Lepsi ludzie, lepsza technika. Iran eskaluje cyberwojnę z Izraelem

Lepsi ludzie, lepsza technika. Iran eskaluje cyberwojnę z Izraelem07.03.2024 10:19
Iran prowadzi wyrafinowaną kampanię hakerską przeciwko Izraelowi
Źródło zdjęć: © Israel Defense Forces

Szeroko opisywana rola Iranu w "Potopie Al-Aksa" ma również wymiar bardziej ukryty – internetowy. Według Gila Messinga z firmy Check Point Software z siedzibą w Tel Awiwie, Iran prowadzi wyrafinowaną kampanię hakerską przeciwko Izraelowi i cały czas udoskonala swoje cyberataki. Podmioty sponsorowane przez irański rząd mają stać za kradzieżą dużej ilości danych, włamaniami do rządowych systemów komputerowych czy kamer bezpieczeństwa, a także wzmożonymi kampaniami dezinformacyjnymi.

Coraz sprawniejszy i groźniejszy Iran uzbrojony w bardziej zaawansowane odmiany złośliwego oprogramowania i wspierany przez haktywistów wykorzystujących wnioski wyciągnięte z cyberbitwy wokół Ukrainy ma stwarzać izraelskim specom od bezpieczeństwa w sieci wiele kłopotów. Firma Messinga zajmuje się monitorowaniem setek milionów logów co sekundę w całym Internecie.

Korpus Strażników Rewolucji i Ministerstwo Wywiadu poczyniły znaczne inwestycje w cyberataki. Irańczycy są skupieni na konkretnych celach, atakują głównie agencje rządowe, ministerstwa i firmy zajmujące się retencją dużych ilości danych. Po zainfekowaniu celu Irańczycy potrafią zachować dostęp do intranetu danego podmiotu przez kilka tygodni lub miesięcy.

Dalsza część artykułu pod materiałem wideo

Stacja Galaxy w Smart Kids Planet

Irańczycy stosują wiele metod ataków, od phishingu i inżynierii społecznej po tworzenie własnego złośliwego oprogramowania. Jeszcze kilka lat temu metody było mało wyrafinowane, wysyłano bezpośrednie wiadomości na LinkedIn czy e-maile, a piętą achillesową był język: hebrajski lub angielski. Pojawiło się dużo zwracających uwagę błędów gramatycznych i ortograficznych. Teraz problemy językowe wyeliminowano, a coraz bardzie wyrafinowane jest złośliwe oprogramowanie, które może pozostawać niewykryte miesiącami.

W morzu ataków na Izrael od października uderzenia w sieci nikną, ale od tygodnia do dziesięciu dni po rozpoczęciu wojny nastąpił ich dramatyczny wzrost. Z początku Messing odnotował wzrost o 18%, teraz jest to ponad 20% w porównaniu z okresem przed wojną. A jeśli spojrzeć konkretnie na sektor rządowy i wojsko, ataki skoczyły o ponad 50%.

Check Point Software monitoruje około 150 grup hakerskich. Wśród nich dominuje około 20–30, a w tym gronie błyskawicznie zaznaczyły swoją obecność te wspierane przez Iran i sponsorowane przez to państwo, klasyfikowane jako grupy APT (advanced persistent threat, zaawansowane trwałe zagrożenie). Około dziesięciu grup dokonuje najpoważniejszych cyberataków w Izraelu.

Wyróżniają się przede wszystkim Cyber Toufan i MuddyWater (występująca także pod nazwą Scarred Manticore). Są sponsorowane przez rząd i naśladują (na mniejszą skalę) wiele taktyk, które widzą u rosyjskich hakerów – od szerzenia dezinformacji przez tworzenie grup haktywistów i kanałów do kierowania tymi grupami po bezpośrednie ataki. Cyber Toufan rozpoczął działalność około połowy listopada, wydając komunikat z bardzo szczegółowym planem tego, kim są i co chcą robić członkowie grupy. Celem wyraźnie było sparaliżowanie gospodarki Izraela i powiązali to z konkretnymi działaniami podczas wojny w Strefie Gazy.

Cyber Toufan miał jeden bardzo skuteczny atak przechwytujący dane dwa razy dziennie: raz rano, raz wieczorem. Celem było przedsiębiorstwo Signature-IT, zajmujące się hostingiem serwerów i stron internetowych w Izraelu. Cyber Toufan zinfiltrował serwery firmy, wyczyścił wiele z nich i wydobył dane. Pochwalił się następnie, że ma informacje o ponad czterdziestu firmach, wybrał te znane i zaczęli upubliczniać informacje na serwerach Signature-IT. Spowodowało to przejściowe zamknięcie wielu stron (w tym sklepów) internetowych. Na dodatek za Telegramu upubliczniono dane klientów.

Z kolei Microsoft Threat Intelligence uważa, że powiązani z Iranem hakerzy atakują za pomocą wyrafinowanych instrumentów inżynierii społecznej badaczy pracujących nad konfliktem między Izraelem a Hamasem. Mint Sandstorm (znana również jako APT35 i Charming Kitten), powiązana z irańskim wywiadem wojskowym, wykorzystuje specjalnie zaprojektowane przynęty phishingowe, aby nakłonić cele do pobrania złośliwych plików, służących do kradzieży wrażliwych danych. Są to osoby pracujące głównie na uniwersytetach i w instytutach badawczych w Belgii, Francji, Gazie, Izraelu, Wielkiej Brytanii i Stanach Zjednoczonych.

Izrael przygotowuje F-35 do ataku. Celem jest Iran

W tym celu używa się legalnych, ale zainfekowanych kont poczty elektronicznej. Hakerzy wysyłają wiadomości, podając się za znaną osobę, na przykład dziennikarza renomowanego serwisu informacyjnego, z prośbą o wgląd w artykuł na temat wojny między Izraelem a Hamasem. Pierwsza wiadomość jest łagodna i nie zawiera złośliwej treści, a jej celem jest budowanie zaufania ofiary.

Jeśli cel zgodzi się przejrzeć artykuł lub dokument, o którym mowa w pierwszej wiadomości, napastnicy powiązani z Iranem przesyłają drugą zawierającą łącze do złośliwej domeny. Tam znajduje się plik archiwum RAR, który rzekomo zawiera wersję roboczą dokumentu. Po otwarciu dekompresuje do pliku o podwójnym rozszerzeniu (.pdf.lnk), który po otwarciu uruchamia polecenie curl umożliwiające pobrania zainfekowanych plików z subdomen należących do Mint Sandstorm, glitch[.]me i supabase[.]co.

Microsoft ma teoretycznie proste zalecenia dla uniwersytetów i organizacji zajmujących się badaniami nad Bliskim Wschodem w celu ochrony przed e-mailami phishingowymi. Użytkownicy końcowi nie powinni klikać adresów URL w podejrzanych wiadomościach, aby nie ujawnić swoich danych uwierzytelniających. Przede wszystkim powinni zwracać uwagę na błędną pisownię, w tym poprawność gramatyczną i ortograficzną, oraz na spoofowane nazwy aplikacji, logo i adresy URL, symulujące legalne aplikacje lub firmy rzeczywiście działające.

Należy też korzystać z narzędzi zdolnych do identyfikacji i blokowania połączeń ze złośliwymi domenami i adresami IP. Ponadto warto skorzystać z zabezpieczeń bazujących na uczeniu maszynowym w chmurze, aby blokować nowe i nieznane złośliwe oprogramowanie. Jak w każdym przypadku, cała technika może jednak zawieść, gdy trafi na opornego użytkownika – ciekawskiego albo lekceważącego obostrzenia, które wydają się zbyt skomplikowane w codziennym użytku.

Obiektem ataków hakerów opłacanych przez Pasdaranów są też podmioty spoza Izraela. W grudniu 2023 roku amerykańska agencja do spraw cyberbezpieczeństwa CISA ostrzegała przed kampanią prowadzoną przez grupę CyberAv3ngers, powiązaną z Korpusem Strażników Rewolucji Islamskiej, której celem były przedsiębiorstwa wodociągowe w Stanach Zjednoczonych. Wszystko za sprawą sterowników firmy Unitronics, których stosowanie upodobały sobie przedsiębiorstwa z sektora gospodarki wodno-ściekowej. Unitronics jest izraelskim producentem, co w obecnej sytuacji niemal automatycznie czyni tę firmę celem.

Hezbollah zaatakował Izrael ich własną bronią. Winny jest Iran

Należy jednak zaznaczyć, że Izrael oraz firmy i osoby z nim powiązane nie występują tylko w charakterze ofiar w tej wojnie w sieci. Również Jerozolima od dawna prowadzi bezpośrednią i pośrednią walkę z Teheranem. Weźmy pierwszy z brzegu przykład: grudniowy atak na irańskie stacje benzynowe, który doprowadził do ich paraliżu. Sprawcami ataku była grupa hakerów posługująca się kryptonimem "Drapieżny Wróbel".

Twórz treści i zarabiaj na ich publikacji. Dołącz do WP Kreatora

Źródło artykułu:konflikty.pl
© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA