Käynnissä oleva Yhdysvaltojen ja Israelin sotilasoperaatio ("Operation Epic Fury" / "Lion's Roar") Irania vastaan on muuttanut käsitystämme modernista sodankäynnistä. Olemme siirtyneet aikakauteen, jossa perinteinen kineettinen sodankäynti ja kyberoperaatiot eivät enää vain tue toisiaan, vaan ne on yhdistetty toisiinsa ennennäkemättömän saumattomasti [1, 8]. Mitä konfliktin digitaalisella rintamalla oikein tapahtuu?
Ennakoivaa tiedustelua ja koordinoituja iskuja
Yhdysvaltojen puolustusministeriö on ollut poikkeuksellisen avoin roolistaan digitaalisella taistelukentällä. US Cyber Command ja Space Command lamauttivat Iranin viestintä- ja sensoriverkkoja täsmälleen samanaikaisesti ohjusiskujen kanssa. Tämä taktiikka sokaisi tehokkaasti maan ilmapuolustuksen ja jätti vastatoimet puutteellisiksi [4, 5].
Vielä hätkähdyttävämpää on pitkäjänteinen kybertiedustelu, joka mahdollisti operaation fyysiset täysosumat. Israelin tiedustelu oli soluttautunut Teheranin liikennekameroihin jo vuosia aiemmin. Jatkuvan datavirran ja kehittyneiden algoritmien avulla pystyttiin rakentamaan tarkka kuva (ns. "pattern of life") Iranin ylimmän johdon, kuten ajatollah Ali Khamenein, päivittäisistä liikkeistä. Tämä työ huipentui äärimmäisen tarkasti ajoitettuun iskuun [3].
Fyysisten ja digitaalisten iskujen lisäksi informaatiotila on otettu haltuun. Iranilaisia valtion medioita (esim. IRIB) ja jopa miljoonien käyttämiä arkisovelluksia, kuten BadeSaba-rukoussovellusta, on hakkeroitu levittämään hallinnon vastaisia viestejä [1, 9].
Hiljaisuus myrskyn silmässä: Missä ovat Iranin valtiolliset hakkerit?
Kaiken tämän keskellä yksi suurimmista yllätyksistä on ollut Iranin valtiollisten hakkeriryhmien (APT-toimijoiden) hiljaisuus [9]. Asiantuntijat pitävät syynä kahta varsin käytännöllistä tekijää:
Fyysinen turvallisuus: Operaattorit joutuvat ensisijaisesti suojautumaan jatkuvilta ilmaiskuilta.
Internet-pimento: Iranin verkkoliikenne on romahtanut noin neljään prosenttiin normaalista. Tämä saattaa olla joko massiivisen kyberiskun seuraus tai hallinnon oma epätoivoinen varotoimenpide [8, 9].
Proxy-ryhmät ja aktivistit astuvat esiin
Valtiollisten toimijoiden ollessa poissa pelistä, tyhjiön ovat täyttäneet erilaiset pro-iranilaiset hakkeriaktivistit ja hajautetut "proxy"-ryhmät (kuten Handala, Cyber Islamic Resistance ja FAD Team) [1, 8]. Nämä usein Iranin rajojen ulkopuolelta operoivat ryhmät ovat ottaneet vastuun useista iskuista [8, 9]:
Energia- ja OT-järjestelmät: Handala-ryhmä väittää murtautuneensa Saudi Aramcon järjestelmiin. Lisäksi on raportoitu iskuista jordanialaisen viljayhtiön teollisuusautomaatioon (ICS), jossa on väitetysti manipuloitu lämpötila- ja punnitusjärjestelmiä [1, 6, 9].
Laajat häiriöt pilvipalveluissa: Alueella on koettu katkoksia muun muassa AWS:n konesaleissa Yhdistyneissä arabiemiirikunnissa ja Bahrainissa. On tosin huomioitava, että osa näistä häiriöistä saattaa johtua alas ammuttujen ohjusten romun aiheuttamista fyysisistä vaurioista infralle [1, 9].
Informaatiovaikuttaminen ulkomailla: Pakistanissa koettiin hiljattain laajamittainen kyberhyökkäys, jossa maan suurimpien uutiskanavien (mm. Geo News) satelliittilähetykset kaapattiin suorassa lähetyksessä näyttämään armeijaa vastustavia viestejä [2].
Tulevaisuuden uhat ja globaalit riskit
Tietoturvayhtiöiden analyysien mukaan tilanne on tulenarka ja voi eskaloitua nopeasti. Organisaatioiden ympäri maailman tulisi kiinnittää huomiota ainakin näihin kolmeen uhkakuvaan:
Toimitusketjujen haavoittuvuus: Lähi-idässä toimivat tai alueelle toimitusketjujensa kautta kytköksissä olevat länsimaiset yritykset ovat nyt suuressa riskissä joutua kyberiskujen ristituleen [7, 8].
Globaali logistiikka uhattuna: Hormuzinsalmen mahdollinen sulkeminen yhdistettynä viestintä- ja navigointijärjestelmien elektroniseen häirintään luo massiivisia riskejä maailmanlaajuisille energiamarkkinoille ja rahtiliikenteelle [1, 8].
Disinformaation sumu: Konfliktiin liittyy ennennäkemätön määrä väärennettyjä tietovuotoväitteitä. Hakkeriryhmät pyrkivät kylvämään epävarmuutta ja liioittelemaan iskojensa vaikutuksia. Kaikkiin hakkerointiväitteisiin onkin nyt syytä suhtautua terveellä kriittisyydellä, kunnes riippumattomat tahot pystyvät ne vahvistamaan [7, 9].
Lähteet:
[1] Flashpoint: Escalation in the Middle East: Operation Epic Fury
[2] Hackread: Pakistan's Top News Channels Hacked
[3] Calcalistech: Hacked Tehran traffic cameras fed Israeli intelligence before strike on Khamenei
[4] The Register: Cyberwarriors elevated to big leagues in US war with Iran
[5] The Record: Cyber ops mentioned alongside kinetic warfare
[6] Ransomlook: Handala-ryhmän väitteet tietomurroista
[7] Cisco Talos: Talos on the developing situation in the Middle East
[8] Recorded Future: Ongoing Iran Conflict: What You Need to Know
[9] DataBreachToday: Iranian Cyber Proxies Active But Not Nation-State Hackers