Kybernetické dopady konfliktu na Blízkém východě: FortiGuard Labs varuje před nárůstem regionální kybernetické aktivity
Společnost Fortinet, světový lídr v oblasti kybernetické bezpečnosti a průkopník konvergence sítí a zabezpečení, zaznamenala prostřednictvím svých laboratoří FortiGuard po americkém a izraelském útoku na Írán výrazný nárůst kybernetické aktivity v regionu. Přestože doposud nebyl potvrzen žádný rozsáhlý koordinovaný íránský kybernetický protiúder přímo spojený s těmito útoky, neznamená to, že kyberprostor je klidný nebo že tomu tak bude i nadále. Výzkumníci FortiGuard Labs nárůst regionální kybernetické aktivity již zaznamenali – konkrétně volně organizovaného hacktivismu, útoků poškozujících webové stránky, narušení vysílání a oportunistických pokusů o vniknutí.
Situace v kyberprostoru se rychle vyvíjí. Během posledních dní laboratoře FortiGuard zaznamenaly poškození a kompromitaci íránských aplikací a médií – narušení televizního a mediálního vysílání za účelem šíření psychologických zpráv, výpadky internetového připojení uvnitř Íránu a zvýšený počet tvrzení o kybernetických útocích na Izrael, Jordánsko, Afghánistán a další regionální subjekty šířených prostřednictvím Telegramu. Zároveň se zvyšuje aktivita naznačující potenciální cílení na finanční služby a kritickou infrastrukturu.
„Většina těchto událostí spadá do tří kategorií: psychologické operace, vysílání signálů hacktivisty a oportunistické zneužití geopolitického šumu. Zaznamenali jsme, že v předchozích konfliktech se útoky rychle rozšiřovaly mimo tradiční bojiště, přičemž aktéři se zaměřovali na organizace s i jen sebemenší vazbou na protivníky – cílí nejen na vojenské systémy, ale také na civilní, firemní a přeshraniční sítě, čímž zesilují rizika po celém světě,“ říká Ondřej Šťáhlavský, regionální senior ředitel společnosti Fortinet pro střední a východní Evropu.
Obzvláštní pozornost si zaslouží kompromitace v regionu hojně využívané kalendářní aplikace BadeSaba. Rozsáhlé zneužití push notifikací naznačuje přístup do backendu. Takový přístup lze jen zřídka získat v průběhu jediného dne – jde o náznak předběžné kompromitace nebo předpozicování. Tento přístup odráží moderní kyberkriminální postupy, před kterými Fortinet dlouhodobě varuje.
Tento konflikt se nepodobá konvenční kybernetické kampani motivované finančními důvody. Pokud koordinace probíhá, s velkou pravděpodobností se neodehrává na otevřených kanálech – plánování se může přesunout do omezených nebo skrytých komunikačních prostředků a probíhat dlouho před aktivací. Obránci by se neměli spoléhat na viditelné signály nárůstu aktivity ve veřejných fórech jako potvrzení úrovně rizika. „Absence veřejných plánovacích signálů se nerovná absenci příprav,“ zdůrazňuje Ondřej Šťáhlavský z Fortinetu.
Na základě dříve pozorovaných taktik, technik a postupů je pravděpodobné, že případný protiútok bude spoléhat na známé techniky, nikoli na zcela nové zero-day zranitelnosti. Mnoho geopolitických kybernetických kampaní uspělo díky opožděnému záplatování, opakovaně použitým přihlašovacím údajům, absenci vícefaktorového ověřování (MFA), nebo slabé kontrole přístupů.
„V takovýchto konfliktech bývá první vlna útoků často jen šumem. Pokud přijde druhá vlna, může být tišší, koordinovanější a cílenější – a proto je klíčové být připraven, stane-li se tak,“ uzavírá Ondřej Šťáhlavský z Fortinetu. Organizace, které využijí toto počáteční okno k posílení kybernetické hygieny, vynucení silné autentizace a MFA a snížení expozice, budou lépe připraveny bez ohledu na to, jak se události vyvinou.
