Hoe cyberaanvallen worden ingezet als wapens in de oorlog in Iran

Hoe cyberaanvallen worden ingezet als wapens in de oorlog met Iran

Door staatsgebonden actoren en hacktivisten vanuit Iran worden cyberaanvallen uitgevoerd op Israël en de Verenigde Staten in Operatie Epic Fury. Sinds de oorlog met Iran begon, hebben verschillende groepen die verbonden zijn aan de staat en hacktivisten een reeks cyberaanvallen op de Verenigde Staten en Israël opgeëist.

Het Amerikaanse medisch technologiebedrijf Stryker bevestigde op 11 maart dat een cyberaanval zijn wereldwijde netwerk had verstoord. Medewerkers vonden het logo van Handala, een aan Iran gekoppelde hackgroep, op hun inlogpagina’s, aldus berichten.

De aanval was gericht op de Microsoft-omgeving van Stryker, hoewel de volledige omvang van de schade en een tijdlijn voor herstel nog onduidelijk zijn. Handala heeft de verantwoordelijkheid opgeëist en beweert dat het Microsoft’s cloudbeheerplatform, Intune, heeft geëxploiteerd om op afstand meer dan 200.000 apparaten in 79 landen te wissen, volgens het cyberintelligenceplatform SOCRadar. Het doel van de operatie was wraak voor een raketaanval op een meisjesschool in Minab, Iran, waarbij meer dan 160 mensen omkwamen.

Deze inbreuk maakt deel uit van een bredere golf van cyberoperaties door staatsgebonden en hacktivistgroepen die gericht zijn op de Verenigde Staten en Israël in reactie op Operatie Epic Fury.

Welke staatsactoren zijn betrokken?

Een rapport van cybersecuritybedrijf CloudSek meldde dat verschillende langdurige, aan Iran verbonden groepen zich richten op kritieke infrastructuur in de Verenigde Staten. Groepen die worden gesteund door de Islamitische Revolutionaire Garde van Iran (IRGC), zoals de CyberAv3ngers, APT33 en APT55, hebben aanvallen uitgevoerd op industriële controlesystemen in de VS, zoals waterzuiveringsinstallaties, elektriciteitsnetten en productieprocessen.

LEZEN Ierse toezichthouder legt LinkedIn een boete van €310 miljoen op voor schendingen van de GDPR

CyberAv3nger-hackers hebben toegang gekregen tot industriële machines met standaardwachtwoorden en installeren malware die mogelijk deze systemen aanstuurt. APT33 gebruikt verschillende veelvoorkomende wachtwoorden om toegang te krijgen tot meerdere accounts bij Amerikaanse energiebedrijven en probeert veiligheidssystemen te saboteren door malware in hun computersystemen te installeren.

In het geval van APT55 voert de groep cyberspionage uit tegen personen die verbonden zijn aan de Amerikaanse energie- en defensiesector om informatie te verzamelen voor Iraanse inlichtingendiensten. Het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) werkt ook samen met groepen zoals MuddyWater, APT34 en Handala tegen Israël en de Verenigde Staten.

MuddyWater richt zich op telecommunicatie, olie en gas, en overheidsorganisaties. Ze functioneren als een initiële toegangsmakelaar, wat betekent dat ze wachtwoorden verzamelen door in een netwerk in te breken en deze door te geven aan andere aanvallers.

Handala heeft naast Stryker ook andere aanvallen opgeëist, zoals het wissen van meer dan 40 terabyte (TB) aan gegevens van servers aan de Hebreeuwse Universiteit van Jeruzalem en een inbraak bij Verifone, een Amerikaans telecombedrijf in Israël. Amerikaanse media melden echter dat Verifone de inbraak heeft ontkend en beweert dat er geen bewijs is van enige compromittering of verstoring van de service.

Amerikaanse inspanningen verstoren communicatienetwerken

De Verenigde Staten en Israël voeren ook cyberaanvallen uit. Generaal Dan Caine, de hoogste militaire officier van Amerika, verklaarde op 2 maart dat het Amerikaanse Cyber Command een van de “eerste” was die deelnam aan Operatie Epic Fury. De divisie verstoorde communicatiesystemen, waardoor Iran “zonder het vermogen om te zien, coördineren of effectief te reageren” achterbleef.

LEZEN Vader uit Nieuw-Zeeland met verborgen wapenarsenaal in bushland omgebracht

Caine gaf geen aanvullende informatie over de Amerikaanse cyberoperaties in Iran. In een aparte verklaring op 13 maart bevestigde Pete Hegseth, de Amerikaanse Minister van Defensie, dat de VS kunstmatige intelligentie (AI) en cybertools gebruiken als onderdeel van hun oorlog in Iran. Israëlische spionnen zouden ook informatie hebben gebruikt van gehackte verkeerscamera’s in Teheran om hun plannen voor de eliminatie van Ayatollah Ali Khamenei te ondersteunen.

Een gecoördineerde hacktivistische ‘operatieruimte’

Meer dan 60 hacktivistische groepen werden gemobiliseerd in de eerste uren van Operatie Epic Fury en vormden een coalitie genaamd de Cyber Islamic Resistance. Het pro-Iraanse collectief organiseert zijn aanvallen in een “Elektronische Operatieruimte” op Telegram. Hun groep “werkt vanuit ideologische initiatieven in plaats van onder centrale staatsleiding,” wat het moeilijk maakt om hun bewegingen te volgen, aldus het CloudSek-rapport.

Deze actoren zijn minder gedisciplineerd dan staatgestuurde groepen, potentieel roekelozer, en hebben geen politieke beperkingen op de impact op burgers.

In de eerste twee weken van de oorlog claimde de Cyber Islamic Resistance meer dan 600 verschillende aanvallen in meer dan 100 Telegram-kanalen. De groep heeft aanspraak gemaakt op een operatie op de luchtverdedigingssystemen van het Israëlische defensiebedrijf Rafael, een aanval op een droneservice genaamd VigilAir, en het coördineren van een aanval op de elektriciteits- en watersystemen van een hotel in Tel Aviv.

Dezelfde groep zou ook de BadeSaba Kalender van Iran hebben gehackt, een populaire religieuze app met meer dan vijf miljoen downloads op de Google Play Store, tijdens het eerste weekend van het conflict. Gebruikers ontvingen meldingen met de tekst “Hulp is onderweg!” en “Het is tijd voor afrekening”.

LEZEN Oekraïne beschuldigt China van levering aan de Russische wapenindustrie

Russische, Syrische en Iraakse actoren voegen zich bij de strijd

SOC Radar merkt op dat er minder hacktivisten in Iran betrokken zijn bij het conflict vanwege de voortdurende internetbeperkingen in het land. Naarmate het conflict voortduurt, ziet het platform acties van pro-Iraanse groepen in Zuidoost-Azië, Pakistan en elders in het Midden-Oosten. De Islamitische Cyber Resistance in Irak, bekend als Team 313, is een pro-Iraanse cell die verantwoordelijk is voor het richten op de websites van verschillende Koeweitse ministeries, waaronder de strijdkrachten en het ministerie van Defensie.

DieNet, een pro-Iraanse hacktivistische groep met wortels in het Midden-Oosten, heeft ook cyberaanvallen opgeëist op luchthavens in Bahrein, Saoedi-Arabië en de Verenigde Arabische Emiraten. Er zijn ook pro-Iraanse groepen van Russische hackers, zoals NoName057(16), die meerdere aanvallen op Oekraïne hebben uitgevoerd. NoName057(16) heeft een golf van denial-of-service-aanvallen (DDoS) gelanceerd om de websites van Israëlische gemeentelijke, politieke, telecom- en defensiegerelateerde entiteiten te overweldigen.

Ze hebben ook een alliantie met een in Noord-Afrika gevestigde groep, Hider-Nex, die beweert de domeinen van verschillende Koeweitse overheidswebsites te hebben aangevallen tijdens de oorlog in Iran. Er zijn enkele pro-Israëlische actieve groepen, zoals de Anonymous Syria Hackers, die onlangs hebben beweerd een Iraanse technologiebedrijf te hebben gehackt en de inloggegevens, e-mails en wachtwoorden van PayPal-accounts hebben gelekt. SOC Radar meldde dat Israël zijn cyberaanvallen voornamelijk vanuit de staat uitvoert, wat onafhankelijke groepen “grotendeels overbodig” maakt.