Lepsi ludzie, lepsza technika. Iran eskaluje cyberwojnę z Izraelem
Szeroko opisywana rola Iranu w "Potopie Al-Aksa" ma również wymiar bardziej ukryty – internetowy. Według Gila Messinga z firmy Check Point Software z siedzibą w Tel Awiwie, Iran prowadzi wyrafinowaną kampanię hakerską przeciwko Izraelowi i cały czas udoskonala swoje cyberataki. Podmioty sponsorowane przez irański rząd mają stać za kradzieżą dużej ilości danych, włamaniami do rządowych systemów komputerowych czy kamer bezpieczeństwa, a także wzmożonymi kampaniami dezinformacyjnymi.
Coraz sprawniejszy i groźniejszy Iran uzbrojony w bardziej zaawansowane odmiany złośliwego oprogramowania i wspierany przez haktywistów wykorzystujących wnioski wyciągnięte z cyberbitwy wokół Ukrainy ma stwarzać izraelskim specom od bezpieczeństwa w sieci wiele kłopotów. Firma Messinga zajmuje się monitorowaniem setek milionów logów co sekundę w całym Internecie.
Korpus Strażników Rewolucji i Ministerstwo Wywiadu poczyniły znaczne inwestycje w cyberataki. Irańczycy są skupieni na konkretnych celach, atakują głównie agencje rządowe, ministerstwa i firmy zajmujące się retencją dużych ilości danych. Po zainfekowaniu celu Irańczycy potrafią zachować dostęp do intranetu danego podmiotu przez kilka tygodni lub miesięcy.
Dalsza część artykułu pod materiałem wideo
Irańczycy stosują wiele metod ataków, od phishingu i inżynierii społecznej po tworzenie własnego złośliwego oprogramowania. Jeszcze kilka lat temu metody było mało wyrafinowane, wysyłano bezpośrednie wiadomości na LinkedIn czy e-maile, a piętą achillesową był język: hebrajski lub angielski. Pojawiło się dużo zwracających uwagę błędów gramatycznych i ortograficznych. Teraz problemy językowe wyeliminowano, a coraz bardzie wyrafinowane jest złośliwe oprogramowanie, które może pozostawać niewykryte miesiącami.
W morzu ataków na Izrael od października uderzenia w sieci nikną, ale od tygodnia do dziesięciu dni po rozpoczęciu wojny nastąpił ich dramatyczny wzrost. Z początku Messing odnotował wzrost o 18%, teraz jest to ponad 20% w porównaniu z okresem przed wojną. A jeśli spojrzeć konkretnie na sektor rządowy i wojsko, ataki skoczyły o ponad 50%.
Check Point Software monitoruje około 150 grup hakerskich. Wśród nich dominuje około 20–30, a w tym gronie błyskawicznie zaznaczyły swoją obecność te wspierane przez Iran i sponsorowane przez to państwo, klasyfikowane jako grupy APT (advanced persistent threat, zaawansowane trwałe zagrożenie). Około dziesięciu grup dokonuje najpoważniejszych cyberataków w Izraelu.
Wyróżniają się przede wszystkim Cyber Toufan i MuddyWater (występująca także pod nazwą Scarred Manticore). Są sponsorowane przez rząd i naśladują (na mniejszą skalę) wiele taktyk, które widzą u rosyjskich hakerów – od szerzenia dezinformacji przez tworzenie grup haktywistów i kanałów do kierowania tymi grupami po bezpośrednie ataki. Cyber Toufan rozpoczął działalność około połowy listopada, wydając komunikat z bardzo szczegółowym planem tego, kim są i co chcą robić członkowie grupy. Celem wyraźnie było sparaliżowanie gospodarki Izraela i powiązali to z konkretnymi działaniami podczas wojny w Strefie Gazy.
Cyber Toufan miał jeden bardzo skuteczny atak przechwytujący dane dwa razy dziennie: raz rano, raz wieczorem. Celem było przedsiębiorstwo Signature-IT, zajmujące się hostingiem serwerów i stron internetowych w Izraelu. Cyber Toufan zinfiltrował serwery firmy, wyczyścił wiele z nich i wydobył dane. Pochwalił się następnie, że ma informacje o ponad czterdziestu firmach, wybrał te znane i zaczęli upubliczniać informacje na serwerach Signature-IT. Spowodowało to przejściowe zamknięcie wielu stron (w tym sklepów) internetowych. Na dodatek za Telegramu upubliczniono dane klientów.
Z kolei Microsoft Threat Intelligence uważa, że powiązani z Iranem hakerzy atakują za pomocą wyrafinowanych instrumentów inżynierii społecznej badaczy pracujących nad konfliktem między Izraelem a Hamasem. Mint Sandstorm (znana również jako APT35 i Charming Kitten), powiązana z irańskim wywiadem wojskowym, wykorzystuje specjalnie zaprojektowane przynęty phishingowe, aby nakłonić cele do pobrania złośliwych plików, służących do kradzieży wrażliwych danych. Są to osoby pracujące głównie na uniwersytetach i w instytutach badawczych w Belgii, Francji, Gazie, Izraelu, Wielkiej Brytanii i Stanach Zjednoczonych.
W tym celu używa się legalnych, ale zainfekowanych kont poczty elektronicznej. Hakerzy wysyłają wiadomości, podając się za znaną osobę, na przykład dziennikarza renomowanego serwisu informacyjnego, z prośbą o wgląd w artykuł na temat wojny między Izraelem a Hamasem. Pierwsza wiadomość jest łagodna i nie zawiera złośliwej treści, a jej celem jest budowanie zaufania ofiary.
Jeśli cel zgodzi się przejrzeć artykuł lub dokument, o którym mowa w pierwszej wiadomości, napastnicy powiązani z Iranem przesyłają drugą zawierającą łącze do złośliwej domeny. Tam znajduje się plik archiwum RAR, który rzekomo zawiera wersję roboczą dokumentu. Po otwarciu dekompresuje do pliku o podwójnym rozszerzeniu (.pdf.lnk), który po otwarciu uruchamia polecenie curl umożliwiające pobrania zainfekowanych plików z subdomen należących do Mint Sandstorm, glitch[.]me i supabase[.]co.
Microsoft ma teoretycznie proste zalecenia dla uniwersytetów i organizacji zajmujących się badaniami nad Bliskim Wschodem w celu ochrony przed e-mailami phishingowymi. Użytkownicy końcowi nie powinni klikać adresów URL w podejrzanych wiadomościach, aby nie ujawnić swoich danych uwierzytelniających. Przede wszystkim powinni zwracać uwagę na błędną pisownię, w tym poprawność gramatyczną i ortograficzną, oraz na spoofowane nazwy aplikacji, logo i adresy URL, symulujące legalne aplikacje lub firmy rzeczywiście działające.
Należy też korzystać z narzędzi zdolnych do identyfikacji i blokowania połączeń ze złośliwymi domenami i adresami IP. Ponadto warto skorzystać z zabezpieczeń bazujących na uczeniu maszynowym w chmurze, aby blokować nowe i nieznane złośliwe oprogramowanie. Jak w każdym przypadku, cała technika może jednak zawieść, gdy trafi na opornego użytkownika – ciekawskiego albo lekceważącego obostrzenia, które wydają się zbyt skomplikowane w codziennym użytku.
Obiektem ataków hakerów opłacanych przez Pasdaranów są też podmioty spoza Izraela. W grudniu 2023 roku amerykańska agencja do spraw cyberbezpieczeństwa CISA ostrzegała przed kampanią prowadzoną przez grupę CyberAv3ngers, powiązaną z Korpusem Strażników Rewolucji Islamskiej, której celem były przedsiębiorstwa wodociągowe w Stanach Zjednoczonych. Wszystko za sprawą sterowników firmy Unitronics, których stosowanie upodobały sobie przedsiębiorstwa z sektora gospodarki wodno-ściekowej. Unitronics jest izraelskim producentem, co w obecnej sytuacji niemal automatycznie czyni tę firmę celem.
Należy jednak zaznaczyć, że Izrael oraz firmy i osoby z nim powiązane nie występują tylko w charakterze ofiar w tej wojnie w sieci. Również Jerozolima od dawna prowadzi bezpośrednią i pośrednią walkę z Teheranem. Weźmy pierwszy z brzegu przykład: grudniowy atak na irańskie stacje benzynowe, który doprowadził do ich paraliżu. Sprawcami ataku była grupa hakerów posługująca się kryptonimem "Drapieżny Wróbel".
Twórz treści i zarabiaj na ich publikacji. Dołącz do WP Kreatora
