Állami hátterű és hacktivista csoportok kibertámadások sorát vállalják az Egyesült Államok és Izrael ellen az Iránnal vívott háború kezdete óta.
Az amerikai orvostechnológiai vállalat, a Stryker március 11-én megerősítette, hogy kibertámadás zavart okozott globális hálózatában. A cég világszerte dolgozó munkatársai a Handala nevű, Iránhoz köthető hekkercsoport logójával szembesültek a bejelentkezési oldalaikon – írta a Wall Street Journal.
HIRDETÉS
HIRDETÉS
A támadás a Stryker Microsoft-alapú informatikai környezetét érte, de a károk pontos mértéke és a helyreállítás ütemezése továbbra sem ismert.
A Handala magára vállalta a felelősséget, és azt állította, hogy a Microsoft Intune nevű felhőmenedzsment-platformját kihasználva távolról törölt több mint 200 ezer eszközt 79 országban – közölte a SOCRadar kiberfelderítő platform. Az Euronews Next megkereste a Microsoftot az állítások ellenőrzése érdekében.
A csoport szerint az akció válaszcsapás volt egy iráni, minábi lányiskola elleni rakétatámadásra, amelyben több mint 160 ember vesztette életét.
A betörés a kormányzati háttérrel rendelkező és úgynevezett hacktivista csoportok tágabb kiberhadjáratának része, amely az Egyesült Államokat és Izraelt veszi célba az Epic Fury hadműveletre válaszul.
Mely állami szereplők érintettek?
A jelentés (forrás: angol) a CloudSek kiberbiztonsági cégtől azt írja, hogy több, régóta aktív, iráni államhoz köthető csoport lép fel az amerikai létfontosságú infrastruktúra ellen.
Az Iráni Forradalmi Gárda (IRGC) által támogatott csoportok, köztük a CyberAv3ngers, az APT33 és az APT55, az amerikai ipari irányítórendszerek ellen hajtanak végre támadásokat (forrás: angol), vagyis azok ellen a számítógépek ellen, amelyek a víztisztítókat, az áramszolgáltató hálózatokat és a gyártósorokat működtetik.
A jelentés szerint a CyberAv3nger hekkerei alapértelmezett jelszavakkal lépnek be az ipari berendezésekre, majd olyan rosszindulatú programokat telepítenek, amelyek akár át is vehetik az irányítást a rendszerek felett.
Az APT33 különféle, gyakran használt jelszavakkal próbál bejutni amerikai energetikai vállalatok több felhasználói fiókjába, majd azzal kísérli meg kiiktatni a biztonsági rendszereket, hogy kártékony kódot telepít a hálózataikba – áll a dokumentumban.
Az APT55 esetében a csoport kémkedésre specializálódott olyan személyek ellen, akik az amerikai energia- és védelmi szektorhoz köthetők, hogy célkijelöléshez szükséges információkat gyűjtsön az iráni hírszerzés számára – közölte a CloudSek.
Irán Hírszerzési és Biztonsági Minisztériuma (MOIS) olyan csoportokkal is együttműködik, mint a MuddyWater, az APT34 és a Handala, Izrael és az Egyesült Államok ellen.
A MuddyWater feladata a távközlési, az olaj- és gázipari, valamint kormányzati szervezetek megcélozása. Úgynevezett kezdeti hozzáférési brókerként dolgoznak: behatolnak egy hálózatba, jelszavakat gyűjtenek, majd azokat átadják más támadóknak.
A SOC Radar szerint a Handala a Stryker elleni akción túl más támadásokat is magának tulajdonít, például több mint 40 terabájtnyi adat törlését a Jeruzsálemi Héber Egyetem szervereiről, valamint egy, az amerikai telekommunikációs vállalatot, a Verifone-t Izraelben érintő adatbetörést.
Amerikai sajtóbeszámolók szerint azonban a Verifone cáfolta a betörést, és azt közölte, nincs bizonyíték semmilyen kompromittálódásra vagy szolgáltatáskimaradásra.
Amerikai műveletek: tisztségviselők szerint megbénítják a kommunikációs hálózatokat
Kiberakciókat hajt végre az Egyesült Államok és Izrael is.
Dan Caine tábornok, az Egyesült Államok legmagasabb rangú (forrás: angol) katonai vezetője, március 2-i nyilatkozatában (forrás: angol) azt mondta, hogy az amerikai Kiberparancsnokság az Epic Fury hadműveletben az elsők között lépett akcióba.
Elmondása szerint az alakulat megbénította a kommunikációs és szenzorhálózatokat, így Irán „nem volt képes látni, összehangolni vagy érdemben reagálni”.
Caine nem közölt további részleteket az Egyesült Államok Irán elleni kiberakcióiról.
Egy március 13-án kiadott, Pete Hegseth amerikai védelmi miniszter által jegyzett külön közlemény (forrás: angol) megerősítette, hogy az Egyesült Államok mesterséges intelligenciát (MI) és kibereszközöket is bevet az Irán elleni háborúban.
Az izraeli hírszerzés a hírek szerint Teherán-szerte feltört forgalomfigyelő kamerák adatait is felhasználta Ajatollah Ali Hamenei semlegesítésére irányuló terveihez, a Financial Times szerint (forrás: angol).
Koordinált hacktivista „műveleti központ”
A CloudSek szerint az Epic Fury hadművelet első óráiban több mint 60 hacktivista csoportot mozgósítottak, amelyek Cyber Islamic Resistance néven szövetségbe tömörültek.
A jelentés szerint a proiráni kollektíva a Telegramon működő „Elektronikus Műveleti Szobában” szervezi támadásait. A CloudSek úgy fogalmaz, hogy a csoport „inkább ideológiai kezdeményezés alapján működik, mintsem központi állami irányítás alatt”, ami megnehezíti mozgásuk nyomon követését.
„Ezek a szereplők kevésbé fegyelmezettek, mint az államilag irányított csoportok, potenciálisan vakmerőbbek, és nincsenek politikai korlátok a civil lakosságra gyakorolt hatás tekintetében” – teszi hozzá a jelentés. A kollektíva tagjai körében az is valószínű, hogy mesterséges intelligenciát használnak, „hogy ellensúlyozzák a hiányzó technikai mélységet”.
A háború első két hetében a Cyber Islamic Resistance több mint 600 különálló támadásért vállalt felelősséget, több mint 100 Telegram-csatornán – közölte a SOC Radar kiberfelderítő platform.
A csoport magának tulajdonítja egy izraeli védelmi vállalat, a Rafael légvédelmi rendszerei (forrás: angol) elleni műveletet, a VigilAir (forrás: angol) nevű drónészlelő szolgáltatás elleni támadást, valamint egy tel-avivi szálloda áram- és vízellátó rendszere ellen irányuló akció összehangolását.
Ugyanez a csoport azt is állítja, hogy a konfliktus első hétvégéjén feltörte az iráni BadeSaba Calendar alkalmazást, egy népszerű vallási appot, amelyet több mint ötmilliószor töltöttek le a Google Play áruházból.
A közösségi médiában terjedő képernyőfotók szerint a felhasználók olyan értesítéseket kaptak, mint „Úton a segítség!” és „Eljött az elszámolás ideje”.
Orosz, szíriai és iraki szereplők is bekapcsolódnak
A SOC Radar szerint viszonylag kevés, Iránban működő hacktivista vesz részt a konfliktusban az országot sújtó, elhúzódó internetszabályozások miatt, amelyek – állításuk szerint – megzavarják a Telegram-alapú koordinációt.
A platform szerint a harcok elhúzódásával egyre több proiráni csoport tűnik fel Délkelet-Ázsiában, Pakisztánban és a Közel-Kelet más részein.
Az iraki Islamic Cyber Resistance, más néven 313 Team egy proiráni sejt, amely a beszámolók szerint a kuvaiti kormány több minisztériumának – köztük a fegyveres erőknek és a védelmi minisztériumnak – a weboldalait vette célba, a Unit 42 kiberbiztonsági cég szerint (forrás: angol). A csoport romániai és bahreini oldalakat is támadott.
A DieNet, egy egész Közel-Keleten jelen lévő proiráni hacktivista csoport szintén magára vállalta a Bahreinben, Szaúd-Arábiában és az Egyesült Arab Emírségekben található repülőterek elleni kibertámadásokat – írta a Unit 42 egy fenyegetettségi jelentésben.
Vannak proiráni orosz hekkercsoportok is, például a NoName057(16), amely számos támadást hajtott végre Ukrajna ellen – közölte a SOC Radar.
A NoName057(16) túlterheléses (DDoS) támadások hullámát indította el, hogy megbénítsa izraeli önkormányzati, politikai, távközlési és védelmi profilú szervezetek – köztük a védelmi beszállító Elbit Systems – weboldalait, a FalconFeeds fenyegetésfigyelő platform szerint (forrás: angol).
Szövetségben állnak egy észak-afrikai csoporttal, a Hider-Nexszel is, amely azt állítja, hogy az Iránban zajló háború idején több kuvaiti kormányzati honlap domainjeit vette célba – közölte a SOC Radar.
Léteznek aktív, Izrael-párti csoportok is, például az Anonymous Syria Hackers (forrás: angol), amely nemrég azt állította (forrás: angol), hogy feltört egy iráni techcéget, és nyilvánosságra hozta több PayPal-fiók felhasználónevét, e-mail-címét és jelszavát.
A SOC Radar szerint Izrael elsősorban állami szinten hajtja végre kibertámadásait, ami miatt a független csoportok „nagyrészt fölöslegessé válnak”.
Az Izrael-barát csoportokról ezért kevés dokumentáció áll rendelkezésre, mivel tevékenységük nem vált ki riasztásokat az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökségnél (CISA).