Szeroko opisywana przez nas rola Iranu w „Potopie Al-Aksa” ma również wymiar bardziej ukryty – internetowy. Według Gila Messinga z firmy Check Point Software z siedzibą w Tel Awiwie, Iran prowadzi wyrafinowaną kampanię hakerską przeciwko Izraelowi i cały czas udoskonala swoje cyberataki. Podmioty sponsorowane przez irański rząd mają stać za kradzieżą dużej ilości danych, włamaniami do rządowych systemów komputerowych czy kamer bezpieczeństwa, a także wzmożonymi kampaniami dezinformacyjnymi.

Coraz sprawniejszy i groźniejszy Iran uzbrojony w bardziej zaawansowane odmiany złośliwego oprogramowania i wspierany przez haktywistów wykorzystujących wnioski wyciągnięte z cyberbitwy wokół Ukrainy ma stwarzać izraelskim specom od bezpieczeństwa w sieci wiele kłopotów. Firma Messinga zajmuje się monitorowaniem setek milionów logów co sekundę w całym Internecie.

Korpus Strażników Rewolucji i Ministerstwo Wywiadu poczyniły znaczne inwestycje w cyberataki. Irańczycy są skupieni na konkretnych celach, atakują głównie agencje rządowe, ministerstwa i firmy zajmujące się retencją dużych ilości danych. Po zainfekowaniu celu Irańczycy potrafią zachować dostęp do intranetu danego podmiotu przez kilka tygodni lub miesięcy.



Irańczycy stosują wiele metod ataków, od phishingu i inżynierii społecznej po tworzenie własnego złośliwego oprogramowania. Jeszcze kilka lat temu metody było mało wyrafinowane, wysyłano bezpośrednie wiadomości na LinkedIn czy e-maile, a piętą achillesową był język: hebrajski lub angielski. Pojawiło się dużo zwracających uwagę błędów gramatycznych i ortograficznych. Teraz problemy językowe wyeliminowano, a coraz bardzie wyrafinowane jest złośliwe oprogramowanie, które może pozostawać niewykryte miesiącami.

W morzu ataków na Izrael od października uderzenia w sieci nikną, ale od tygodnia do dziesięciu dni po rozpoczęciu wojny nastąpił ich dramatyczny wzrost. Z początku Messing odnotował wzrost o 18%, teraz jest to ponad 20% w porównaniu z okresem przed wojną. A jeśli spojrzeć konkretnie na sektor rządowy i wojsko, ataki skoczyły o ponad 50%.

Check Point Software monitoruje około 150 grup hakerskich. Wśród nich dominuje około 20–30, a w tym gronie błyskawicznie zaznaczyły swoją obecność te wspierane przez Iran i sponsorowane przez to państwo, klasyfikowane jako grupy APT (advanced persistent threat, zaawansowane trwałe zagrożenie). Około dziesięciu grup dokonuje najpoważniejszych cyberataków w Izraelu.



Wyróżniają się przede wszystkim Cyber Toufan i MuddyWater (występująca także pod nazwą Scarred Manticore). Są sponsorowane przez rząd i naśladują (na mniejszą skalę) wiele taktyk, które widzą u rosyjskich hakerów – od szerzenia dezinformacji przez tworzenie grup haktywistów i kanałów do kierowania tymi grupami po bezpośrednie ataki. Cyber Toufan rozpoczął działalność około połowy listopada, wydając komunikat z bardzo szczegółowym planem tego, kim są i co chcą robić członkowie grupy. Celem wyraźnie było sparaliżowanie gospodarki Izraela i powiązali to z konkretnymi działaniami podczas wojny w Strefie Gazy.

Cyber Toufan miał jeden bardzo skuteczny atak przechwytujący dane dwa razy dziennie: raz rano, raz wieczorem. Celem było przedsiębiorstwo Signature-IT, zajmujące się hostingiem serwerów i stron internetowych w Izraelu. Cyber Toufan zinfiltrował serwery firmy, wyczyścił wiele z nich i wydobył dane. Pochwalił się następnie, że ma informacje o ponad czterdziestu firmach, wybrał te znane i zaczęli upubliczniać informacje na serwerach Signature-IT. Spowodowało to przejściowe zamknięcie wielu stron (w tym sklepów) internetowych. Na dodatek za Telegramu upubliczniono dane klientów.

Z kolei Microsoft Threat Intelligence uważa, że powiązani z Iranem hakerzy atakują za pomocą wyrafinowanych instrumentów inżynierii społecznej badaczy pracujących nad konfliktem między Izraelem a Hamasem. Mint Sandstorm (znana również jako APT35 i Charming Kitten), powiązana z irańskim wywiadem wojskowym, wykorzystuje specjalnie zaprojektowane przynęty phishingowe, aby nakłonić cele do pobrania złośliwych plików, służących do kradzieży wrażliwych danych. Są to osoby pracujące głównie na uniwersytetach i w instytutach badawczych w Belgii, Francji, Gazie, Izraelu, Wielkiej Brytanii i Stanach Zjednoczonych.



W tym celu używa się legalnych, ale zainfekowanych kont poczty elektronicznej. Hakerzy wysyłają wiadomości, podając się za znaną osobę, na przykład dziennikarza renomowanego serwisu informacyjnego, z prośbą o wgląd w artykuł na temat wojny między Izraelem a Hamasem. Pierwsza wiadomość jest łagodna i nie zawiera złośliwej treści, a jej celem jest budowanie zaufania ofiary.

Jeśli cel zgodzi się przejrzeć artykuł lub dokument, o którym mowa w pierwszej wiadomości, napastnicy powiązani z Iranem przesyłają drugą zawierającą łącze do złośliwej domeny. Tam znajduje się plik archiwum RAR, który rzekomo zawiera wersję roboczą dokumentu. Po otwarciu dekompresuje do pliku o podwójnym rozszerzeniu (.pdf.lnk), który po otwarciu uruchamia polecenie curl umożliwiające pobrania zainfekowanych plików z subdomen należących do Mint Sandstorm, glitch[.]me i supabase[.]co.

Microsoft ma teoretycznie proste zalecenia dla uniwersytetów i organizacji zajmujących się badaniami nad Bliskim Wschodem w celu ochrony przed e-mailami phishingowymi. Użytkownicy końcowi nie powinni klikać adresów URL w podejrzanych wiadomościach, aby nie ujawnić swoich danych uwierzytelniających. Przede wszystkim powinni zwracać uwagę na błędną pisownię, w tym poprawność gramatyczną i ortograficzną, oraz na spoofowane nazwy aplikacji, logo i adresy URL, symulujące legalne aplikacje lub firmy rzeczywiście działające.



Należy też korzystać z narzędzi zdolnych do identyfikacji i blokowania połączeń ze złośliwymi domenami i adresami IP. Ponadto warto skorzystać z zabezpieczeń bazujących na uczeniu maszynowym w chmurze, aby blokować nowe i nieznane złośliwe oprogramowanie. Jak w każdym przypadku, cała technika może jednak zawieść, gdy trafi na opornego użytkownika – ciekawskiego albo lekceważącego obostrzenia, które wydają się zbyt skomplikowane w codziennym użytku.

Obiektem ataków hakerów opłacanych przez Pasdaranów są też podmioty spoza Izraela. W grudniu 2023 roku amerykańska agencja do spraw cyberbezpieczeństwa CISA ostrzegała przed kampanią prowadzoną przez grupę CyberAv3ngers, powiązaną z Korpusem Strażników Rewolucji Islamskiej, której celem były przedsiębiorstwa wodociągowe w Stanach Zjednoczonych. Wszystko za sprawą sterowników firmy Unitronics, których stosowanie upodobały sobie przedsiębiorstwa z sektora gospodarki wodno-ściekowej. Unitronics jest izraelskim producentem, co w obecnej sytuacji niemal automatycznie czyni tę firmę celem.

Należy jednak zaznaczyć, że Izrael oraz firmy i osoby z nim powiązane nie występują tylko w charakterze ofiar w tej wojnie w sieci. Również Jerozolima od dawna prowadzi bezpośrednią i pośrednią walkę z Teheranem. Weźmy pierwszy z brzegu przykład: grudniowy atak na irańskie stacje benzynowe, który doprowadził do ich paraliżu. Sprawcami ataku była grupa hakerów posługująca się kryptonimem „Drapieżny Wróbel”. Szerzej o irańsko-izraelskiej wymianie ciosów można przeczytać tutaj.

Zobacz też: HH-60W będzie nieprzydatny w wojnie z Chinami

Israel Defense Forces