Kiedy w sobotę rano ataki dotknęły Teheran, miliony Irańczyków otrzymało na swoich telefonach dziwne powiadomienie. Aplikacja modlitewna BadeSaba Calendar, którą pobrano ponad 5 milionów, została zaatakowana i wyświetliła alerty z informacją: „Pomoc nadeszła!”. i wezwali do utworzenia „Armii Ludowej” w celu obrony swoich „irańskich braci” – wynika z oceny firmy cyberwywiadowczej Flashpoint. W niedzielę aplikacja wysłała instrukcje dotyczące kapitulacji szeregowym członkom Korpusu Strażników Rewolucji Islamskiej oraz bezpiecznym miejscom gromadzenia się protestujących.
Następnie lojaliści reżimu szybko przeprowadzili kontratak.
Według Flashpoint w niedzielę doszło do „najbardziej agresywnego” jak dotąd wykorzystania tak zwanej irańskiej kampanii cybernetycznej „Grand Epic”, która jest luźno skoordynowaną grupą cyberoperatorów w ramach kanału zwanego „Islamic Cyber Resistance”. Pod patronatem tej grupy kilku cyberprzestępców zamknęło stacje benzynowe w Jordanii i poprowadziło ataki na amerykańskich i izraelskich dostawców wojskowych w celu zniszczenia danych i przeprowadzenia operacji psychologicznych naśladujących włamanie do BadeSaba.
Następne 48 godzin będzie prawdopodobnie okresem „skrajnej zmienności”, ponieważ haktywiści i ich pełnomocnicy „przejmą inicjatywę w eskalacji mającej na celu wypełnienie pustki pozostawionej przez centralne dowództwo Teheranu” – zauważył Flashpoint w aktualizacji. Podmioty te rzekomo wykorzystują Telegram i Reddit jako centrum koordynacyjne, publikując zrzuty ekranu z rzekomych ataków jako dowód, chociaż weryfikacja dokładności zajmuje tygodnie, a czasem miesiące, powiedziała Kathryn Raines, była ekspertka NSA, która obecnie kieruje zespołem ds. analizy zagrożeń we Flashpoint.
Hack BadeSaba demonstruje model, który irańskie grupy proxy mogłyby teraz próbować wdrożyć w odwrotny sposób w stosunku do zachodnich i innych firm. Co więcej, gdy irańskie przywództwo zostało skutecznie zdziesiątkowane w wyniku sobotnich ataków, struktura dowodzenia nadzorująca cyberoperacje Teheranu praktycznie zniknęła, powiedział Raines.
„Próżnia przywództwa Iranu prawdopodobnie doprowadzi do bardziej zdecentralizowanych i nieprzewidywalnych ataków proxy” – powiedział Fortune.
W praktyce oznacza to, że zjednoczeni haktywiści i grupy zastępcze podejmują własne decyzje dotyczące swoich celów, bez zgody władz centralnych. Jeśli więc bardzo agresywna grupa zdecyduje się zaatakować średniej wielkości firmę logistyczną w celu złożenia oświadczenia, ryzyko wykracza poza Teheran, Waszyngton czy Nowy Jork, powiedział Raines.
„Jest w rękach 19-letniego hakera w pokoju Telegramu bez nadzoru i wskazówek” – ostrzegł.
W rezultacie amerykańscy liderzy biznesu muszą być przygotowani na ciągłą niepewność, powiedział Brian Carbaugh, współzałożyciel i dyrektor generalny firmy Andesite zajmującej się bezpieczeństwem opartej na sztucznej inteligencji oraz były dyrektor elitarnego Centrum Działalności Specjalnej (SAC) CIA. Irańczycy przez lata konsekwentnie udowadniali, że są niezwykle odporni jako rząd i siła oporu. A ponieważ reżim bombarduje swoich sąsiadów, ludzie powinni oczekiwać, że Iran będzie w dalszym ciągu uwalniał swoje potężne ofensywne zdolności cybernetyczne, oprócz innych aspektów władzy narodowej, takich jak rakiety i uzbrojone siły zastępcze na całym świecie, powiedział.
„Agresywny i kreatywny opór jest wbudowany w etos irańskiego aparatu bezpieczeństwa i całej Islamskiej Republiki Iranu” – powiedział Carbaugh, który wcześniej był szefem sztabu dwóch dyrektorów CIA. „Liderzy biznesu i ci, którzy chronią firmy i podejmują decyzje na bardzo wysokim szczeblu, muszą być przygotowani na to, że to potrwa jeszcze jakiś czas i że konflikt przybierze inne kierunki i zejdzie z obranej ścieżki”.
Carbaugh stwierdził, że skoro ataki USA i Izraela degradują konwencjonalne zdolności wojskowe Iranu, cyberataki wydają się atrakcyjniejsze. Jest niski koszt wdrożenia, trudny do przypisania i niezwykle zdolny do tworzenia ogromnych zakłóceń psychologicznych i operacyjnych w stosunku do wymaganej inwestycji. Iran pokazał, że potrafi naśladować i wykorzystywać metody cyberataków zaprezentowane po raz pierwszy np. przez Rosję.
„Republika Islamska zawsze była bardzo dumna z możliwości cybernetycznych służb bezpieczeństwa” – powiedział Carbaugh. Ta duma prawdopodobnie nie wyparuje wraz z utratą kierownictwa wyższego szczebla i może się nasilić, gdy zawężą się inne opcje.
Według Rainesa większość korporacyjnych planów bezpieczeństwa nie jest gotowa na ataki takie jak włamanie BadeSaba, w wyniku którego wysłano powiadomienie do potencjalnie milionów muzułmanów w Iranie, którzy korzystają z aplikacji do śledzenia codziennych harmonogramów zajęć religijnych w momencie rozpoczęcia ataków.
„Firmy nie są tak naprawdę przygotowane na to, co nazywam nihilistycznymi operacjami psychologicznymi, które w rzeczywistości mają na celu atak na stan psychiczny i pewność siebie pracowników” – wyjaśnił, porównując je do ataków mających na celu kradzież danych i wyłączenie systemów.
Niewiele firm ma plany dotyczące tego, jaka będzie rzeczywistość dla pracowników w nadchodzących godzinach, podczas gdy modele ryzyka często opierają się na zachowaniu państwa i zakładają „czerwone linie”, które pozwalają uniknąć wojny totalnej, powiedział Raines.
Przewiduje, że kluczowe pytania dla zarządów i kadry kierowniczej wyższego szczebla, które odbędą się w przyszłym tygodniu, będą dotyczyły maksymalnego czasu, przez jaki funkcje biznesowe mogą pozostać w trybie offline, zanim będzie to miało wpływ na przychody i reputację.
„Mniej interesuje nas liczba wypadków, a bardziej czas regeneracji” – powiedział Raines.
Carbaugh powiedział, że gdyby był w tym tygodniu na posiedzeniu zarządu, chciałby wiedzieć, czy ryzyko w tej działalności jest podwyższone, biorąc pod uwagę wydarzenia w Iranie. Jeśli odpowiedź brzmi „tak”, chciałbyś wiedzieć, jakie działania podejmuje się, aby temu zaradzić. Jeśli odpowiedź brzmi nie, zadałbym jeszcze więcej pytań.
Liderzy powinni dowiedzieć się, jakie kroki podjęto, aby zapewnić, że firmy nie są zagrożone, dowiedzieć się, w jaki sposób firmy nawiązały współpracę z partnerami i innymi osobami, aby dowiedzieć się, w jaki sposób wykrywają ataki, oraz w jaki sposób sztuczna inteligencja jest obecnie wykorzystywana do tego celu, powiedział Carbaugh.
Powtórzył, że nie jest to kryzys, który da się rozwiązać w krótkim terminie i powoduje ryzyko cybernetyczne, które nie zniknie natychmiast.
„Ten konflikt może przybrać wiele zwrotów i potoczyć się w wielu różnych kierunkach” – powiedział Carbaugh. „Nie sądzę, że jest to problem, który uda nam się dobrze zakończyć i zostawić za sobą w ciągu kilku dni. Będzie to wymagało ciągłej czujności i ochrony naszych sieci cybernetycznych, bezpieczeństwa fizycznego i wszystkich innych zasobów”.
