Wykupienie dostępu pozwoli Ci czytać artykuły wysokiej jakości i wspierać niezależne dziennikarstwo w wymagających dla wydawców czasach. Rośnij z nami! Pełna oferta →
Mogłoby się wydawać, że napięcie na linii Waszyngton–Teheran najpierw sięgnęło zenitu, a potem gwałtownie opadło w tamten piątek, 21 czerwca. Wtedy to – jak podał dziennik „New York Times” – prezydent USA wydał rozkaz zbombardowania celów w Iranie, ale zanim padł pierwszy strzał, atak odwołał. Miała to być odpowiedź – konwencjonalna, przy użyciu lotnictwa – na zestrzelenie amerykańskiego drona zwiadowczego. Prezydent potwierdził te informacje, dodając (jak zwykle na Twitterze), że zawrócił samoloty, gdy wojskowi przekazali mu szacunki, że w nalocie może zginąć 150 Irańczyków, co „nie byłoby proporcjonalną odpowiedzią na zestrzelenie jednego bezzałogowego drona”.
Jednak to nie znaczy, że ataku nie było. Zamiast bomb użyto kodów. Celem US Cyber Command – Dowództwa Cybernetycznego, utworzonego dekadę temu i stanowiącego jeden z rodzajów sił zbrojnych USA – stały się irańskie systemy komputerowe, kontrolujące wyrzutnie rakiet i prowadzące zwiad elektroniczny w strategicznej dla eksportu ropy cieśninie Ormuz – tej, w której kilka dni wcześniej uszkodzone zostały dwa tankowce. Jak twierdzą Waszyngton, Londyn i Riad, przez Irańczyków (prawdopodobnie przez irańskie miny magnetyczne).
Wymiana cyberognia
Nie były to pierwsze elektroniczne „strzały” w amerykańsko-irańskiej cyberwojnie.
Najgłośniejszym jak dotąd – a w każdym razie: najgłośniejszym spośród tych, o których wiadomo – był bojowy wirus Stuxnet. Jeszcze w 2007 r. zniszczył irańskie wirówki wzbogacające uran w ośrodku Natanz, co miało spowolnić irański program atomowy. Nikt się nie przyznał do stworzenia wirusa (pewne ślady prowadziły do Izraela i USA), a Teheran utrzymuje, że atak był niemal nieszkodliwy.
Dwa lata później Irańczycy zhakowali internetowy system komunikacji CIA. To miało kosztować życie 30 współpracowników agencji, a sprawę uznano za jedną z większych wpadek wywiadu USA, bo Iran miał podzielić się odkryciem z zaprzyjaźnionymi krajami, np. Chinami. Równie spektakularnym pokazem możliwości irańskich hakerów było w 2012 r. zainfekowanie komputerów firmy naftowej Saudi Aramco i wymazanie danych 30 tys. komputerów. Potem, trzy lata temu, USA oskarżyły siedmiu irańskich hakerów o ataki na amerykańskie banki i zaporę wodną pod Nowym Jorkiem. Rok później Teheran ogłosił, że udało mu się udaremnić atak na infrastrukturę telekomunikacyjną dokonany za pomocą nowej wersji Stuxnetu.
A to tylko te „strzały”, o których coś publicznie wiadomo.
Armia hakerów
Choć uważane za jedne z najskuteczniejszych na świecie, irańskie siły cybernetyczne zainkasowały ostatnio serię silnych ciosów. Zaczęło się jeszcze w 2018 r., gdy firmy zajmujące się cyberbezpieczeństwem wykryły nowy rodzaj wirusa DNSpionage; służy on do wykradania haseł i przejmowania kontroli nad sieciami. W lutym tego roku prokuratorzy z USA oskarżyli o szpiegostwo Monicę Witt, oficer wywiadu lotnictwa: miała pomagać hakerom związanym z irańskim Korpusem Strażników Rewolucji w cyberatakach na swych byłych kolegów. Miesiąc później Microsoft, dzięki decyzji Sądu Federalnego, zablokował 99 domen, których używali do wyłudzania haseł związani z Iranem hakerzy z Oil Rig (znani też jako grupa APT34). Wcześniej w ten sam sposób udało się osłabić grupę Fancy Bear, powiązaną z Rosją.
Czytaj także: Jan Smoleński: Ego & realpolitik
Nie wiadomo jednak, kto zadał irańskim hakerom najpoważniejszy cios. W serwisie Telegram na kanale o nazwie „Lab dookhtegan” (w farsi: „zaszyte wargi”) pojawiają się szczegółowe informacje o Oil Rig i są prawdziwą bonanzą dla tropiących ją specjalistów od cyberbezpieczeństwa. W kolejnych postach ujawniane są nie tylko informacje o taktyce, narzędziach i nawet kodach źródłowych wykorzystywanych przez grupę, ale też jej struktura dowodzenia i nazwiska hakerów wraz z informacjami o nich.
„Mocno oberwali, ale wciąż mają zdolność do wyrządzania poważnych szkód” – uważa Ben Read, analityk FireEye. O tym, że nie jest w tej opinii odosobniony, świadczy ubiegłotygodniowe ostrzeżenie Departamentu Bezpieczeństwa Wewnętrznego dla firm w USA, by podjęły kroki w celu ochrony przed atakami irańskich hakerów, m.in. z wykorzystaniem złośliwego oprogramowania do wymazywania danych.
Dan Coats, który pełni funkcję dyrektora ds. wywiadu przy prezydencie USA (to odpowiednik polskiego koordynatora ds. służb specjalnych), ostrzegał niedawno, że rośnie zagrożenie „paraliżującymi atakami” na amerykańską infrastrukturę. Porównując je z zagrożeniem terrorystycznym w 2001 r. – gdy zamachowcy z Al-Kaidy zaatakowali World Trade Center i Pentagon – stwierdził, że „blisko dwie dekady później czerwone lampki znów migają”. „Dziś celem ataku jest cyfrowa infrastruktura” – mówił Coats.
Triton może zabijać
Za jeden z najniebezpieczniejszych znanych dziś wirusów uważany jest Triton. Wykryto go w 2017 r. w systemie koncernu naftowego w Arabii Saudyjskiej. Zaatakował urządzenia, które w rafinerii zapobiegają awariom, mogącym skutkować eksplozją czy wyciekiem ropy. Tuż po odkryciu Tritona spekulowano, że mogli go stworzyć Irańczycy. Ale pojawiły się poszlaki, m.in. cyrylica we fragmentach kodu, iż mogą to być też Rosjanie.
„Stuxnet ani żadne inne złośliwe oprogramowanie, choć miało zniszczyć systemy i mogło doprowadzić do ofiar, nigdy nie miało tak rażąco jednoznacznego celu, czyli zabijania ludzi” – mówił na łamach magazynu „Mit Technology Review” Bradford Hegrat, analityk specjalizujący się w przemysłowym cyberbezpieczeństwie.
W ostatnich miesiącach analitycy zajmujący się bezpieczeństwem infrastruktury krytycznej firm E-ISAC i Dragos śledzili grupę, która stworzyła Tritona. Nazwano ją Xenotime. Ostatnio ujawniono, że prowadzi ona – jak to ujęto – „szerokie skany dziesiątków celów energetycznych w USA, najwyraźniej szukając punktów wejścia do ich sieci”. Grupa Xenotime miała rozpoznać sieci co najmniej 20 celów, w tym elektrownie.
Mgła wojny
Wracając do ostatniej wymiany ciosów nad Zatoką Perską: choć amerykańskie media podały, co miało być celem ataków żołnierzy z US Cyber Command, próżno by szukać informacji, na ile były one skuteczne.
Irańczycy twierdzą, że nic się nie stało. „Starają się, ale nie przeprowadzili udanego ataku” – napisał na Twitterze Mohammad Javad Azari Jahromi, minister ds. informacji i technologii komunikacyjnej już niespełna 48 godzin po tym, jak miało dojść do cyberataku. Minister dodał, że w 2018 r. irańska zapora (firewall) „zneutralizowała 33 mln ataków”.
Tymczasem Sam Curry z zajmującej się cyberbezpieczeństwem firmy Cybereason takie rewelacje nazywa „płonnymi”. Twierdzi, że „prawdziwych ataków nie da się zatrzymać przy pomocy firewalla”. Z kolei Julien Nocetti z Francuskiego Instytutu Stosunków Międzynarodowych powiedział agencji AFP, że w tej sprawie każda ze stron blefuje, a o tym, czy amerykański cyberatak był skuteczny, najpewniej wie tylko irańska Gwardia Strażników Rewolucji, która nadzoruje zaatakowane systemy.
Najwyraźniej w konflikcie cybernetycznym tzw. „mgła wojny” – jak nazwał to prawie dwa wieki temu teoretyk wojskowości Carl von Clausewitz – okazuje się gęstsza niż zwykle. ©
