Когда в субботу утром в Тегеране произошла атака, миллионы иранцев получили на свои телефоны странное уведомление. Молитвенное приложение BadeSaba Calendar, которое скачали более 5 миллионов человек, было скомпрометировано, и приложение выдало предупреждение: «Помощь прибыла!» и призвали к созданию «Народной армии» для защиты своих «иранских братьев», согласно оценке компании киберразведки Flashpoint. В воскресенье приложение отправило инструкции о сдаче рядовым членам Корпуса стражей исламской революции и безопасных местах для сбора протестующих.
Затем сторонники режима быстро контратаковали.
По данным Flashpoint, то, что последовало в воскресенье, было «наиболее агрессивным» использованием так называемой иранской киберкампании «Grand Epic», которая представляет собой слабо скоординированную группу кибероператоров под названием «Исламское киберсопротивление». Под эгидой группы несколько киберзлоумышленников закрыли заправочные станции в Иордании и возглавили атаки на военных поставщиков США и Израиля с целью уничтожения данных и проведения психологических операций, имитирующих взлом BadeSaba.
Следующие 48 часов, вероятно, станут периодом «чрезвычайной нестабильности», поскольку хактивисты и их доверенные лица «возьмут на себя ведущую роль в эскалации, чтобы заполнить пустоту, оставленную центральным командованием Тегерана», отмечает Flashpoint в обновлении. Эти субъекты предположительно используют Telegram и Reddit в качестве координационного центра, публикуя скриншоты предполагаемых атак в качестве доказательств, хотя на проверку точности уходят недели, а иногда и месяцы, сказала Кэтрин Рейнс, бывший эксперт АНБ, которая сейчас возглавляет группу по анализу угроз в Flashpoint.
Взлом BadeSaba демонстрирует модель, которую иранские прокси-группы теперь могут попытаться реализовать в обратном порядке против западных и других компаний. Кроме того, по словам Рейнса, поскольку иранское руководство было фактически уничтожено субботними атаками, командная структура, которая курировала кибероперации Тегерана, практически исчезла.
«Вакуум иранского руководства, скорее всего, приведет к более децентрализованным и непредсказуемым атакам через прокси», — сказал он Fortune.
На практике это означает, что объединенные хактивисты и прокси-группы принимают собственные решения относительно своих целей без одобрения центральных властей. Поэтому, если крайне агрессивная группа решит атаковать логистическую компанию среднего размера, чтобы сделать заявление, риск выйдет за пределы Тегерана, Вашингтона или Нью-Йорка, сказал Рейнс.
«Он находится в руках 19-летнего хакера в комнате Telegram без присмотра и руководства», — предупредил он.
В результате лидеры американского бизнеса должны быть готовы к продолжающейся неопределенности, сказал Брайан Карбо, соучредитель и генеральный директор компании Andesite, занимающейся безопасностью на основе искусственного интеллекта, и бывший директор элитного Центра специальной деятельности ЦРУ (SAC). На протяжении многих лет иранцы последовательно доказывали, что они невероятно устойчивы как правительственная сила и сила сопротивления. А поскольку режим бомбит своих соседей, люди должны ожидать, что Иран продолжит раскрывать свои огромные наступательные кибервозможности в дополнение к другим аспектам национальной мощи, таким как его ракеты и вооруженные доверенные лица по всему миру, сказал он.
«Агрессивное и творческое сопротивление заложено в духе иранского аппарата безопасности и всей Исламской Республики Иран», — сказал Карбо, который ранее занимал должность начальника штаба двух директоров ЦРУ. «Лидеры бизнеса и те, кто защищает компании и принимает решения на очень высоком уровне, должны быть готовы к тому, что это будет продолжаться какое-то время и что конфликт будет принимать разные направления и отклоняться от траектории».
По словам Карбо, поскольку атаки США и Израиля ослабляют обычные военные возможности Ирана, кибератаки выглядят более привлекательными. Его реализация не требует больших затрат, его трудно объяснить, и он чрезвычайно способен вызвать огромные психологические и операционные нарушения по сравнению с необходимыми инвестициями. Иран продемонстрировал, что он способен имитировать и использовать в своих интересах методы кибератак, впервые продемонстрированные, например, Россией.
«Исламская Республика всегда очень гордилась кибервозможностями своих служб безопасности», — сказал Карбо. Эта гордость вряд ли исчезнет с потерей высшего руководства и может усилиться по мере сужения других вариантов.
По словам Рейнса, большинство планов корпоративной безопасности не готовы к таким атакам, как взлом BadeSaba, в результате которого было отправлено уведомление потенциально миллионам мусульман в Иране, которые используют приложение для отслеживания ежедневных религиозных расписаний в момент начала атак.
«Компании на самом деле не готовы к тому, что я называю нигилистическими психологическими операциями, которые на самом деле направлены на атаку на психическое состояние и уверенность их сотрудников», — объяснил он, сравнив их с атаками, направленными на кражу данных и вывод из строя систем.
Лишь немногие компании имеют планы относительно того, какова будет реальность для сотрудников в ближайшие часы, в то время как модели риска часто основаны на поведении государства и предполагают «красные линии», которые позволяют избежать полномасштабной войны, сказал Рейнс.
По его прогнозам, на встрече советов директоров и руководителей высшего звена на следующей неделе ключевые вопросы для руководителей служб безопасности будут связаны с максимальным количеством времени, в течение которого бизнес-функции могут быть отключены от сети, прежде чем они повлияют на доходы и репутацию, прогнозирует он.
«Нас меньше интересует количество аварий, а больше — время восстановления», — сказал Рейнс.
Карбо сказал, что если бы он присутствовал на заседании совета директоров на этой неделе, он хотел бы знать, находится ли бизнес на повышенном уровне риска, исходя из того, что происходит в Иране. Если ответ положительный, вы хотели бы знать, что делается для смягчения последствий этого явления. Если ответ отрицательный, я бы задал еще больше вопросов.
Лидеры должны выяснить, какие шаги были предприняты для обеспечения того, чтобы компании не подвергались риску, выяснить, как компании взаимодействуют с партнерами и другими лицами, чтобы узнать, как они обнаруживают атаки, и как в настоящее время для этого используется искусственный интеллект, сказал Карбо.
Он повторил, что это не кризис, который можно разрешить в краткосрочной перспективе, и что он приводит к киберриску, который не исчезнет немедленно.
«Этот конфликт может принять множество поворотов и пойти в разных направлениях», — сказал Карбо. «Я не думаю, что это проблема, которую мы собираемся аккуратно решить и оставить позади через несколько дней. Это потребует постоянной бдительности и защиты наших киберсетей, физической безопасности и всех других активов».
