Az államhoz kötődő és hacktivista csoportok az iráni háború kezdete óta számos kibertámadást követtek el az Egyesült Államok és Izrael ellen.
A Stryker amerikai orvostechnológiai vállalat március 11-én megerősítette, hogy egy kibertámadás megzavarta globális hálózatát. A Wall Street Journal számolt be arról, hogy a vállalat irodáiban dolgozó alkalmazottak a Handala, egy Iránhoz köthető hackercsoport logóját találták a bejelentkezési oldalukon.
A támadás a Stryker Microsoft-környezetét célozta, bár a károk teljes kiterjedése és a helyreállítás ütemezése továbbra sem világos.
A SOCRadar kiberintelligencia platform szerint Handala magára vállalta a felelősséget, és a Microsoft felhőfelügyeleti platformját, az Intune-t használta több mint 200 000 eszköz távoli törlésére 79 országban. Az 2022 Plusz Next felvette a kapcsolatot a Microsofttal, hogy ellenőrizze az állítást.
A csoport szerint az akció megtorlás volt az iráni Minab egyik leányiskolája elleni rakétacsapásért, amelyben több mint 160 ember halt meg.
Az incidens része az államhoz kötődő és hacktivista csoportok szélesebb körű kiberműveleteinek hullámának, amelyek az Egyesült Államokat és Izraelt célozzák az Epic Fury hadműveletre válaszul.
Milyen állami szereplők vesznek részt?
A CloudSek kiberbiztonsági vállalat jelentése szerint több, régóta iráni államhoz kötődő csoport fellép az amerikai kritikus infrastruktúra ellen.
Az iráni Iszlám Forradalmi Gárda (IRGC) által támogatott csoportok, köztük a CyberAv3ngers, az APT33 és az APT55, támadásokat indítottak az amerikai ipari vezérlőrendszerek, a fizikai infrastruktúrát, például víztisztító telepeket, elektromos hálózatokat és gyártósorokat működtető számítógépek ellen.
A jelentés szerint a CyberAv3nger hackerei alapértelmezett jelszavakkal jelentkeznek be ipari gépekre, és olyan rosszindulatú programokat telepítenek, amelyek potenciálisan irányíthatják ezeket a rendszereket.
Az APT33 különféle általános jelszavakat használ az egyesült államokbeli energiavállalatok több fiókjához való hozzáféréshez. Ezután megpróbálja lerombolni a biztonsági rendszereket azáltal, hogy rosszindulatú programokat telepít számítógépes rendszereikbe – folytatta.
A CloudSek szerint az APT55 esetében a csoport kiberkémkedést folytat az amerikai energia- és védelmi szektorhoz kötődő emberek ellen, hogy információkat gyűjtsön az iráni hírszerzés céljára.
Az iráni hírszerzési és biztonsági minisztérium (MOIS) olyan csoportokkal is együttműködik Izrael és az Egyesült Államok ellen, mint a MuddyWater, az APT34 és a Handala.
A MuddyWater szerepe a távközlési, olaj- és gázipari, valamint kormányzati szervezetek megcélzása volt. Ezt kezdeti hozzáférési közvetítőként teszik, ami azt jelenti, hogy a jelszavakat a hálózatba való behatolással gyűjtik, és továbbítják a többi támadónak.
Handala a Strykeren kívül más támadásokat is elkövetett, mint például több mint 40 terabájt (TB) adat törlését a Jeruzsálemi Héber Egyetem szervereiről, valamint a Verifone amerikai távközlési vállalat megsértését Izraelben az SOC Radar szerint.
Az amerikai média azonban arról számolt be, hogy a Verifone cáfolta a jogsértést, azt állítva, hogy nincs bizonyíték a kompromittációra vagy a szolgáltatás megszakítására.
Tisztviselők szerint az amerikai erőfeszítések „megzavarják” a kommunikációs hálózatokat
Az Egyesült Államok és Izrael is kibertámadásokat hajt végre.
Dan Caine tábornok, Amerika legmagasabb rangú katonatisztje március 2-án kijelentette, hogy az Egyesült Államok Kiberparancsnoksága volt az egyik „első mozgató” az Epic Fury hadműveletben.
A hadosztály megzavarta a kommunikációt és az érzékelőhálózatokat, ami miatt Irán „nem volt képes hatékonyan látni, koordinálni vagy reagálni” – mondta.
Caine nem adott további információt az Egyesült Államok iráni kiberműveleteiről.
Pete Hegseth, az Egyesült Államok védelmi miniszterének március 13-i külön nyilatkozata megerősítette, hogy az Egyesült Államok mesterséges intelligenciát (AI) és kibereszközöket használ az iráni háború részeként.
A Financial Times szerint izraeli kémek állítólag Teherán-szerte feltört közlekedési kamerák információit is felhasználták Ali Khamenei ajatollah lerohanására irányuló terveik elősegítésére.
Egy összehangolt haktivista „műveleti szoba”
A CloudSek szerint több mint 60 haktivista csoportot mozgósítottak az Epic Fury hadművelet első óráiban, és létrehozták a Kiberiszlám Ellenállás nevű koalíciót.
Az Irán-barát kollektíva támadásait a Telegram „elektronikus műveleti helyiségében” szervezi – áll a jelentésben. Csoportjuk „ideológiai kezdeményezésre, nem pedig központi állami irányításra működik”, ami megnehezíti mozgásaik nyomon követését – olvasható a CloudSek jelentésében.
„Ezek a szereplők kevésbé fegyelmezettek, mint az államilag irányított csoportok, potenciálisan meggondolatlanabbak, és nincs politikai korlátjuk a polgári hatásra” – tette hozzá. A csoport szereplői a legvalószínűbb, hogy mesterséges intelligencia segítségével „kompenzálják a hiányzó technikai mélységet”.
A háború első két hetében a Kiber Iszlám Ellenállás több mint 600 különböző támadásért vállalta magára a felelősséget több mint 100 Telegram csatornán az SOC Radar kiberhírszerzési platform szerint.
A csoport a Rafael izraeli védelmi vállalat légvédelmi rendszerein végrehajtott műveletet, a VigilAir nevű drónfelderítő szolgáltatás elleni támadást, valamint egy tel-avivi szálloda elektromos- és vízrendszerei elleni támadást koordinált.
Ugyanez a csoport azt állította, hogy a konfliktus első hétvégéjén feltörte az iráni BadeSaba Calendart, egy népszerű vallási alkalmazást, amelyet több mint ötmillióan töltöttek le a Google Play Áruházban.
A felhasználók olyan értesítéseket kaptak, hogy „A segítség úton van!” és „Itt az idő a számvetésre” – derül ki a közösségi médiában keringő képernyőképekből.
Orosz, szíriai, iraki színészek csatlakoznak a küzdelemhez
A SOC Radar megjegyzi, hogy Iránban kevesebb haktivista vesz részt a konfliktusban az országszerte folyamatos internetes korlátozások miatt, amelyek állításuk szerint megzavarják a távirat-alapú koordinációt.
Ahogy a konfliktus folytatódik, a platform azt mondta, hogy látják az Irán-barát csoportok akcióit Délkelet-Ázsiában, Pakisztánban és a Közel-Kelet más részein.
A Unit 42 kiberbiztonsági cég szerint az Iraki Iszlám Kiberellenállás, amelyet 313-as csapatként ismernek, egy iránbarát sejt, amely felelősséget vállalt a kuvaiti kormány különböző minisztériumainak, köztük a fegyveres erők és a védelmi minisztérium webhelyeinek megcélzásáért. A csoport célba vett román és bahreini oldalakat is.
A DieNet, a közel-keleti gyökerekkel rendelkező Irán-barát hacktivista csoport a bahreini, szaúd-arábiai és az Egyesült Arab Emirátusok repülőtereit ért kibertámadásokért is magára vállalta a felelősséget – írta a 42-es egység fenyegetőzési tájékoztatóján.
Az SOC Radar szerint vannak Irán-barát orosz hackercsoportok is, mint például a NoName057(16), amely csoport többször is támadást hajtott végre Ukrajna ellen.
A NoName057(16) szolgáltatásmegtagadási támadások (DDoS) hullámát indította el az izraeli önkormányzati, politikai, távközlési és védelmi vonatkozású szervezetek, köztük a védelmi vállalkozó Elbit Systems webhelyein a FalconFeeds fenyegetésekkel foglalkozó hírszerzési platform szerint.
Szövetséget kötöttek egy észak-afrikai székhelyű Hider-Nex-szel is, amely állítása szerint több kuvaiti kormányzati webhely domainjét célozta meg az iráni háború alatt az SOC Radar szerint.
Vannak Izrael-barát aktív csoportok, mint például az Anonymous Syria Hackers, amelyek nemrég azt állították, hogy feltörtek egy iráni technológiai céget, és kiszivárogtatták a PayPal-fiókok hitelesítő adatait, e-mailjeit és jelszavait.
A SOC Radar közölte, hogy Izrael a kibertámadásait többnyire az államtól hajtja végre, ami „nagyrészt feleslegessé” teszi a független csoportokat.
A létező Izrael-barát csoportok nagyrészt aluldokumentáltak, mivel nem generálnak riasztásokat az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökségétől (CISA).
