Από το πλήγμα στη Stryker έως τη δράση κρατικών και «χακτιβιστικών» ομάδων – Στο στόχαστρο ΗΠΑ και Ισραήλ
Η αμερικανική εταιρεία ιατρικής τεχνολογίας Stryker επιβεβαίωσε στις 11 Μαρτίου ότι κυβερνοεπίθεση διέκοψε τη λειτουργία του παγκόσμιου δικτύου της. Εργαζόμενοι σε γραφεία της εταιρείας εντόπισαν το λογότυπο της ομάδας Handala, που συνδέεται με το Ιράν, στις σελίδες σύνδεσης, σύμφωνα με τη Wall Street Journal.
ΔΙΑΦΉΜΙΣΗ
ΔΙΑΦΉΜΙΣΗ
Η επίθεση στόχευσε το περιβάλλον της Microsoft της Stryker, ενώ το πλήρες εύρος της ζημιάς και το χρονοδιάγραμμα αποκατάστασης παραμένουν ασαφή.
Η Handala ανέλαβε την ευθύνη, υποστηρίζοντας ότι εκμεταλλεύτηκε την πλατφόρμα διαχείρισης cloud της Microsoft, Intune, για να διαγράψει εξ αποστάσεως περισσότερες από 200.000 συσκευές σε 79 χώρες, σύμφωνα με την πλατφόρμα κυβερνοπληροφοριών SOCRadar. Το Euronews Next επικοινώνησε με τη Microsoft για επιβεβαίωση του ισχυρισμού.
Η ομάδα δήλωσε ότι η επιχείρηση αποτέλεσε αντίποινα για πυραυλική επίθεση σε σχολείο θηλέων στη Μιναμπ του Ιράν, η οποία στοίχισε τη ζωή σε περισσότερους από 160 ανθρώπους.
Η παραβίαση εντάσσεται σε ένα ευρύτερο κύμα κυβερνοεπιχειρήσεων από ομάδες που συνδέονται με κράτη και «χακτιβιστές», με στόχο τις Ηνωμένες Πολιτείες και το Ισραήλ, ως απάντηση στην επιχείρηση Epic Fury.
Ποιοι κρατικοί δρώντες εμπλέκονται
Έκθεση της εταιρείας κυβερνοασφάλειας CloudSek αναφέρει ότι αρκετές μακροχρόνιες ομάδες συνδεδεμένες με το ιρανικό κράτος δρουν κατά κρίσιμων υποδομών των ΗΠΑ.
Ομάδες που υποστηρίζονται από τους Φρουρούς της Ισλαμικής Επανάστασης (IRGC), όπως οι CyberAv3ngers, APT33 και APT55, έχουν εξαπολύσει επιθέσεις σε αμερικανικά βιομηχανικά συστήματα ελέγχου – δηλαδή στους υπολογιστές που διαχειρίζονται φυσικές υποδομές όπως μονάδες επεξεργασίας νερού, δίκτυα ηλεκτρικής ενέργειας και γραμμές παραγωγής.
Οι χάκερ της CyberAv3ngers εισέρχονται σε βιομηχανικά μηχανήματα χρησιμοποιώντας προεπιλεγμένους κωδικούς και εγκαθιστούν κακόβουλο λογισμικό που δυνητικά μπορεί να ελέγχει τα συστήματα αυτά.
Η APT33 χρησιμοποιεί κοινά passwords για να αποκτήσει πρόσβαση σε πολλαπλούς λογαριασμούς εταιρειών ενέργειας στις ΗΠΑ και στη συνέχεια επιχειρεί να καταρρίψει συστήματα ασφαλείας εγκαθιστώντας κακόβουλο λογισμικό.
Στην περίπτωση της APT55, η ομάδα πραγματοποιεί κυβερνοκατασκοπεία εναντίον προσώπων που συνδέονται με τους τομείς ενέργειας και άμυνας των ΗΠΑ, συλλέγοντας πληροφορίες για τις ιρανικές υπηρεσίες πληροφοριών.
Το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS) συνεργάζεται επίσης με ομάδες όπως οι MuddyWater, APT34 και Handala κατά του Ισραήλ και των Ηνωμένων Πολιτειών.
Η MuddyWater στοχεύει τηλεπικοινωνίες, πετρέλαιο και φυσικό αέριο, καθώς και κυβερνητικούς οργανισμούς, λειτουργώντας ως «broker αρχικής πρόσβασης», δηλαδή συλλέγοντας κωδικούς μέσω παραβιάσεων και μεταβιβάζοντάς τους σε άλλους επιτιθέμενους.
Η Handala έχει αναλάβει την ευθύνη και για άλλες επιθέσεις πέραν της Stryker, όπως τη διαγραφή άνω των 40 terabytes δεδομένων από διακομιστές του Εβραϊκού Πανεπιστημίου της Ιερουσαλήμ και παραβίαση της εταιρείας Verifone στο Ισραήλ.
Ωστόσο, αμερικανικά μέσα μεταδίδουν ότι η Verifone διέψευσε την παραβίαση, υποστηρίζοντας ότι δεν υπάρχουν αποδείξεις παραβίασης ή διακοπής υπηρεσιών.
Αμερικανικές επιχειρήσεις: «Διατάραξη» δικτύων επικοινωνίας
Οι Ηνωμένες Πολιτείες και το Ισραήλ διεξάγουν επίσης κυβερνοεπιθέσεις.
Ο ανώτατος στρατιωτικός των ΗΠΑ, στρατηγός Νταν Κέιν, δήλωσε στις 2 Μαρτίου ότι η Διοίκηση Κυβερνοχώρου των ΗΠΑ ήταν από τους «πρώτους που κινήθηκαν» στην επιχείρηση Epic Fury.
Όπως ανέφερε, η μονάδα διέκοψε δίκτυα επικοινωνίας και αισθητήρων, αφήνοντας το Ιράν «χωρίς τη δυνατότητα να βλέπει, να συντονίζεται ή να ανταποκρίνεται αποτελεσματικά».
Ο Κέιν δεν έδωσε περαιτέρω λεπτομέρειες για τις αμερικανικές επιχειρήσεις στον κυβερνοχώρο.
Σε ξεχωριστή δήλωση στις 13 Μαρτίου, ο υπουργός Άμυνας των ΗΠΑ Πιτ Χέγκσεθ επιβεβαίωσε ότι οι ΗΠΑ χρησιμοποιούν τεχνητή νοημοσύνη (AI) και κυβερνοεργαλεία στον πόλεμο στο Ιράν.
Παράλληλα, σύμφωνα με τους Financial Times, Ισραηλινοί κατάσκοποι φέρεται να χρησιμοποίησαν δεδομένα από χακαρισμένες κάμερες κυκλοφορίας στην Τεχεράνη για να υποστηρίξουν σχέδια εξόντωσης του αγιατολάχ Αλί Χαμενεΐ.
«Αίθουσα επιχειρήσεων» χακτιβιστών
Περισσότερες από 60 ομάδες χακτιβιστών κινητοποιήθηκαν τις πρώτες ώρες της επιχείρησης Epic Fury και συγκρότησαν συμμαχία με την ονομασία Cyber Islamic Resistance, σύμφωνα με την CloudSek.
Το φιλοϊρανικό αυτό δίκτυο οργανώνει τις επιθέσεις του μέσω «Ηλεκτρονικής Αίθουσας Επιχειρήσεων» στο Telegram. Σύμφωνα με την έκθεση, λειτουργεί με ιδεολογική πρωτοβουλία και όχι υπό κεντρική κρατική καθοδήγηση, γεγονός που καθιστά δύσκολη την παρακολούθησή του.
«Οι δρώντες αυτοί είναι λιγότερο πειθαρχημένοι από κρατικά καθοδηγούμενες ομάδες, δυνητικά πιο απερίσκεπτοι και χωρίς πολιτικούς περιορισμούς ως προς τις επιπτώσεις σε αμάχους», επισημαίνεται.
Τα μέλη της συμμαχίας θεωρούνται επίσης τα πιο πιθανά να χρησιμοποιούν τεχνητή νοημοσύνη, προκειμένου να αντισταθμίσουν την περιορισμένη τεχνική τους εξειδίκευση.
Στις πρώτες δύο εβδομάδες του πολέμου, η Cyber Islamic Resistance ανέλαβε την ευθύνη για περισσότερες από 600 επιθέσεις μέσω άνω των 100 καναλιών στο Telegram, σύμφωνα με τη SOC Radar.
Μεταξύ άλλων, έχει αναλάβει επιθέσεις κατά των συστημάτων αεράμυνας της ισραηλινής εταιρείας Rafael, της υπηρεσίας ανίχνευσης drones VigilAir και των δικτύων ηλεκτροδότησης και ύδρευσης σε ξενοδοχείο στο Τελ Αβίβ.
Η ίδια ομάδα ισχυρίστηκε ότι παραβίασε και την εφαρμογή BadeSaba Calendar, δημοφιλή θρησκευτική εφαρμογή με πάνω από πέντε εκατομμύρια λήψεις στο Google Play.
Οι χρήστες έλαβαν ειδοποιήσεις όπως «Η βοήθεια έρχεται!» και «Ήρθε η ώρα της λογοδοσίας», σύμφωνα με στιγμιότυπα που κυκλοφόρησαν στα μέσα κοινωνικής δικτύωσης.
Συμμετοχή ρωσικών, συριακών και ιρακινών ομάδων
Η SOC Radar επισημαίνει ότι λιγότεροι χακτιβιστές εντός Ιράν συμμετέχουν λόγω περιορισμών στο διαδίκτυο, που δυσχεραίνουν τον συντονισμό μέσω Telegram.
Καθώς η σύγκρουση συνεχίζεται, καταγράφεται δράση φιλοϊρανικών ομάδων από τη Νοτιοανατολική Ασία, το Πακιστάν και άλλες περιοχές της Μέσης Ανατολής.
Η «Ισλαμική Κυβερνοαντίσταση στο Ιράκ» (ομάδα 313 Team) ανέλαβε την ευθύνη για επιθέσεις σε ιστοσελίδες κυβερνητικών υπουργείων του Κουβέιτ, συμπεριλαμβανομένων των Ενόπλων Δυνάμεων και του Υπουργείου Άμυνας. Έχει επίσης στοχεύσει ιστοσελίδες στη Ρουμανία και το Μπαχρέιν.
Η φιλοϊρανική ομάδα DieNet, με παρουσία στη Μέση Ανατολή, δήλωσε ότι επιτέθηκε σε αεροδρόμια στο Μπαχρέιν, τη Σαουδική Αραβία και τα Ηνωμένα Αραβικά Εμιράτα.
Παράλληλα, φιλοϊρανικές ρωσικές ομάδες χάκερ, όπως η NoName057(16), έχουν πραγματοποιήσει πολλαπλές επιθέσεις και στην Ουκρανία.
Η NoName057(16) εξαπέλυσε κύμα επιθέσεων άρνησης υπηρεσίας (DDoS) εναντίον ισραηλινών δημοτικών, πολιτικών, τηλεπικοινωνιακών και αμυντικών φορέων, συμπεριλαμβανομένης της εταιρείας Elbit Systems.
Διατηρεί επίσης συμμαχία με την ομάδα Hider-Nex από τη Βόρεια Αφρική, η οποία ισχυρίζεται ότι στοχοποίησε ιστοσελίδες κυβερνητικών φορέων του Κουβέιτ.
Φιλοϊσραηλινές ομάδες και περιορισμένη δράση
Υπάρχουν και φιλοϊσραηλινές ομάδες, όπως οι Anonymous Syria Hackers, οι οποίοι ισχυρίστηκαν πρόσφατα ότι παραβίασαν ιρανική τεχνολογική εταιρεία και διέρρευσαν στοιχεία λογαριασμών PayPal, emails και κωδικούς πρόσβασης.
Ωστόσο, σύμφωνα με τη SOC Radar, το Ισραήλ διεξάγει τις περισσότερες κυβερνοεπιθέσεις του σε κρατικό επίπεδο, καθιστώντας τις ανεξάρτητες ομάδες σε μεγάλο βαθμό «περιττές».
Οι φιλοϊσραηλινές ομάδες που υπάρχουν παραμένουν ελάχιστα τεκμηριωμένες, καθώς δεν ενεργοποιούν προειδοποιήσεις από την αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA).