Cyberwar has started (part 4: Iran)

Iran is nummer 4 op de cyberleger ranglijst. Opmerkelijk aangezien Iran een Internetdichtheid kent van nauwelijks 40%Deze plaats is, hoe vreemd het ook moge klinken grotendeels te danken aan de Stuxnet aanval uit 2011. Weinigen onder ons zullen zich om deze informatie druk maken, maar de vraag is of dat wel helemaal terecht is, immers de hack op Diginotar was een Iraanse daad zo weten we nu.

Algemeen
Iran is verwikkeld in het Sjiitisch-Soennitisch conflicten (ook wel Perzisch-Arabisch conflict genoemd) en staat daarin loodrecht tegenover aartsvijand Saoedi-Arabië. Dit conflict wordt al lange tijd op de grond uitgevochten in landen als Afghanistan, Irak, Syrië, Libië en Yemen en heten de strijdende partijen ISIS, Al Qaida, Taliban en anderen. 4 november 2017 werd nog vanuit Yemen een raketaanval uitgevoerd op de Saudische hoofdstad Riyad door sjiitische Houthi-rebellen. Saudi-Arabië reageerde hierop door de havens en vliegvelden in Yemen te sluiten en voerde ook een serie bombardementen uit op de hoofdstad van Yemen, Sanaa.

Het kunnen beschikken van atoomwapens wordt voor strijdende partijen nog altijd gezien als de overtreffende trap. Saoedi-Arabië is zeer goed bevriend met de kernmacht, de Verenigde Staten. Iran heeft daarom al lange tijd een atoomwapen op haar bucketlist staan. Via Abdul Qadir Khan (en daarmee Nederlandse betrokkenheid) verschaften zij zich de kennis.

Dankzij Abdul Qadir Khan (en dus Nederlandse betrokkenheid) beschikt Iran over nucleaire kennis.

En via uraniumverrijkingsinstallaties beschikken zij inmiddels ook over de noodzakelijke grondstoffen. Totdat Israël en de Verenigde Staten via een cyberwapen genaamd Stuxnet hier hardhandig een einde aan maakten.

Stuxnet was onbedoeld het startschot voor Iran om zwaar te investeren in haar cyberleger.

Geïmponeerd door de destructieve kracht van het cybervirus, was dit (onbedoeld) het startschot voor Iran om zwaar te gaan investeren in haar cyberleger (enkel in 2017 al meer dan $100 miljoen). Een nucleair akkoord met de Verenigde Naties was snel gemaakt en daarmee de sancties opgeheven.

Motivatie
De motivatie van het Iraanse cyberleger ligt voor de hand, het zal een fundamentele bijdrage moeten leveren in het Sjiitisch-Soennitisch conflict. In deze strijd richt het zich voornamelijk op vitale infrastructuren (gas, water, licht en het financiële circuit). Saoedi-Arabië en bevriende naties, waaronder de Verenigde Staten zijn hier regelmatig de dupe van wat ook blijkt uit een publicatie van RecordedFuture.

Nederlandse betrokkenheid
Nu ligt Nederland niet direct in de dangerzone maar kan wel de dupe worden van collateral damage, zoals dat in 2011 al eens gebeurde bij de Diginotar hack. Dit zal anders worden zodra Nederland prominenter kiest voor het Soennitische kamp.

Bondgenoten
Naast de andere Sjiitische landen zoals Azerbeidzjan, Bahrein en Irak en minderheden in Pakistan, India, Libanon, Jemen, Syrië, Afghanistan en diverse Golfstaten, is Iran ook bondgenoot van schurkenstaat Noord Korea. Kenmerkend voor bondgenoten is dat zij informatie met elkaar delen, zo ook cyber en nucleaire kennis. Noord Korea heeft bij cyberaanval op Sony (en daarmee de Verenigde staten) gebruik gemaakt van het Wiper-virus, het virus das ook is gebruikt bij Iran’s aanval op Saudi Aramco uit 2012 (Wiper-broncode uit het Shamoon-virus).

Acts of war
De lijst met cyberaanvallen is inmiddels omvangrijk. Een eerste inventarisatie is gedaan door het Security bedrijf Cylance, te lezen in het rapport Operation Cleaver. De meest spraakmakende cyberaanvallen zijn afgebeeld in timeline van Cylance.

 

 

 

 

 

Een kleine opsomming:

Datum Gebeurtenis
juni 2011 DigiNotar werd slachtoffer van een cyberinbraak. Er werden certificaten gestolen waarmee diverse sociale netwerkdiensten als Gmail, Twitter, Facebook en de geheime diensten als de CIA, MI6 en Mossad mee afgeluisterd werden. De hacker noemde zich Comodohacker vernoemd naar zijn voorlaatste slachtoffer Comodo. Beiden commerciële leveranciers van digitale certificaten. Door aantoonbare nalatigheid werd dit het einde voor DigiNotar. Comodo is nog altijd een vertrouwde speler in deze markt.
15 augustus 2012 Een “spear-phishing” aanval richtte enorme schade aan bij één van Saoedi’s grootste oliemaatschappijen Saudi Aramco. Meer dan 30.000 computers raakten besmet met het Shamoon virus. Later werd ook de oliemaatschappij RasGas getroffen.
2012 Een groep die zich later OilRig noemden infiltreerden in een olieplatform en maakte het onbruikbaar door simpelweg een poot in te trekken.
Tussen 2011 en 2013 De financiële sector van de Verenigde Staten getroffen door verschillende DDoS-aanvallen. Bedrijven als New York Stock Exchange, SunTrust, JPMorgan Chase, CitiGroup, Wells Fargo, U.S. Bancorp, Capital One, PNC, HSBC en BB&T waren het slachtoffer. Dit zogenaamd als vergeldingsactie voor de beledigende video van de profeet Mohammed op YouTube. De aanval kreeg de geuze naam Operation Ababil mee en werd geclaimed door de Cyber fighters of Izz Ad-Din Al Qassam. Nu jaren later weten we dat Iran achter deze aanval zat en staan de hoofdverdachten zelfs met naam en afbeelding op de Most Wanted website van de FBI.
2013 Een groep hackers die zich SOBH Cyber Jihad noemden wisten zich toegang te verschaffen tot de stuwdam Bowman Avenue Dam in Rye Brook, New York. Gelukkig werkte de sluizen niet helemaal meer waardoor de aanval beperkt bleef. De schade was niet te overzien als dit niet het geval was immers de dam grensde aan de buitenwijken van New York.
april 2013 Een groep genaamd Syrian Electronic Army hackte het Twitter account van de Associated Press en publiceerde nepnieuws waardoor de Dow Jones Industrial 150 punten daalden en hierdoor $136 miljard aan waarde verloor.
2016 Cybercriminelen met de naam OilRig verkregen d.m.v. nepberichten op Facebook toegang tot een beheerdersaccount van Deloitte waardoor zij uiteindelijk in handen kwamen van vele klantgegevens.

Structure of Iranians Cyberforces
Net als elk ander land maakt Iran onderscheid tussen binnenlandse en buitenlandse cyberdomein. Het Committee for Identifying Unauthorized Sites en de FETA, de Iraanse politie neemt het binnenlandse cyberdomein voor haar rekening. Het buitenlandse werkdomein kent natuurlijk een puur defensieve instelling. Defensieve taken worden uitgevoerd door het Cyber Defense Commandwelke deel uitmaakt van het Passive Defensive Organization onder aansturing van het hoogste orgaan de General Staff of the Armed Forces. Offensieve taken worden uitgevoerd door de Iranian Revolutionary Guard Corps (IRGC)Diverse taken worden uitgevoerd door het Basij Cyberspace Council (eenheid opgericht door de grote leider Ayatollah Khamenei), deze richt zich voornamelijk op buitenlandse propaganda en het opleiden van cyberspecialisten. Basij wordt gezien als de morele politie. Andere belangrijke eenheid is het Quds Force (ook wel Jerusalem Force genoemd) welke zich voornamelijk richt op buitenlandse doelen.

De werkelijke betrokkenheid (attribution) is altijd moeilijk aan te tonen omdat activiteiten in het cyberdomein veelal anoniem van aard zijn en vaak opgezet worden vanuit een ander land. Maar inmiddels kennen we de volgende groeperingen met vele uiteenlopende aliassen:

  • Iranian Cyber Army (ICA),
  • Ashiyane Digital Security Team,
  • OilRig,
  • APT33,
  • Rocket Kitten, Charming Kitten (aka Newscaster and NewsBeef) en CopyKittens,
  • Cobalt Gypsy (Magic Hound),
  • TG-2889,
  • ComodoHacker,
  • SOBH Cyber Jihad,
  • Syrian Electronic Army,
  • Cyber fighters of Izz Ad-Din Al Qassam,
  • Parastoo

Zie ook:
The Cold Cyberwar has started (part 3: Russia)
Airlines got hacked?
Cyberwar has started (part 2: Noord Korea)
Cyberwar has started (part 1)

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Cyberwar ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security
Dit bericht werd geplaatst in Cyberwarfare, Security en getagged met , , , . Maak dit favoriet permalink.

2 reacties op Cyberwar has started (part 4: Iran)

  1. Pingback: NL under Russian attack? | The Sloeserwij Files

  2. Pingback: Top 5 Cyberarmies | The Sloeserwij Files

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

w

Verbinden met %s