Az évek óta feszült amerikai-iráni viszony azután forrósodott fel az eddigieknél is jobban, hogy január 3-án Bagdadban egy amerikai drónnal likvidálták az iráni Forradalmi Gárda különleges egységét vezető kémfőnököt, az ország külpolitikájának fontos alakítóját, Kászim Szulejmánit. 2019 tavaszán az Egyesült Államok Szulejmánit a szervezetével együtt terroristának minősítette, és a Fehér Ház a megöletését is azzal indokolta, hogy éppen olyan támadásokat szervezett, amik amerikaiak életét veszélyeztették volna. Szerintük a dróncsapással ezeket sikerült elkerülni.

Az iráni legfőbb vezető, Ali Hamenei katonai főtanácsadója azt mondta, válaszlépésre készülnek katonai létesítmények ellen, amire Donald Trump amerikai elnök közölte, hogy ha Irán bosszúból támadásokat indítana, akkor egész sorozat újabb amerikai csapásra számíthatnak. Néhány nappal később Irán 22 rakétával előre bejelentett csapást mért két amerikai bázisra iraki területen. Bár Ali Hamenei szerint ezzel arcul csapták az Egyesült Államokat, az iráni vezető továbbra is arról beszélt, hogy nem akarják eszkalálni a konfliktust.

Ezzel együtt is szinte biztosra vehető, hogy várható további válaszlépés Irántól, de ez nagy valószínűséggel nem katonai jellegű lesz. Már csak azért sem, mert bár Irán a Közel-Kelet egyik legerősebb hatalma, az Egyesült Államok mellett eltörpül a hadereje. A legvalószínűbb alternatív lehetőség a kiberhadviselés felpörgetése. Ennek előnye, hogy egy hagyományos fegyveres konfliktusnál jóval olcsóbb, illetve nehezebb visszakövetni a támadó kilétét. Emiatt a következményektől is kevésbé kell tartani.

Az óvatosság már nem számít

Bár a hírekben ritkábban kerülnek elő, mint orosz és kínai társaik, az iráni hekkerek az elmúlt években egyre aktívabbak, és egyre kifinomultabb támadásokat hajtanak végre. Biztonsági cégek és az Egyesült Államok már két éve arra figyelmeztettek, hogy az iráni állami hekkerek mozgolódni kezdtek, és támadásra készülnek nyugati országok infrastruktúrája ellen, részben annak köszönhetően, hogy Donald Trump felmondta a 2015-ös iráni atomalkut.

2018-ban az Egyesült Államok meg is vádolta Iránt, hogy ők állnak a SamSam nevű zsarolóvírus mögött, amely 34 hónapon át fertőzött főleg amerikai közintézményeket. Újabban pedig a célpontok közvetlen megtámadása helyett elkezdtek a netes infrastruktúra meghekkelésén keresztül bejutni a kiszemelt cégek rendszereibe. Tavaly év elején például fény derült egy két éve folyó akciójukra, amelyben a doménnévrendszer eltérítésével gyűjtöttek információt a kiszemelt kormányokról és telekommunikációs cégekről világszerte. Márciusban a Microsoft kapcsolt le egy rakás iráni hekkerekhez köthető weboldalt.

Több állami hátterű iráni hekkercsoport is nemzetközi hírnevet szerzett magának az elmúlt években:

• Legalább 2013 óta működik az APT33 (más neveken Elfin, Magnallium, Refined Kitten) nevű csoport. Ők jellemzően a repülési és az energetikai szektor szereplőit célozzák. Hozzájuk köthető a Shamoon nevű kártevő, ez volt kvázi az iráni válasz az atomprogramjuk ellen korábban bevetett amerikai-izraeli Stuxnetre, a világ első olyan (ismert) kiberfegyverére, amely valódi, fizikai kárt okozott. A Shamoont először 2012-ben alkalmazták, a nagy iráni rivális Szaúd-Arábia és egyben a világ egyik legnagyobb olajcége, a Saudi Aramco ellen. A cél egyértelműen a károkozás volt, a támadásban 35 ezer számítógépről töröltek minden adatot. A Shamoon később többször újra felbukkant, az APT33-hoz a Saipem nevű olasz olajcég elleni támadáskor sikerült kötni.
• A legalább 2014 óta aktív APT34 (OilRig) főleg a Közel-Keletre összpontosít, ők leginkább a kritikus infrastruktúrát célozzák, de pénzügyi és telekommunikációs cégeket is támadnak. A közelmúltban viszont meghekkelhették őket: egy titokzatos csoport tavaly tavasszal kezdte el közzétenni az eszközeiket és a tagjaik adatait.
• Ismertebb csoport még az APT39 (Chafer), ők főleg a telekommunikációs, az idegenforgalmi és a techszektor ellen indítanak támadásokat.

Irán eddig néhány kivételtől eltekintve kerülte az Egyesült Államok és szövetségesei elleni komolyabb támadásokat, de ez a Szulejmáni meggyilkolásával előállt helyzetben megváltozhat. Peter Singer, a New America Foundation nevű think tank kiberbiztonsági szakértője szerint míg eddig az iráni állami hekkereknek igyekezniük kellett észrevétlennek maradni a tagadhatóság érdekében, a konfliktus eszkalálódása miatt megváltozhatnak a preferenciák, és elképzelhető, hogy most éppen a kevésbé óvatos, látványosabb fellépés lesz a cél. És bár abban minden szakértő egyetért, hogy az iráni kiberhaderő nem mérhető az amerikaihoz, az világos, hogy a komoly károkozáshoz így is bőven elég fejlett. Pláne, ha nem kell az azonosíthatóság elkerülésével bajlódni.

A kritikus infrastruktúra is veszélyben lehet

Irán a Stuxnet, azaz 2010 után tuningolta fel a kiberhaderejét, amely elsősorban a kevésbé szofisztikált rombolásról, illetve a kiberkémkedésről ismert, de az utóbbi évek intenzív fejlesztéseinek köszönhetően már kifinomultabb támadásokra is képesek lehetnek. A legtöbb biztonsági szakértő egyetért abban, hogy a közeljövőben az amerikai kritikus infrastruktúrát, például az áram- és a vízellátást is célba vehetik.

Ez nem is lenne minden előzmény nélküli. Tavaly nyáron különféle amerikai állami célpontok, többek között az energetikai minisztérium háza táján figyeltek fel a szakértők iráni adathalász tapogatózásra, amely kémkedésre is utalhat, de komplexebb, kritikus infrastruktúra elleni támadások előkészítését is jelezheti.

Ebbe az irányába mutat, hogy több szakértő is arra figyelmeztetett, hogy a jelek szerint Irán az elmúlt években ipari vezérlőrendszerek hekkelésére alkalmas képességek fejlesztésébe kezdett (erre utalt egy tavaly májusi szivárogtatás [pdf] is), ami túlmutat a számítógépek egyszerű tönkretételén, és a Stuxnethez hasonlóan fizikai rendszerek szabotálását célozhatja. A Microsoft tavaly novemberben közölte, hogy az APT33 ipari vezérlőrendszerek beszállítóinak hálózatára próbált meg bejutni, feltehetően azért, hogy az ellátási láncon keresztül szerezzen hozzáférést kritikus infrastruktúrához.

Joe Slowik, a Dragos nevű biztonsági cég elemzője szerint az ambiciózus törekvések ellenére az iráni hekkerek még nem állnak készen ilyen kifinomult támadások véghezvitelére, és továbbra is a nagyobbat szóló, egyszerűbb és összességében kevésbé kártékony rombolás a legreálisabb forgatókönyv.

Az Irántól várható legvalószínűbb támadási forma az elmúlt években leginkább bejáratott wiper kártevők bevetése, amelyeknek a célja, hogy minél több gépet fertőzzenek meg, majd töröljék a teljes tartalmukat. Ilyen volt a már említett, és a maga nemében nagy sikerű Shamoon, illetve a Stone Drill nevű kártevő is, amelyekkel főleg a környező országokban tudtak nagy zavart okozni. Az áldozatok között volt a Saudi Aramco és a Saipem mellett Katar, Kuvait, az Egyesült Arab Emírségek, illetve az amerikai Las Vegas Sands is (miután a cég tulajdonosa nyilvánosan atomtámadást sürgetett Irán ellen).

Könnyen elfajulhat

John Hultquist, a FireEye hírszerzési elemzési igazgatója szerint a helyzet egyértelműen komolyabb, mint korábban, és elképzelhető, hogy ezúttal az iráni hekkerek attól sem riadnak vissza, ha emberi életek kerülnek veszélybe az akcióik miatt: az egészségügyi rendszert vagy a közlekedési hálózatot is célba vehetik.

Robert M. Lee, a Dragos alapítója szerint a teljes országot vagy nagyobb területeket érintő infrastrukturális támadáshoz nem elég izmos az iráni kiberhadsereg, de egy-egy város vagy városrész elektromos hálózatának időleges kiiktatására képesek lehetnek, és ebben az esetben a pánik, a nagyobb támadástól való félelem a konkrét anyagi veszteségnél nagyobb kárt okozhatna. Ez különösen azért lenne veszélyes Lee szerint, mert egy ilyen támadás után az Egyesült Államok hajlamos lehet túlzott válaszcsapást mérni Iránra, ez pedig a már amúgy is pattanásig feszült helyzet végzetes elmérgesedéséhez vezetne.

Ezeket a félelmeket az alapozza meg, hogy a korábbi kormányzatokhoz képest a Trump-érában megfigyelhető egy határozott eltolódás az offenzív kiberstratégia irányába. Ezt a támadóbb fellépést jelzi, hogy Egyesült Államok Kiberparancsnoksága (USCYBERCOM) 2018-ban önálló parancsnoksággá vált, amivel nagyobb hatáskört is kapott, például elnöki jóváhagyás nélkül is elindíthat bizonyos kibertámadásokat.

A kibertérben tanúsított határozottabb amerikai fellépést, vagy legalábbis annak nyíltabb kommunikációját maga az amerikai-iráni konfliktus is jól illusztrálja:

• A viszály már tavaly nyáron is kiéleződött egyszer, amikor Irán az amerikai vád szerint tartályhajókat szabotált a Hormuzi-szorosban, majd lelőtt egy amerikai drónt, szerintük iráni, az USA szerint nemzetközi légtérben. Akkor Trump először légicsapásra adott parancsot, de azt végül tíz perccel az akció előtt lefújta. Ehelyett az Egyesült Államok kibertámadást intézett iráni katonai rendszerek ellen (ami szerintük sikeres, Irán szerint sikertelen volt).
• Ezután szeptemberben, a világ legnagyobb olajfinomítója elleni, feltehetően iráni támogatással végrehajtott dróntámadást szintén egy Irán elleni amerikai kibertámadás követte.

A kiberháború előérzete

Jake Williams, a Rendition Infosec alapítója szerint ha várható is kibertámadás, az nem mostanában lesz, mert Irán valószínűleg kivár, hogy meddig fajul a konfliktus, nehogy túl korán ellőjék minden puskaporukat. (A komolyabb támadások sok hónapos előkészítést igényelnek, és ha egyszer bejutottak egy hálózatra, ott jellemzően egy esélyük lesz a támadásra, mielőtt kidobják őket.)

Mindenesetre az amerikai állami szervek óvatosságra intenek. A belbiztonsági minisztérium kiberbiztonsági és infrastruktúra-biztonsági ügynöksége a napokban közleményben kért óvatosságot az amerikai cégektől, Chris Krebs, a CISA igazgatója pedig Twitteren szólította fel őket, hogy fokozott figyelmet fordítsanak a rendszereik védelmére, és különösen figyeljenek az esetleges iráni fenyegetésekre.

Eddig egyetlen konkrét támadásról tudni Szulejmáni likvidálása óta, bár nincs rá bizonyíték, hogy ehhez köze volt az iráni kormánynak: egy amerikai kormányzati honlapot, a Federal Depository Library Program oldalát magukat iráninak nevező hekkerek törték fel, és egy véresre vert Trumpot ábrázoló képet, illetve fenyegető propagandaszöveget tettek közzé rajta. Az ilyen defacement jellegű (egy-egy oldalt elcsúfító) támadások azonban a hekkerakciók legprimitívebb típusának számítanak - bár a média szereti őket, mert viszonylag látványosak, nem különösebben érdemes foglalkozni velük. Egy biztos: ennél csak komolyabb támadásokra lehet majd számítani Irántól.

(Címlap és borítókép illusztráció: szarvas / Index)