Analiza sajber pretnji tokom Iran-Izraelskog konflikta: Pet faza razvoja napadačkog kampanja
Analitička kuća pratila je 1.357 sajber incidenata tokom prvog meseca novog konflikta u 25+ zemalja, identifikujući pet različitih faza sa specifičnim karakteristikama napada.
Šta se desilo?
Od početka eskalacije u Iranu i Izraelu, sajber pretnje su se razvijale kroz različite faze koje nisu praćene klasičnim modelima bezbednosti. Analiza prvog meseca sukoba pokazuje da je bilo 1.357 zabeleženih incidenata u 25 zemalja, zahvatajući 40+ različitih napadačkih grupa. Karakteristično je što se sajber napadi nisu javljali nasumično - oni su direktno korelirali sa kinetičkim vojnim operacijama, sa vrhuncima aktivnosti 24-48 sati posle strateških udara.
Koga pogađa?
Najveće pogođene zemlje su Izrael (38% svih incidenata), Kuwait, Bahren, Kipar i UAE - zemlje koje su domaćine američkim vojnim bazama. Najčešće napadane privrede su vladine institucije i uprava (426 incidenata), zatim odbrambeni sektor i letalska industrija, kao i finansijske usluge. Napadači su ciljali i infrastrukturu vodosnabdevanja, skladišta hrane i industrijske kontrolne sisteme.
Kako se zaštititi?
- Osiguraj dodatnu monitoring i detekciju anomalija tokom perioda geopolitičke eskalacije - sajber pretnje se aktiviraju vrlo brzo, često sa manje od 24 sata razlike od kinetičkih događaja
- Pojačaj dostupnost i rezilijensu za vladine portale i administrativne sisteme koje je lakše dostići
- Zaštiti kritičnu infrastrukturu (OT/ICS sisteme) posebnim slojevima jer su postali legitimne ciljeve u ovoj vrsti sukoba
- Spremi hitne i alternativne kanale komunikacije jer su sadržajne kontrolne mere (gašenja sajtova, zabrane pristupa) deo opšte taktike
- Redovno ažuriraj liste indikatora kompromitovanja jer su poznate napadačke grupe (313 Team, NoName057(16), Keymous Plus) veoma aktivne i kontinualno menjaju ciljeve
Tehnički detalji
DDoS napadi su činili 82,9% svih aktivnosti (1.125 od 1.357 incidenata), što je odraz njihove jednostavnosti i brzine izvršavanja. Preostali 17,1% napada je obuhvatao sofisticiiranije tehnike uključujući kompromitovanje veb sajtova, intruzije u industrijske kontrolne sisteme i distribuirane napade na specifične sektore. Najaktivnije grupe su bili 313 Team sa 222 incidenta, NoName057(16) sa 192 incidenta i Keymous Plus sa 182 incidenta. Identifikovano je pet faza razvoja kampanje: faza kinetičkog šoka (februara 28 - marta 6), faza formiranja koalicija i geografske ekspanzije (marta 7-15), i tri dodatne faze koje se razvijaju.
Preporuka Sajber Radara
Organizacije u ciljanim sektorima i regionima moraju razumeti da u ovakvim konfliktima postoji direktna veza između vojnih operacija i sajber pretnji - to nije samo taktička promena već strateška eskalacija. Proceni poziciju svoje infrastrukture sada, ne tokom kriznog trenutka.