieletto primo ministro israeliano, Benjamin Netanyahu.
Parallelamente a queste iniziative, si susseguono le operazioni occulte e di counter-intelligence che prevedono, all’occorrenza, l’utilizzo del cyberspazio e dei droni a discapito della neutralizzazione selettiva degli obiettivi, del sabotaggio, della distribuzione di pezzi difettosi nonché della collocazione di esplosivi negli impianti per interrompere lo sviluppo del programma.

In questo articolo saranno descritte le operazioni occulte e di counter-intelligence più significative in relazionate al programma nucleare riattivato nel 2006, evidenziando il ruolo preminente che sta assumendo il cyberspazio e la sicurezza informatica senza tralasciare, naturalmente, il contesto ove tali azioni si sviluppano: la duplice rivalità Iran-Israele e Iran-Arabia Saudita in una sorta di “Guerra Fredda” regionale. Parimenti, saranno descritte le operazioni che hanno raggiunto il proprio obiettivo: rallentare o esaurire lo sviluppo nucleare iraniano. In primo luogo, urge definire ciò che s’intende per counter-intelligence, operazioni occulte e sicurezza informatica. Successivamente saranno proposti alcuni casi pratici applicati al conflitto nucleare iraniano.

Definizione dei concetti

La counter-intelligence non sarebbe altro che la necessità di “conoscere” al fine di proteggere e preservare la forza militare, economica e produttiva – inclusa la sicurezza interna ed esterna dello Stato – di fronte allo spionaggio, sabotaggio ed altre forme di attività clandestine perpetrate con l’intento di destabilizzare o distruggere l’apparato statale. Le funzioni della counter-intelligence spaziano dall’ambito difensivo – con la protezione dei segreti importanti per la sicurezza nazionale – ma anche offensivo o di controspionaggio, cercando non solo di identificare l’avversario ma anche di conoscere tutto quello che c’è da sapere sia sui servizi di intelligence amici quanto di quelli nemici, oltre, naturalmente, alle consuete azioni di reclutamento, infiltrazione e di disinformazione.

Le operazioni segrete, invece, sono quelle attività promosse dallo Stato per condizionare la politica, l’economia o l’impiego dei militari all’estero. Non sono azioni riconosciute pubblicamente. Anzi, saranno addirittura negate qualora si volesse insinuare un qualche coinvolgimento da parte dello Stato. Le operazioni segrete si compiono perché si ritiene che possano essere il modo migliore per raggiungere un fine desiderato che, il più delle volte, coincide con un obiettivo politico ben preciso. In questo ambito si utilizzano diversi strumenti che vanno dalla propaganda fino alle azioni paramilitari, passando per l’addestramento di agenti e, se necessario, con la pianificazione ed esecuzione di omicidi. Il cyberspazio include all’interno del suo dominio globale e dinamico, le infrastrutture delle tecnologie dell’informazione, internet, le reti di telecomunicazioni ed i sistemi d’informazione.

La sicurezza informatica comprende al suo interno un insieme di attività volte a congegnare meccanismi difensivi ed offensivi utilizzati tanto per proteggere il cyberspazio dall’uso indebito che se ne fa dello stesso, difendendo le sue infrastrutture tecnologiche e garantendo i servizi dell’informazione, quanto per sferrarre attacchi per ragioni di sicurezza o per motivi militari. In questo senso, la sicurezza informatica, può essere utilizzata anche per le svariate attività di spionaggio, sabotaggio o di sovversione.
In questo campo si utilizzano sempre più spesso i “firewalls” atti a bloccare gli accessi non autorizzati ma anche i “honeypot” che servono per distrarre con l’intento di procurare le informazioni sul modus operandi dell’attaccante.

Gli attacchi informatici si possono definire come le azioni che si avvalgono del cyberspazio al fine di penetrare, colpire, modificare, provocare danni o distruggere i sistemi moderni d’informazione digitale, inclusi i computer o sistemi di computer, software, hardware e telecomunicazioni. Gli attacchi informatici utilizzano malware o software “maliziosi”, come virus, worm, troyan, eccetera. Esistono tre tipi di attacchi informatici. Nella prima categoria rientrano gli attacchi informatici “sovvertitori” che cercano di rendere inutilizzabili o di prendere il controllo dei sistemi informatici delle infrastrutture critiche come gli SCADA (Supervisory Control and Data Acquisition). Questo tipo di attacco informatico, a differenza delle altre due categorie che vedremo fra breve, si propone di recare un danno fisico o funzionale alle strutture, ai sistemi ma anche alle persone. Esistono poi attacchi informatici “non intrusivi” che usano strumenti come la NDS per bloccare gli accessi e per deformare il web con il proposito di cambiare i contenuti. Infine, vi sono gli attachi informatici “intrusivi” che si propongono di intercettare dati. Per ottenerli utilizzano sia malware info-stealer che malware in grado di alterare l’informazione. Lo spionaggio informatico si avvale, il più delle volte, quest’ultimo tipo di attacco dato che, penetrando nel sistema avversario con il proposito di estrarre informazione protetta o sensibile, viene poi utilizzata tanto per fini offensivi che difensivi.

Contro-intelligence, operazioni occulte e sicurezza informativa nel programma nucleare iraniano

I principali attori statali e non statali coinvolti, presumibilmente, nelle operazioni sotto copertura ma anche in attività di counter-intelligence ai danni del programma nucleare iraniano, agiscono in un contesto di aperta rivalità tra le potenze regionali per mantenere ed ampliare la propria sfera d’influenza sino a diventare “egemonica”. Tali attori possono suddivirsi in due grandi gruppi. Il primo gruppo è formato dalle Nazioni che si oppongono al programma nucleare iraniano e che non esiterebbero a pianificare operazioni segrete e di counter-intelligence per bloccarlo. In questo gruppo troviamo gli Stati Uniti con la Central Intelligence Agency (CIA), Gran Bretagna con la Secret Intelligence Service (SIS-MI6) ed Israele con il suo “Mossad” ove spicca la sua unità Kidon.

Ilan Mizrahi, ex direttore del Consiglio Nazionale di Sicurezza israeliano ed ex vice direttore del Mossad nel governo di Ehud Olmert, dichiarò che in questa guerra segreta ci sono molti più partecipanti dato che nessuno vuole agire da solo: sia che si chiami Azerbaijan – in effetti questo Paese, in più di una occasione, fu accusato da parte dell’Iran di aiutare il Mossad nella realizzazione delle operazioni segrete nel proprio territorio – sia che si parli di Stati membri del Consiglio di Cooperazione del Golfo (CCG) come l’Arabia Saudita col suo servizio di Intelligence straniera Istakhbarat, conosciuto anche come General Intelligence Directorade (GID). Infatti, i servizi di intelligence e le agenzie di sicurezza dei membri del CCG, da anni, si coordinano e cooperano nell’eventualità di un conflitto con l’Iran. Soprattutto nelle attività d’intelligence interna e di counter-intelligence con l’intento di rilevare reti di spie iraniane e neutralizzare informatori che operano all’interno delle comunità sciite.

Inoltre, nelle operazioni segrete, così come nelle attività di counter-intelligence, partecipano attori non statali appartenenti a gruppi di opposizione o di minoranze etniche, presenti sia all’interno che all’estero del territorio iraniano. Alcuni di questi gruppi sono legati alle minoranze curde, altri ancora alla minoranza araba (gli Ahwazis), ai separatisti azeri, all’opposizione dei Mujahidin del Popolo – il MEK, che nel Settembre 2012 sono stati esclusi dalla lista delle organizzazioni terroristiche statunitensi – ed, infine, ai separatisi sunniti Yundallah della regione del Sistan e Baluchistan con base in Pakistan. Nel caso dei Yundallah, agenti del Mossad realizzarono operazioni di “False Flag” facendosi passare per ufficiali della CIA con il proposito di reclutare membri operativi del gruppo terroristico sunnita per le proprie operazioni segrete all’interno dello spazio iraniano. Si arrivò, perfino ad una serie di incontri, tra membri dello Yundallah ed i falsi agenti della CIA, tenutisi a Londra. Infine vale la pena notare come l’Iran abbia accusato, in determinate occasioni, i servizi segreti dell’intelligence pachistana (Inter-Service Intelligence), di fornire sostegno e copertura al suddetto gruppo terrorista.

Il secondo gruppo è formato dall’Iran, che con le sue operazioni segrete ed attività di counter-intelligence, si propone di salvaguardare lo sviluppo del suo programma nucleare dai possibili attacchi, ma anche di indirizzare rappresaglie nei confronti degli Stati presumibilmente coinvolti in questi ultimi. L’Iran vuole, in questo modo, rafforzare le aree di influenza del regime degli Ayatollah. Il Ministero di Intelligence e Sicurezza Nazionale iraniana e gli stessi servizi segreti del VEVAK (Vezarat-e Ettela’at va Amniat-e Keshvar), così come l’Organizzazione della Sicurezza Informatica delle Forze Armate iraniane stanno giocando un ruolo importante in questo ambito, insieme all’unità QUDS guidata dal comandante Qasem Soleimani, responsabile delle operazioni esterne dei Corpi di Guardia Rivoluzionaria Islamica (CGRI) ed al rappresentante iraniano in Libano, Hezbollah. Uno dei meriti dei servizi segreti iraniani e dei QUDS fu la costruzione di una folta rete d’informatori all’interno delle comunità sciite residenti all’estero.

Contro-intelligence e le operazioni segrete più rilevanti

Nella prima parte si descrivono alcune operazioni segrete come la neutralizzazione selettiva di obiettivi, il sabotaggio e le sparizioni che sarebbero attribuibili agli attori contrari al programma nucleare iraniano, così come alcuni episodi di contro-intelligence attraverso il reclutamento o smantellamento delle reti di spionaggio. Allo stesso tempo si illustrano le attività iraniane e alcune delle sue presunte controffensive ad operazioni segrete subite. Una seconda parte si dedica esclusivamente alla dimensione del ciberspazio di queste operazioni, come l’utilizzo di VANT e offensive elettroniche, attività che guadagnano progressivamente terreno, e che denotano un’evoluzione nel campo delle operazioni segrete e di contro-intelligence.

Dalla neutralizzazione selettiva degli obiettivi alla disarticolazione delle reti di spionaggio

All’interno delle operazioni segrete che sono venuti alla luce e che sarebbero state portate a termine dal blocco contrario al programma nucleare iraniano nel periodo di studio, si dovrebbe evidenziare la neutralizzazione selettiva degli obiettivi di rilevante importanza, come nel caso di scienziati iraniani relazionati allo sviluppo del programma. Così, un primo caso si sarebbe verificato nel 2007 quando Ardeshir Hassanpour, scienziato dipendente presso l’impianto di Esfahan, muore per avvelenamento con materiale radioattivo. Poi fino al Gennaio 2010 non si realizzano azioni simili. In quella occasione, il fisico nucleare Masoud Ali Mohammadi è stato assasinato con uno IED attaccato ad una moto che è stata fatta esplodere nel suo percorso. L’attacco fu presumibilmente eseguito dal giovane iraniano Majid Jamali Fashi, che poi sarebbe stato catturato e avrebbe confessato i dettagli della sua formazione durante l’interrogatorio. Jamali fu condannato a morte e impiccato nel maggio 2012.

Nello stesso anno, precisamente il ventinove Novembre del 2010, Majid Shahriari, docente di fisica nucleare nell’Università Shahid Beheshti, fu oggetto di un attentato con una bomba magnetica addossata all’automobile da un motociclista, che lo uccide. Sembrerebbe che Shahriari fosse stato individuato una settimana prima dal Mossad a Damasco (Siria), dove faceva scalo da un volo proveniente dalla Corea del Nord diretto a Teheran. Inoltre, lo stesso giorno e con lo stesso modus operandi si cercò di mettere fine alla vita di Fereidoun Abbasi, un esperto nucleare e attuale capo dell’Organizzazione dell’energia atomica iraniana. Questi attacchi sarebbero stati attribuiti all’unità Kidon del Mossad. Infine gli ultimi due eventi hanno luogo il ventitré Luglio 2011 e l’undici Gennaio 2012 rispettivamente a Teheran, quando diversi colpi uccidono il fisico iraniano Darioush Rezaei e quando Mustafa Ahmadi Roshan, ingegnere chimico e supervisore del programma di arricchimento dell’uranio a Natanz, muore a causa di un attacco con il metodo della pompa magnetica, e di nuovo entrambe le azioni vengono attribuite all’unità Kidon.

La neutralizzazione selettiva degli obiettivi sarebbe stata accompagnata da un altro tipo di operazioni segrete come il sabotaggio di installazioni per la denotazione di esplosivi. Un primo assaggio sarebbe accaduto il dodici Novembre del 2011 quando una forte esplosione scuote la base dell’IRGC vicino a Teheran responsabile dello sviluppo del programma di missili balistici. Il presunto attacco provocò diciassette morti, tra cui Hasan Moghaddam, un alto comandante della Guardia Rivoluzionaria responsabile del programma menzionato. Un’ altra esplosione simile, anche se non confermata, si svolge il ventotto dello stesso mese nella città di Esfahan, nota per le sue strutture legate al programma nucleare e dove vivono un gran numero di militari e scienziati.

All’interno delle operazioni segrete si sarebbero prodotti anche episodi di sparizioni o presunti abbandoni, ne è l’esempio più significativo quello dell’ex generale degli CGRI, Ali Reza Asgari, che fu anche viceministro della difesa durante il precedente governo di Mohammad Khatami e che scomparve nell’anno 2007 ad Istanbul (Turchia). Su questo episodio esistono versioni contrastanti. Da un lato l’Iran ha sempre accusato Mossad di averlo sequestrato e trasferito alla prigione israeliana di Ayalon, dove probabilmente morì nel Dicembre 2010 (suicidio o esecuzione). Tuttavia, altre fonti indicano che Asgari avrebbe disertato per dirigersi verso gli Stati Uniti, dove avrebbe fornito informazioni ai servizi segreti americani a proposito del programma nucleare e sui legami tra l’Iran e gli Hezbollah. Da parte sua, l’Iran avrebbe presumibilmente risposto a questo insieme di azioni con una serie di operazioni segrete condotte dai suoi da componenti esterni e dal suo rappresentante libanese Hezbollah.

Un primo esempio di queste operazioni si sarebbe svolto il ventisei Maggio del 2011 ad Istanbul (Turchia), quando una bomba è esplosa al passaggio di un automobile consolare israeliana senza causare vittime. Un altro episodio avrebbe avuto luogo negli USA l’undici Ottobre del 2011, quando il dipartimento di Giustizia americano comunicò l’arresto di due iraniani a New York, accusati di preparare l’assassinio dell’ambasciatore saudita Adel al-Jubeir. Questo fatto provocò la visita a Riyad del capo del Ministero di Intelligence iraniana, Heidar Moslehi, nel Dicembre 2011 per riunirsi con il ministro degli interni saudita e il capo dell’intelligence saudita dell’epoca, il principe Muqrin bin Abdulaziz, al fine di negare il tentativo di attentato. In seguito proprio in uno stato vicino, il Bahreain, uno IED esplose il quattro Dicembre 2011 vicino all’ambasciata britannica di Manama senza però provocare danni alle persone.

Probabilmente un’altra catena di operazioni segrete condotte da componenti del QUDS, ebbe luogo a Tbilisi (Georgia), Nuova Delhi (India), Bangkok (Thailandia) tra il tredici e il quattordici Febbraio del 2012, un mese dopo l’omicidio dello scienziato iraniano Ahmadi Roshan. Nelle prime due capitali menzionate, le minacce erano rivolte contro dei diplomatici israeliani con il metodo delle bombe magnetiche, mentre per quanto riguarda la capitale tailandese, un gruppo di cittadini iraniani furono arrestati a seguito di un’esplosione avvenuta durante la manipolazione di esplosivi nel loro appartamento affittato e dal quale stavano fuggendo con bombe magnetiche che attivarono all’arrivo della polizia. Nonostante in nessuno dei tre attentati ci furono vittime mortali e di non essere ancora certa la loro attribuzione, queste azioni dimostrarono la capacità di risposta e il coordinamento delle unità iraniane in qualsiasi zona geografica.

Merita poi una menzione speciale l’attentato attribuito agli Hezbollah che ebbe luogo nella città bulgara di Burgas, dove il 18 Luglio 2012 un attentatore suicida ha fatto detonare un esplosivo vicino ad un autobus di turisti causando la morte di otto persone, tra le quali cinque cittadini israeliani. Ai primi di Febbraio del 2012, un’inchiesta sull’attentato condotta dall’ormai dimesso governo bulgaro, stabilì una forte relazione degli Hezbollah sull’accaduto, anche se gli stessi partiti di opposizione denunciarono la mancanza di prove per affermare ciò oltre a sottolineare la pressione esercitata da Israele nell’affermare la colpevolezza degli Hezbollah, con l’obiettivo di fare pressioni all’Unione Europea affinché fosse inclusa all’interno della propria lista delle organizzazioni terroriste. Infine, a Cipro il membro degli Hezbollah, Hossam Taleb Yaccoub, è stato arrestato alcuni giorni dopo l’esplosione di Burgas e lo scorso ventotto Marzo 2013 è stato condannato a tre anni di prigione da un giudice cipriota, con l’accusa di preparare attacchi contro turisti israeliani. Il membro degli Hezbollah nega questi capi d’accusa anche se ammette il suo lavoro di informatore per il gruppo sciita libanese.

Per quanto riguarda la contro-intelligence propriamente detta, emergerebbero le operazioni di reclutamento, di incentivazione alla diserzione, di disinformazione e di smantellamento di presunte reti di spionaggio tra le fila del blocco nemico. A proposito del reclutamento, vennero accusati gli USA di voler lanciare un programma segreto chiamato “The Brain Drain” nel 2005 il cui obiettivo era convincere gli scienziati e i militari connessi con il programma nucleare iraniano al fine di abbandonare lo stesso. Anche se è stato sempre negato dagli Stati Uniti, viene attribuito a “The Brain Drain“ il rocambolesco caso del ricercatore nucleare Shahram Amiri, presumibilmente scomparso nel Giugno 2009 durante un pellegrinaggio alla Mecca e che una volta tornato in Iran dagli Stati Uniti, accusò la CIA di averlo sequestrato. Nel mese di Agosto 2011, il Ministero di Intelligence e Sicurezza Nazionale iraniano accusò gli USA di condurre operazioni di reclutamento di giovani iraniani per la CIA, in particolare ingegneri e neolaureati che sono stati legati al programma nucleare o all’industria di difesa iraniana. Per fare questo, utilizzavano centri di impiego sotto copertura come per esempio la Holbertson Advisers, la Technical Hiring, la Engineer One, inc., la Deon Capital o la Marketing Research Association tra le altre. Queste imprese offrivano lavoro o possibilità di studio negli Stati Uniti ai giovani iraniani selezionati. Però quando si realizzavano le interviste gli si chiedeva una certa collaborazione in cambio della posizione e del visto.

In relazione allo smantellamento delle reti di spionaggio e di informatori, si dovrebbe porre in evidenza tanto il lavoro della contro-intelligence degli Stati membri del CCG, quanto quella del VEVAK iraniano e il servizio di contro-intelligence degli Hezbollah in Libano. Rispetto al primo caso, nel Marzo 2011 il Kuwait condanna a morte due iraniani e un kuwaitiano perché avrebbero fornito “knowledge” al QUDS. Altre due persone, una delle quali siriana, sono condannate all’ergastolo per gli stessi fatti. Si scopre così che tutti erano parte dell’esercito kuwaitiano. Un mese dopo, tre diplomatici iraniani vennero espulsi dal Kuwait poiché accusati di creare una rete di spionaggio per l’Iran e di preparare attentati contro posizioni strategiche kuwaitiane. La risposta da parte di Teheran fu l’espulsione di tre diplomatici kuwaitiani nel mese successivo.

In Yemen, nel Luglio 2012 le autorità locali annunciarono lo smantellamento e l’arresto dei membri di una presunta rete di spionaggio con sede a Sanaa, guidata da un antico membro dei CGRI. Sono accusati di sostenere le rivolte degli Hothy, comunità sciita del nord, e appoggiare i secessionisti del sud per minare il potere di influenza dell’Arabia Saudita in Yemen. Inoltre nel passato Gennaio 2013 ci fu la cattura da parte delle forze di sicurezza yemenite di un’imbarcazione piena di armi, il cui presunto destino erano i gruppi citati anteriormente. Il governo yemenita crede che ci sia l’Iran dietro a tutto ciò e ha chiesto formalmente al Consiglio di Sicurezza dell’Onu di indagare sul caso.

Un altro episodio ebbe luogo nel Febbraio 2013 quando Bahrein accusò ai CGRI di creare e finanziare una cellula correlata dentro il proprio Stato per perpetrare omicidi e attentati. Nella operazione eseguita contro di essa, si arrestarono otto cittadini del Bahrein nella stessa isola e altri in Oman con presunti legami con l’Iran, Iraq e Libano dove avrebbero ricevuto l’addestramento. Già nel Novembre 2011, le autorità del Bahrein accusarono i Quds di essere dietro un’operazione al fine di consumare attacchi terroristici contro il suo governo e contro le ambasciate occidentali, presumibilmente effettuate da almeno cinque cittadini sciiti del Bahrein.

L’esempio più recente ebbe luogo in Arabia Saudita, il venti Marzo 2013, quando il ministero degli Interni arrestò  un cittadino iraniano, uno libanese e sedici sauditi accusati di formare una rete di informatori per l’Iran. Questo fatto venne immediatamente smentito dal Ministero degli Esteri iraniano, anche se l’Arabia Saudita ribadisce le sue denunce nei confronti del regime degli ayatollah.

Sul fronte iraniano, il venti Novembre 2011 la CIA confermò la sospensione temporanea delle sua attività in Libano dopo la cattura di un numero imprecisato di suoi agenti e partner a Beirut, e si ritiene che diverse decine di loro catturati da parte della contro-intelligence degli Hezbollah. Dopo lo smantellamento di questa rete di spionaggio e di informatori conosciuta come “l’anello di Pizza Hut” date le frequenti riunioni in uno dei franchising  di questa  catena alimentare nella capitale libanese, il VEVAK iraniano annunciò l’arresto di una dozzina di informatori della CIA in Iran. Precedentemente, nel mese di Maggio, Heidar Moslehi, ministro dell’intelligence iraniana, aveva già confermato l’arresto di altri 30 presunti collaboratori della CIA accusati di spionaggio che avrebbero agito sia all’interno dell’Iran, sia attraverso le ambasciate americane negli Emirati Arabi Uniti, Malesia e Turchia. Inoltre sono stati identificati quarantadue agenti dei servizi segreti americani che starebbero operando in diversi Stati. Tutto questo dopo che gli agenti VEVAK si infiltrarono nella rete.

Un’altra azione di contro-intelligence iraniana del nove Gennaio 2012 si traduce in condanna a morte nei confronti di Amir Mirzaei Hekmati, americano di origine iraniana che aveva servito l’intelligence militare degli Stati Uniti sia in Iraq che in Afghanistan. Il VEVAK lo accusa di essere una spia della CIA cercando di infiltrarsi nel dipartimento di intelligence iraniano. Prima della sua visita in Iran, il prigioniero sarebbe stato localizzato dalla VEVAK nella base aerea americana di Bagram in Afghanistan. Un ultimo esempio ha come protagonista il Yundallah, il gruppo terrorista sunnita, e lo smantellamento di quattro sue cellule tra Marzo e Giugno 2012, da parte del VEVAK, mentre stavano preparando una serie di attentati, questo secondo fonti iraniane.

Una peculiarità della contro-intelligence iraniana è l’uso della disinformazione come strumento di depistaggio contro le agenzie di intelligence rivali. Questo fatto è riconosciuto dal direttore dell’Organizzazione dell’Energia Atomica dell’Iran ( OEAI ), Fereydoon Abbasi, il quale afferma che l’Iran a volte fornisce e filtra le informazioni false rispetto al suo programma nucleare provenienti sia dall’Organizzazione Internazionale dell’Energia Atomica (OIEA), accusato di essere infiltrata da servizi segreti occidentali e di trasformare Vienna in un covo di spie, sia dai mezzi di comunicazione, con il fine di proteggere il suo programma.

A tutta questa serie di operazioni segrete e attività di contro-intelligence appena descritte, si dovrebbero aggiungere i nuovi strumenti che sono stati introdotti progressivamente per sviluppare questo tipo di operazioni durante il periodo di studio, evidenziando in particolare l’applicazione di nuove tecnologie come i Veicoli Aerei senza Pilota (UAV), o l’uso del ciberspazio adattato agli obiettivi di attacco o difesa relazionati al programma nucleare iraniano. Questo tipo di strumenti che coinvolgono un minor rischio fisico nelle operazioni segrete e di contro-intelligence, oltre che a una minore probabilità nel determinare la colpevolezza di uno Stato nel caso del ciberspazio, meritano di essere trattati appositamente nella sotto-sezione che segue.

Sicurezza informativa e velivoli senza pilota

Il programma nucleare iraniano si distinguerebbe anche per essere uno scenario nel quale si sviluppano e applicano le capacità cyber difensive ed offensive degli attori presumibilmente coinvolti sia nel realizzare operazioni segrete contro sistemi di infrastrutture critiche, sia nel raccogliere informazioni per il ciclo di intelligence (ciberspionaggio) e dello sviluppo dei propri attacchi informatici.

Sempre nei primi mesi del suo mandato, il presidente degli USA Barack Obama, come citato dal New York Times, ordinò di seguire con lo sviluppo del progetto segreto “Olympic Games” avviato dal suo predecessore G.W. Bush nel 2006. Il suo obiettivo sarebbe quello di sviluppare nuove capacità nel ciberspazio che permettano di iniziare una serie di attacchi informatici contro tutte quelle installazioni relazionate con il programma nucleare iraniano. Frutto del progetto, secondo la stessa fonte, è la National Security Agency, ovvero il Centro di Operazioni di Informazioni della CIA, insieme ad un gruppo segreto collegato all’Unità Militare 8200 delle Forze di Sicurezza d’Israele (IDF), con il fine di creare un primo malware chiamato “Stuxnet”. Tale malware avrebbe l’obiettivo di accedere e rendere inutilizzabili i sistemi di controllo (SCADA) della centrale nucleare di Bushehr e dell’impianto di arricchimento di uranio di Natanz per distruggere, in questo caso, le centrifughe di arricchimento d’uranio all’interno dell’operazione “Myrtus”.

“Stuxnet” definito in termini di sicurezza come una Minaccia Persistente Avanzata (APT nella sigla inglese), sarebbe stato introdotto nel sistema SCADA di Natanz dallo stesso personale dell’installazione o involontariamente dagli stessi dipendenti attraverso sistemi esterni (per esempio una chiavetta USB) che erano stati precedentemente infettati. Una volta dentro, si produce l’attacco informatico alle sue centrifughe. Il risultato di questa operazione segreta fu il danno di circa mille centrifughe nell’impianto Natanz fino all’estate 2010. Nel maggio dello stesso anno, la società bielorussa specializzata in anti virus, la Virusblokada, scopre il malware “Stuxnet” in un computer iraniano grazie ad un errore nel codice di una delle sue nuove versioni. Questo episodio provoca il rilascio del malware al di fuori dell’impianto Natanz provocando il cosiddetto “effetto cascata” nella rete globale. “Stuxnet” è forse il primo attacco informatico attribuibile agli Stati Uniti contro le infrastrutture critiche di un altro Stato. Inoltre si crede nell’esistenza di altri quattro malware elaborati dalla stessa piattaforma che creò “Stuxnet”. Ma a differenza di questo, gli altri agiscono come “ladri di informazioni” all’interno di operazioni di spionaggio informatico per ottenere dati e facilitare gli attacchi informatici o la difesa informatica, tra gli altri obiettivi. Di questi il più noto è il malware “Duqu”, anche se i due “ladri di informazione” più rinomati utilizzati dagli attori che cercano di sabotare il programma nucleare iraniano sarebbero i malware “Flame” e “Gaus”.

Così, un altro attacco informatico di primo piano contro l’Iran e che colpisce anche la Cisgiordania, gli Emirati Arabi Uniti e il Libano si realizza attraverso il malware “Flame” (noto anche come “sKyWIper”), che è un “ladro di informazioni” scoperto nel Maggio 2012 dalla società specializzata in sicurezza informatica Kaspersky Lab. Si ritiene che “Flame” arrivò ad infettare i sistemi informatici di infrastrutture chiave per l’Iran, così come computer di ufficiali di alto rango iraniani e di alcuni ministeri dai quali avrebbero potuto ottenere informazioni. Infatti, le autorità iraniane hanno scoperto il malware quando nell’Aprile 2010 subirono un attacco informatico i computer del Ministero del Petrolio e nelle sue strutture di esportazione dell’oro nero, come quella situata nell’isola di Kharg attraverso la quale passa l’ottanta per cento del petrolio esportato, e che li obbligò a scollegare i terminali dai quali starebbero estraendo dati dai propri dischi rigidi. Secondo diversi esperti appartenenti alle compagnie di sicurezza IT, il malware “Flame” avrebbe funzionato per circa cinque anni prima di essere rilevato e la sua origine potrebbe essere legata di nuovo alla collaborazione tra USA e Israele, anche se sarebbe proprio quest’ultimo ad aver iniziato l’attacco informatico in maniera unilaterale.

Parallelamente, nel mese di Agosto 2012, lo stesso laboratorio della società russa Kaspersky Lab rileva circa 2500 computer infettati dal malware “Gaus” in Libano nell’ambito di un’altra operazione catalogata nel ciberspionaggio. Questo “ladro di informazioni” si sarebbe dedicato alla raccolta di informazioni bancarie delle principali entità di Stato come Bank of Beirut, BlomBank o Credit Labanais. Le stesse sono conosciute per le loro relazioni clientelari con il regime siriano di Al Asad, con gli Hezbollah e con l’Iran.

Sul lato iraniano e dopo il malware informatico “Stuxnet”, il governo di Ahmadinejad crea l’Organizzazione di Sicurezza Informatica. La stessa si compone di un reparto difensivo, l’unità informatica speciale al”interno dell’Organizzazione di Difesa Passiva delle Forze Armate dell’Iran diretta dal Generale di Brigata Gholam Reza Jalali e la cui funzione è quella di contrastare e rilevare gli attacchi informatici e lo spionaggio informatico, e di un reparto offensivo chiamato Cyber Corpo che dovrebbe generare attacchi contro i suoi nemici. Così, l’Organizzazione della Sicurezza Informatica si è dotata di capacità per lo sviluppo di operazioni segrete e di contro-intelligence utilizzando il ciberspazio. In effetti, gli ufficiali dell’intelligence americana credono che il “Corpo Cyber” iraniano sarebbe dietro ad alcuni attacchi informatici come quello realizzato nell’Agosto 2012 contro la società petrolifera Saudi Aramco dell’Arabia Saudita attraverso l’uso del malware “Shamoon”. Questo virus potrebbe essere stato introdotto dallo stesso personale dell’azienda e si stima che abbia distrutto circa tre quarti delle informazioni memorizzate nei 30.000 computer della rete di comunicazione aziendale della compagnia statale saudita. Vale la pena ricordare che la Saudi Aramco è uno dei principali beneficiari di sanzioni internazionali destinate al petrolio iraniano  a causa del suo programma nucleare. Due settimane dopo, la società di gas naturale del Qatar, RasGas, di proprietà anche dell’americana Exxon Mobil Corp, fu vittima di un attacco informatico simile a quello di Saudi Aramco.

Le stesse fonti segnalerebbero l’Iran come promotore di un’altra serie di attacchi informatici che hanno avuto luogo dal Settembre 2012 contro alcune banche americane tra le quali la Bank of America, Citigroup, Wells Fargo, U.S. Bancorp o Capital One. Questi attacchi informatici avrebbero usato un malware chiamato “Itsoknoproblembro” che permetterebbe di alterare, interrompere o far collassare i sistemi online dei suddetti istituti bancari con pesanti ripercussioni per i loro clienti. Questo potrebbe essere visto come una ritorsione per le sanzioni imposte al regime degli ayatollah. Tuttavia, i rappresentanti dell’Iran come Alireza Miryousefi, segretario della delegazione iraniana nelle Nazioni Unite, negano il loro coinvolgimento diretto o indiretto in tali azioni.

Un altro aspetto importante da ricordare potrebbe essere l’uso di UAV ( o “droni” ) e satelliti, tanto statali quanto privati, da parte degli USA e dei suoi alleati come mezzo per realizzare operazioni segrete. In realtà sono frequenti gli incidenti riportati sui VANT americani accusati di penetrare nel territorio iraniano per ottenere informazioni sulle installazioni militari o sul programma nucleare, così come le manovre realizzate dalle Forze Armate iraniane che in alcune occasioni sono intercettate o attaccate dall’aviazione dello Stato persiano. In questo senso, si ritiene che l’Iran disponga di alta tecnologia capace di interferire nei satelliti spia e commerciali , nonché di controllare e “craccare” i sistemi di navigazione dei VANT. Questo sofisticato sistema di comunicazioni e sistemi guida sarebbe stato all’inizio fornito all’Iran dalla Russia, e poi sviluppato dalla stessa Repubblica Islamica aggiungendo i dati ottenuti dai “droni” americani abbattuti in Afghanistan che sarebbero venuti in suo possesso grazie ai VANT catturati nel proprio territorio. Questo permetterebbe agli ingegneri iraniani di sviluppare nuove “Capacity Building” per realizzare offensive elettroniche attraverso la decodificazione dell’informazione contenuta nei “droni” e aver accesso al Sistema di Posizione Globale (GPS) di alcuni modelli VANT fabbricati dagli USA. Con questo, l’Organizzazione di Sicurezza Informatica delle Forze Armate iraniane, unità competente nell’area, potrebbe aver creato un sistema di intercettazione basato nel riprogrammare il GPS, “craccamdo il drone”, e modificarlo in modalità pilota automatico facendo perdere il controllo su di esso e costringerlo ad atterrare sul territorio iraniano.
Alcuni esempi di ciò sarebbero l’incidente non comunicato verificatosi verso la fine dell’anno 2011 nel quale un satellite spia americano fu “accecato” in maniera chirurgica da un laser la cui azione fu attribuita all’Iran da parte dei servizi segreti occidentali.

Allo stesso modo, due UAV modello RQ-11 americani sono stati intercettati nell’Agosto 2011 e ad Ottobre del 2012 rispettivamente. Un altro incidente significativo ebbe luogo il cinque Dicembre 2011 quando un UAV RQ-170 “Sentinel” americano cadde in mano iraniana vicino alla città di Kashmar, vicino al confine con l’Afghanistan. Circa un anno dopo, un altro “drone” da osservazione del tipo “ScanEagle” venne catturato nello spazio aereo iraniano nella zona del Golfo Persico da parte della Forza Navale dei CGRI. In entrambi i casi le autorità iraniane assicurano di aver preso il controllo dei “droni” una volta applicato il sistema di intercettazione. Tuttavia fonti americane affermano che il primo “drone” si schiantò a causa di un guasto al sistema di controllo, mentre la cattura del secondo viene negata. Nonostante queste versioni contraddittorie, l’Iran con queste azioni avrebbe potuto ottenere preziose informazioni a proposito della tecnologia VANT americana, non solo per un uso proprio, ma anche per poter vendere o condividere questa tecnologia con altri Stati come la Cina, la Nord Corea o la Russia. Non si può ignorare che i VANT sono un elemento centrale nella strategia di sicurezza dell’amministrazione Obama, sia per realizzare attacchi selettivi sia per la raccolta di informazioni.

A tutto questo si deve aggiungere che il ventisette Ottobre 2012 e per una settimana intera, l’Iran celebrò i primi esercizi di sicurezza informatica della sua storia, nella quale si simularono attacchi informatici contro infrastrutture critiche come per esempio gli impianti nucleari e le centrali elettriche, istituzioni pubbliche, banche o centri di dati sensibili. Inoltre, alla fine di dicembre 2012 e per i sei giorni delle esercitazioni navali di Velayat,  entrò in azione per la prima volta anche l’unità speciale di sicurezza informatica della marina iraniana durante una simulazione di un attacco informatico contro il sistema centrale di controllo delle forze di difesa dell’Armata. Così l’aumento delle capacità nel campo della sicurezza informatica dell’Iran negli ultimi due anni, sia per quanto riguarda i mezzi per effettuare attacchi informatici, sia nello sviluppo di nuove tecnologie per la difesa del suo programma nucleare e per attuare politiche di rappresaglia, sarebbe una delle conseguenze dirette delle operazioni segrete realizzate contro il regime degli ayatollah.

Si sono compiuti gli obiettivi?

L’obiettivo principale delle operazioni segrete e della contro-intelligence presumibilmente condotte dal blocco di Stati contrari al programma nucleare iraniano, sarebbe quello di rallentare e se possibile eliminare il programma, attraverso le attività sopra citate, oltre che a guadagnare tempo per le altre attività di sicurezza che potrebbero essere prodotte e applicate in modo più efficace, come per esempio la negoziazione o il regime di sanzioni imposto contro l’Iran, indebolendo così la posizione di questo Stato.
Tuttavia e dopo ciò che è stato descritto, si sarebbe conseguito solo l’obiettivo di rallentare il programma con l’attacco informatico Stuxnet che interessò circa mille centrifughe della centrale di arricchimento dell’uranio di Natanz fino al 2010. Poi però tutte le altre azioni non avrebbero raggiunto lo scopo di frenarlo, ma al contrario il programma nucleare procede senza particolari problemi. Inoltre, a mio parere, l’aumento delle capacità nel campo della sicurezza informatica dell’Iran  insieme al regime di sanzioni che impedisce importazioni di pezzi e componenti per il suo programma nucleare, rende più difficile che il regime degli ayatollah cada di nuovo vittima di attacchi informatici, unica via efficace al momento per raggiungere i presunti obiettivi di queste operazioni segrete.

In realtà come crede la stessa rivista Time, il Mossad sarebbe dietro a molte delle operazioni segrete descritte in questo report e il primo ministro israeliano, Benjamin Netanyahu, già nel marzo 2012 avrebbe preso la decisione di ridurre il numero delle stesse in relazione alla neutralizzazione selettiva degli obiettivi, degli attentati in installazioni chiave iraniane, degli agenti operativi sul campo e delle attività di reclutamento all’interno del programma nucleare iraniano, nonostante il parere contrario del Mossad. Le ragioni principali per le quali Netanyahu avrebbe preso questa decisione sarebbero tre: in primo luogo la scommessa del primo ministro israeliano per una politica di sicurezza preventiva, attraverso un intervento militare diretto, considerata come la miglior ipotesi per poter eliminare il programma nucleare iraniano. La presa di posizione di Netanyahu, presa alla luce del relativo insuccesso prodotto dalle operazioni segrete che dovevano paralizzare le ansie nucleari iraniane, avrebbe l’opinione contraria del Mossad, sia del suo attuale direttore, Tamir Pardo, sia del suo predecessore dal 2002 al 2010, Meir Dagan, oltre che parte della leadership del Tzahal che la sconsiglierebbero e appoggiano il prosieguo  di azioni segrete fino a quando non vi siano delle prove chiare sulle intenzioni di creare armi nucleari da parte dell’Iran. Nonostante tutto, Netanyahu resta fermo nel suo proposito.

Un secondo motivo sarebbe causato dal timore di Netanyahu che i suoi agenti del Mossad vengano catturati nell’ambito di un’operazione segreta nel territorio iraniano con le conseguenze che questo potrebbe provocare sia sul dibattito di un possibile intervento militare, sia per la credibilità degli altri attori internazionali che appoggiano una politica di negoziazione con il regime degli ayatollah combinata ad una politica di contenimento sotto forma di dure sanzioni internazionali. Questo timore si è originato dopo le ripercussioni a seguito  dell’attentato che uccise lo scienziato iraniano Mustafà Ahmadi Roshan nel Gennaio 2012, del quale Israele fu accusato direttamente e dopo il quale l’Iran si presentò di fronte alla comunità internazionale come parte offesa. E questa è il terzo motivo, l’impopolarità di alcune operazioni segrete, in particolare la neutralizzazione selettiva degli obiettivi, la quale provoca da una parte un aumento dell’appoggio interno al regime degli ayatollah e al programma nucleare iraniano, e dall’altra all’estero l’Iran può apparire come vittima e sfruttare questa immagine a proprio vantaggio.

A questo, si dovrebbe aggiungere l’influenza della doppia capacità di risposta della contro-intelligence iraniana e dei suoi alleati nello smantellamento delle reti di spionaggio nel proprio territorio e nella capacità di attentare contro personale e interessi israeliani in punti geograficamente lontani tra loro.
Così, il blocco guidato dall’Iran ha raggiunto l’obiettivo di poter seguire nello sviluppo del programma nucleare, nonostante l’errore commesso dalla propria contro-intelligence nel caso dell’attacco informatico Stuxnet e il controllo del personale con accesso a strutture chiavi della sua scommessa nucleare. Seppur certi nelle attribuzioni di paternità al blocco iraniano delle azioni già citate, questo avrebbe dimostrato la capacità di portare avanti politiche di ritorsione, sia attraverso gli attentati contro obiettivi israeliani in diverse parti del mondo, sia attraverso il ciberspazio nei confronti di altri Stati. Questi eventi permettono di visualizzare l’amplia estensione della rete di informatori e di dispositivi mobili che hanno costruito i QUDS non solo a livello regionale, bensì anche al di fuori della stessa aerea di influenza. A questo bisogna aggiungere il lavoro della contro-intelligence di questo blocco che ha permesso, tra le altre azioni, di smantellare grandi strutture di spionaggio della CIA, fatto riconosciuto dalla stessa agenzia di intelligence americana come già citato precedentemente nel documento.

D’altro canto sarebbe necessario evidenziare anche il lavoro realizzato dalla contro-intelligence dei paesi del CCG nello smantellare le presunte reti di spionaggio e le cellule operative al servizio del regime degli ayatollah all’interno delle comunità sciite che abitano in questi negli Stati del Golfo Persico. Infine due degli eventi più importanti del periodo oggetto di studio: il primo l’importanza acquisita dal ciberspazio, le nuove tecnologie e i “droni” per effettuare operazioni segrete e attività di contro-intelligence a discapito di altre più classiche, che però implicano più rischi fisici per gli agenti e il secondo è la creazione dell’Organizzazione per la Sicurezza Informatica iraniana, con la sua doppia capacità difensiva ed offensiva, che metterebbe l’Iran in una posizione di futura potenza in ascesa e come segnala il generale William Shelton, supervisore delle operazioni di sicurezza informatica delle Forze Aeree americane,  l’Iran ha aumentato i suoi sforzi nel ciberspazio dopo essere stato vittima dell’attacco agli impianti di Natanz e che sarà una “ciberpotenza” da tener conto nei prossimi scenari futuri.

Concludendo, le operazioni sotto copertura potrebbero essere utilizzate dal blocco contrario al programma nucleare iraniano per rallentarlo e guadagnare tempo a favore delle altre opzioni che sono sul tavolo per risolvere il conflitto nucleare, essendo gli stessi attacchi informatici lo strumento che abbia dimostrato maggior efficacia in questo senso. Ciononostante, questo tipo di operazioni non servirebbero per fermare le ansie nucleari iraniane, dato che il suo programma prosegue nell’elaborazione e addirittura in questo periodo il regime degli ayatollah ha perfezionato le sue capacità di proteggerlo. Per di più sarebbe dimostrato che l’Iran  possiede il potere di rappresaglia in risposta agli attacchi subiti, sia attraverso operazioni segrete realizzate dai suoi agenti all’estero, Quds, sia dai suoi rappresentanti in Libano o in alternativa dal “Corpo Cyber” iraniano.

(Traduzione dallo spagnolo di Alessio Rivosecchi, adattamento di Francesco G. Leone)