Asymetryczna wojna w sieci. Irańskie grupy APT rzucają wyzwanie globalnej gospodarce

Spis treści

Spis treści

Mirosław Maj i Robert Kośla z Fundacji Bezpieczna Cyberprzestrzeń

Czy w czasie wojny na Bliskim Wschodzie powinniśmy obawiać się irańskich operacji w cyberprzestrzeni? Rozmowa z Mirosławem Majem i Robertem Koślą z Fundacji Bezpieczna Cyberprzestrzeń.

Czy potencjał irańskich grup APT jest istotny? Czy może jeszcze wpływać na losy obecnej wojny?

Mirosław Maj: Choć w przypadku otwartego konfliktu kinetycznego cyberataki schodzą na drugi plan, to ich znaczenie w strategii Iranu jest ogromne. Iran od około 15 lat, szczególnie od czasu ataku wirusem Stuxnet na jego infrastrukturę nuklearną, z determinacją buduje swoją pozycję w sieci.

Nie jest to może marka najsilniejsza technologicznie – Irańczycy rzadko wymyślają najbardziej wyrafinowane metody ataku – ale nadrabiają to ogromnym „apetytem na destrukcję” i agresywnością. Grupy lub operacje takie, jak Charming Kitten, Educated Manticora czy Muddy Water stosują sprawdzone metody – ransomware, ataki DDoS czy phishing, robiąc to z dużą konsekwencją.

Robert Kośla: Model działania Iranu opiera się na budowaniu asymetrii. Wiedzą, że są słabsi w klasycznym wymiarze wojskowym, dlatego inwestują w cyberprzestrzeń, gdzie relatywnie niewielkim nakładem środków mogą wyrządzić ogromne szkody. Struktura tych działań jest redundantna i rozproszona między trzy główne ośrodki: Ministerstwo Wywiadu i Bezpieczeństwa (MOIS), Korpus Strażników Rewolucji oraz paramilitarny Basidż. Uderzenie w jedną grupę nie paraliżuje całości operacji.
Iran jako jedno z niewielu państw wykorzystuje model grup proxy. Wspierają hakerów działających w Jemenie, Libanie (pod egidą Hezbollahu) czy w Strefie Gazy (Hamas), co odzwierciedla ich strategię militarną.

Jakie cele wybierają irańscy hakerzy? Czy biznes powinien czuć się zagrożony?

Robert Kośla: Zdecydowanie tak. Przykładem jest amerykańska firma medyczna Stryker, która padła ofiarą ataku odwetowego, gdy Irańczycy nie mogli uderzyć bezpośrednio w przemysł zbrojeniowy (zaatakowany Stryker to firma medyczna, która nosi taka samą nazwę jak amerykański wóz bojowy piechoty dostarczany przez firmę GDLS – przyp. red.). Wykradziono dane i zniszczono systemy. Irańskie operacje mają często charakter geograficzny. Ich głównym celem jest Izrael oraz sojusznicy USA w regionie, jak Arabia Saudyjska czy Zjednoczone Emiraty Arabskie. Pamiętamy atak na Saudi Aramco, gdzie użyto oprogramowania typu „wiper”, niszcząc 30 000 komputerów.

Mirosław Maj: Warto też wspomnieć o atakach motywowanych ideologicznie lub osobistą zemstą. W USA zaatakowano firmę miliardera Sheldona Adelsona Las Vegas Sands tylko dlatego, że krytykował on Iran w mediach. Irańczycy są bardzo systematyczni w nękaniu swoich adwersarzy, zarówno państwowych, jak i prywatnych.

Widzimy nowe, niebezpieczne trendy, jak kampanie zastraszania prowadzone przez grupę Handala. Ujawniają oni dane żołnierzy (np. amerykańskich w Bahrajnie) czy próbują hakować telefony polityków, używając do tego kanałów na Telegramie i WhatsAppa.

Szczególnie głośny był przypadek Albanii. Dlaczego to państwo stało się celem tak zmasowanego ataku?

Robert Kośla: Albania przyjęła irańskich dysydentów, co stało się zarzewiem konfliktu. Atak z lipca 2022 roku był przygotowywany przez rok. Wykorzystano fakt, że Albania jest państwem o wysokim poziomie cyfryzacji usług publicznych. Grupa działająca pod szyldem „Homeland Justice” próbowała udawać wewnętrzną opozycję, paraliżując usługi cyfrowe państwa.

Doprowadziło to do zerwania stosunków dyplomatycznych i pierwszej w historii NATO prośby o przywołanie Artykułu 5. w kontekście cyberataku. Choć artykułu nie uruchomiono, Albania otrzymała potężne wsparcie technologiczne i finansowe od USA na modernizację cyberbezpieczeństwa.


A co z działaniami skierowanymi do wewnątrz? Czy irańskie APT atakują też własnych obywateli?

Mirosław Maj: Tak, to bardzo ważny wątek. W 2012 roku doszło do jednego z najpoważniejszych ataków w historii internetu – włamania do holenderskiej firmy DigiNotar, wystawcy certyfikatów bezpieczeństwa. Irańczycy przejęli te certyfikaty, by móc śledzić komunikację własnych obywateli, co ostatecznie doprowadziło do bankructwa holenderskiej firmy.

Jak wygląda sytuacja Polski? Czy jesteśmy na celowniku Teheranu?

Robert Kośla: Jesteśmy bliskim sojusznikiem USA, co automatycznie stawia nas w polu zainteresowania irańskich służb. Potencjalne cele w Polsce to przede wszystkim sektor energetyczny (gazociąg Baltic Pipe, import gazu z USA), sektor rządowy oraz infrastruktura logistyczna, jak lotniska i koleje. Już w 2020 roku, po eliminacji generała Solejmaniego, realnie obawiano się irańskiego odwetu na polską administrację.

Mirosław Maj: Mamy już konkretne przykłady działań. W latach 2019–2021 grupa Charming Kitten przeprowadzała ataki phishingowe na uczestników konferencji bliskowschodnich w Polsce. Doszło też do próby ataku na Instytut Badań Jądrowych w Świerku.

Jak możemy się bronić przed tak zdeterminowanym przeciwnikiem?

Robert Kośla: Naszym atutem jest budowa Krajowego Systemu Cyberbezpieczeństwa od 2018 roku oraz nowelizacja ustawy (KSC 2.0), która zwiększa liczbę nadzorowanych sektorów i usprawnia wymianę informacji o zagrożeniach. Administracja jest już przyzwyczajona do stanów alarmowych, co zwiększa naszą czujność.

Mirosław Maj: Musimy docenić determinację Irańczyków. Wyzwaniem na przyszłość będzie wykorzystanie sztucznej inteligencji. Zarówno w ataku, jak i w obronie, co całkowicie zmieni architekturę bezpieczeństwa w sieci.


Na podstawie rozmowy z cyklu „Cyber Wnet” w audycji Limes inferior w Radio Wnet, we współpracy z Fundacją Bezpieczna Cyberprzestrzeń.

Wróć na górę strony