Иран го користи сајбер-просторот за поддршка на кинетички напади

Државата применува „сајбер-поддржано кинетичко таргетирање“ пред — и по — реални ракетни напади врз бродови и копнени цели.

Иранските напредни постојани заканувачки групи (APT) користеле сајбер-напади за извидување на цели пред реални напади со цел подобрување на операциите, како и по кинетичките удари за процена на штетата, со што Иран станува најновата држава што ги комбинира сајбер-нападите и воените операции, според експертите за сајбер-конфликти.

Во анализа од 19 ноември, Amazon искористил податоци од својата огромна cloud мрежа за да ги поврзе сајбер-настаните со воените операции, истакнувајќи два случаи во кои Иран користел сајбер-напади за извидување на реални цели — хакирање на системи на бродови пред ракетен напад и компромитирање на CCTV камери во Израел пред и за време на ракетните напади врз Ерусалим. Напаѓачите користеле VPN мрежи, наменска серверска инфраструктура и компромитирани корпоративни системи за изградба на својата нападна инфраструктура.

Нарекувајќи ја стратегијата „фундаментална промена во начинот на кој државните актери пристапуваат кон војувањето“, истражувачите на Amazon овој пристап го нарекоа „сајбер-поддржано кинетичко таргетирање“.

„Традиционалните рамки за сајбер-безбедност често ги третираат дигиталните и физичките закани како одделни домени, [но] истражувањето на Amazon покажува дека оваа поделба сè повеќе е вештачка“, наведуваат истражувачите. „Повеќе државни заканувачки групи развиваат нов оперативен модел каде што сајбер-извидувањето директно овозможува кинетичко таргетирање.“

Amazon не е единствената компанија што предупредува на вакви напади, ниту пак Иран е единствената земја позната по нивната употреба.

Повеќето ирански групи веројатно се обидуваат да компромитираат уреди за да обезбедат „теренски“ разузнавачки информации за иранската војска, вели Сергеј Шикевич, менаџер на група за разузнавање на закани во компанијата Check Point Software. За време на 12-дневната војна минатиот јуни, искористувањето на ранливости во IP камерите во Израел се зголемило 15 пати, вели тој.

„Знаеме дека најголемиот дел од тоа беше поврзано со конкретни ирански групи“, вели Шикевич. „Дефинитивно забележавме нагло зголемување во таргетирањето на камери во Израел.“

Поврзување на коцките

Иако и други земји веројатно ги користат истите тактики, Amazon успеал да добие увид во иранските активности поради својот длабински преглед низ сопствената мрежа и мрежите на клиентите. Истражувачите за закани користеле телеметрија од honeypot системи за да детектираат сомнителни обрасци, инфраструктура на заканувачите и топологија на командно-контролните мрежи. Податоците од клиенти кои доброволно се вклучиле и размена на информации со индустриски партнери обезбедиле дополнителни делови од мозаикот.

Во еден случај, истражувачите детектирале како групата Imperial Kitten, поврзана со Иранската револуционерна гарда (IRGC), ја компромитирала платформата Automatic Identification System (AIS) за различни поморски пловила, почнувајќи од декември 2021 година. Во некои случаи, напаѓачите добиле пристап и до CCTV камери на бродовите. Активноста продолжила, а во јануари 2024 година напаѓачите се фокусирале на конкретен брод. Пет дена подоцна, Хутите го таргетирале бродот со ракетен напад, кој „на крајот бил неефикасен“, наведуваат истражувачите на Amazon.

„Овој случај покажува како сајбер-операциите можат да им обезбедат на противниците прецизни разузнавачки информации потребни за насочени физички напади врз поморската инфраструктура — клучна компонента на глобалната трговија и воената логистика“, наведуваат истражувачите.

Во втор инцидент, истражувачите ги следеле обидите на групата MuddyWater, поврзана со иранското Министерство за разузнавање и безбедност (MOIS), да користи live преноси од компромитирани CCTV сервери во Ерусалим за помош при таргетирање и процена на штетата од масовен ракетен напад врз градот.

Amazon ги разликува овие сајбер-поддржани кинетички таргетирања од други мешани форми на воени операции, како што е хибридното војување — термин кој е премногу широк — и сајбер-кинетичките операции, кои обично се однесуваат на сајбер-напади што предизвикуваат реална физичка штета.

Мешано војување

И други земји користат сајбер-поддржано таргетирање, но веројатно не во мерата во која тоа го прави Иран или ќе продолжи да го прави. За време на руската инвазија на Украина, „немаше статистички значајна разлика во таргетирањето пред и по инвазијата“, според труд за руско-украинската војна објавен од Центарот за меѓународни и стратешки студии (CSIS) во јули 2023 година.

„Корисноста на сајбер-операциите лежи повеќе во создавање услови и разузнавање отколку во директна примена за време на големи борбени операции“, се наведува во трудот. „Иако сајбер-поддржаното таргетирање ја поддржува борбата, податоците покажуваат дека поголемите сајбер-кампањи не се менуваат радикално за време на војна.“

Сепак, Иран сè повеќе се наоѓа изолиран со помалку сојузници спремни да дејствуваат надвор од неговите граници, вели Алексис Рапен, аналитичар за сајбер-закани во компанијата ESET. Израелските напади врз Хезболах во Либан ги ослабнале тие сојузници на Иран, додека земјата морала да ги повлече силите од Сирија. Додека Иран продолжува да ја зајакнува својата мрежа на сојузници, сајбер-извидувањето и шпионажата овозможуваат дејствување на далечина, вели тој.

„Сајберот може да биде алтернатива за компензирање на ова губење на видливост на терен и, на пример, губење на човечки разузнавачки извори“, вели тој. „Една од додадените вредности на сајбер-шпионажата е тоа што … овозможува речиси реално-временско следење на ситуацијата.“

Барајќи ги овие и други придобивки, Иран ќе продолжи да експериментира со тоа што сè може да постигне сајбер-просторот, додава Рапен.

Извори:

• Darkreading – Iran Exploits Cyber Domain to Aid Kinetic Strikes Darkreading