Meghekkelt imanaptár, elszabadult iráni tinihekkerek – a kibertérben is felpörgött a közel-keleti háború
Szombaton kora reggel Izrael és az Egyesült Államok megtámadta Iránt, így aznap Teheránban és más városokban is robbanásokra ébredtek az emberek. Pár órával később több millió ember kapott push értesítést a telefonjára, de nem a kormány vagy valamelyik hivatalos szerv írt benne arról, hogy hova meneküljenek vagy mit tegyenek most. Ehelyett a BadeSaba Calendar nevű, alapjáraton a napi imákra emlékeztető alkalmazás küldött rengeteg értesítést arról, hogy a segítség megérkezett, a katonák tegyék le a fegyvereiket, az emberek pedig csatlakozzanak a felszabadító erőkhöz, ha kedves az életük.
A BadeSaba Calendar természetesen nem magától küldte ki ezeket az üzeneteket, hanem meghekkelték. A kiberbiztonsági szakértők a kezdetektől fogva egyetértettek abban, hogy ez előre kitervelt támadás volt, és bár azt hivatalosan azóta sem tudni, hogy ki áll mögötte, a Hunter Strategy nevű kiberbiztonsági cég vezetője már aznap azt mondta, hogy szinte biztosan izraeli akcióról van szó. A Reuters szerint nem ez volt az egyetlen kibertámadás, ami Iránt érte szombaton, több állami hírügynökség, köztük az IRNA és az ISNA honlapja is elérhetetlenné vált, vagy rezsimellenes üzenetek jelentek meg rajtuk.
Szombaton az internet is szinte teljesen leállt Iránban, és azóta sem nagyon tért magához, a Netblocks nevű független internetfigyelő cég hétfőn arról írt, hogy már 60 órája tart a leállás. A cég ezt az iráni kormány számlájára írta, és bár az időközben lefejezett vezetés nem kommentálta ezt, volt benne ráció – a rezsim korábban is nyúlt ehhez a megoldáshoz, amikor kritikussá vált a helyzet, például a januári tüntetéseknél is. Ezt támasztja alá, hogy valamennyi forgalom azért így is megy az országba, egy elemző szerint azért, mert Irán nemrég kidolgozott egy rendszert, amellyel a kormányhoz hű emberek hozzáférhetnek az internethez.
Az internet szinte teljes leállása ráadásul az Iránban élőknek a legrosszabb, hiszen így nemcsak kommunikálni és segítséget kérni nem tudnak, hanem az események dokumentálása is sokkal nehezebbé válik.
Egy, a CNBC-nek nyilatkozó kiberbiztonsági szakértő szerint ugyanakkor most az amerikai–izraeli támadások is bizonyára hozzájárulnak a kimaradáshoz, hiszen a telekommunikációs infrastruktúrát biztosan támadták a támadás megindításakor, hogy megzavarják az Iráni Forradalmi Gárda kommunikációját. Ez azért fontos, mert az elemzők abban is egyetértenek, hogy bár Irán a tavalyi, nukleáris létesítményekre mért amerikai légi csapásra érdemben nem reagált a kibertérben, most biztosan fog. Mármint azon túl is, amit eddig tett, mert már vasárnap is több kibertámadást indítottak, többek közt jordániai benzinkutak, valamint amerikai és izraeli katonai beszállítók ellen.
A Flashpoint nevű kiberbiztonsági cég szerint ezeket a támadásokat az angolul Great Epic névre keresztelt hadművelet keretében hajtotta végre a Cyber Islamic Resistance nevű csatorna ernyője alatt működő, mérsékelten koordinált hekkercspoport. A cég szakértője, Kathryn Raines a Fortune-nek vasárnap azt mondta, ezek a hekkerek főként a Redditen és a Telegramon aktívak, a következő időszakban pedig a BadeSaba elleni támadásból inspirálódva hajthatnak végre támadásokat. Ez azért volt hatékony, mert az alkalmazást jellemzően a vallásosabb, a rezsimet nagyobb eséllyel támogató irániak használták, az iráni hekkercsoportok pedig könnyen találhatnak alkalmazásokat, amik meghekkelésével hasonló mentális hadviselésbe foghatnak.
Raines azt is hozzátette, hogy szerinte a legtöbb cég nincs felkészülve az ilyen jellegű támadásokra, amik elsősorban pszichológiai kárt okoznak az embereknek, és erodálják az általuk használt szolgáltatásokba vetett hitüket. Ez különösen veszélyes lehet a Perzsa-öböl országaiban, ahol az emberek akár deepfake üzeneteket is kaphatnak az őket foglalkoztató cég vezetőjétől, hogy azonnal evakuáljanak – a régióban jelenleg ezt különösen nehéz lehet ellenőrizni. Ez a módszer a mesterséges intelligencia fejlődésével csak még jobb lett az elmúlt években, és ugyanezt lehet elmondani az adathalász emailekről is.
A szakértő szerint azt is fontos kiemelni, hogy mivel az iráni vezetés nagy részét likvidálták a támadásokban, az eleve kis, sokszor nem is közvetlenül a kormány alá tartozó csoportokból álló iráni hekkerközösség teljesen önjáróvá válhat, és a saját belátása szerint választhat célpontokat. Így előfordulhat, hogy egy különösen agresszív sejt támadást indít mondjuk egy logisztikai cég ellen, aminek az egész világon érezhető hatásai lehetnek. Elég csak arra gondolni, hogy tavaly egy egyetlen céget ért kibertámadás okozott láncreakciót az európai reptereken, és tavalyelőtt is történt hasonló eset. „Jelenleg egy Telegramon lógó 19 éves hekker kezében van a döntés” – mondta Raines.
Brian Carbaugh, az MI-alapú kiberbiztonsággal foglalkozó Andesite vezérigazgatója a Fortune-nek hasonlóan nyilatkozott, mint mondta, erre mindenkinek fel kell most készülnie. Carbaugh arról is beszélt, hogy mivel az irániak fizikai csapásmérő eszközei egyre komolyabb károkat szenvednek, valószínűleg egyre nagyobb eséllyel fognak az olcsó, nehezen beazonosítható kibertámadásokhoz nyúlni. Szerinte Irán korábban bizonyította, hogy képes komolyabb támadásokat is végrehajtani, akár az orosz módszereket másolva vagy azokra építkezve. Hozzátette, hogy Irán mindig is büszke volt a kiberképességeire, a vezetés kiiktatásának pedig még pozitív hatása is lehet erre.
Így teljesen érthető, hogy többek közt John Hultquist, a Google kiberhírszerző szervezetének vezetője is felhívta a figyelmet, hogy első körben az iráni rakétákkal is célba vett szomszédos országoknak, azaz Kuvaitnak, az Egyesült Arab Emírségeknek, Katarnak, Bahreinnek és Jordániának biztosan agresszív kibertámadásokkal kell majd szembenéznie. Hultquist az Infosecuritynek azt mondta, az állami és a nem állami hekkercsoportok között Iránban régóta elmosódott már a határ, ezért hekktivizmusnak (aktivisták politikai indíttatású támadásának) és zsarolóvírusnak beállított támadásokra is számít.
Hultquist a Registernek ugyanakkor azt is elmondta, hogy Irán korábban gyakran eltúlozta a kibertámadásai eredményességét, így érdemes minden erre vonatkozó állítást fenntartásokkal kezelni. Különösen azért érdemes megvárni a megerősítést minden támadásnál, mert a dezinformáció terjesztésében nagyon jó az ország, és pont azt akarják elérni, hogy egy ilyen támadásnak már a híre is pánikot keltsen. Az viszont a lap szerint is egyértelmű, hogy Irán feljebb kapcsolt a kibertérben, az ismertebb iráni hekkercsoportokról külön cikket író kiberbiztonsági céget, a Checkpointot idézve ők is megemlítették, hogy a Cotton Sandstorm néven ismert csapat reaktiválta a több mint egy éve inaktív, főleg Bahreint célzó, Altoufan Team nevű álnevét is.
