Lekcije iz zaljevskog konflikta

Sukob u Zaljevu pokazao je da digitalnu infrastrukturu ugrožava ne samo malware nego i dronovi, nestanci električne energije, gašenje interneta i kompromitirani alati za uzbunjivanje. Nedavni konflikt pokazao je da se cyber sigurnost ne može odvojiti od svoje fizičke komponente u vidu infrastrukture, cloud resursa i sistema upozoravanja

Piše: Mirza Bahić; E-mail: mirza.bahic©asadria.com

Nakon iskustava iz Ukrajine, dobar dio globalne sigurnosne zajednice očekivao je da će se idući međudržavni konflikt voditi u cyber prostoru u još većoj mjeri. Ipak, sukob u Zaljevu 2026. pokazao je da će budući kibernetički ratovi imati i neodvojivu fizičku komponentu koja se realizira kroz konvencionalnu vojnu moć.

Tokom sukoba, cyber aktivnosti su obuhvatale distribuciju spywarea, DDoS napade, izmjene sadržaja web stranica i širenje dezinformacija. Istovremeno, fizički napadi su za mete nerijetko imali podatkovne centre, energetske sisteme i komunikacijsku infrastrukturu od kojih zavisi pružanje samih digitalnih usluga.

Bankarska aplikacija, cloud usluga, platforma za kontrolu pristupa ili logistički sistem jednako prestaju raditi zbog ransomwarea, ali i zbog udara drona, prekida kabla, odluke o gašenju interneta ili nestanka električne energije.

Cloud infrastruktura kao meta

Cloud računarstvo nerijetko se opisuje apstraktnim pojmovima kao što su zone dostupnosti, korisnički prostori, virtuelne mreže i usluge. Pretjeran fokus na ove pojmove ponešto je zasjenio činjenicu koju je nedavni zaljevski sukob ogolio do kraja: cloud usluge zavise i od zgrada, energije, sistema hlađenja i gašenja požara, kontrole pristupa i lanaca snabdijevanja.

Taj manje vidljivi fizički sloj clouda pokazao je svoju ranjivost kada su objekti AWS-a u Ujedinjenim Arapskim Emiratima i Bahreinu oštećeni napadima dronovima. Prema podacima AWS-a i Reutersa, pogođene lokacije pretrpjele su fizička oštećenja i iskusile probleme s napajanjem i umrežavanjem, uz dugotrajne poteškoće u oporavku. Istovremeno, Cloudflare je zabilježio i povećanu stopu neuspjelih povezivanja u pogođenim cloud regijama na Bliskom Istoku.

Ipak, njihove posljedice proširile su se na usluge u cloudu i poslovanje korisnika i zato su relevantni za cyber sigurnost. Kompanije čija su aplikacije prestale raditi zato što je njihova cloud regija fizički ugrožena i dalje imaju problem osiguravanja digitalnog kontinuiteta.

Napad na resurse ovog tipa ogolio je razliku između tehničke i strateške redundantnosti. Raspoređivanje radnih opterećenja u više zona dostupnosti može zaštititi od pojedinačnih lokalnih kvarova, ali ne i od sukoba, prekida napajanja, oštećenja komunikacijskih veza ili dugotrajnog gubitka pristupa infrastrukturi pružatelja usluga. Tu se čak i multicloud pristup pokazao slabijim u situacijama kada pružatelji usluge zavise od iste geografije, telekomunikacijskih koridora, DNS usluga, sistema za upravljanje identitetima ili dobavljača softvera.

Pouka izvučena iz ove situacije nije da je hyperscale cloud beskoristan jer veliki cloud provajderi i dalje nude viši nivo otpornosti nego što bi ga većina organizacija mogla izgraditi samostalno. Otrježnjenje korisnika došlo je u vidu svijesti da ih korištenje clouda ne oslobađa odgovornosti da što bolje razumiju gdje se njegovi kritični sistemi izvršavaju, koje zavisnosti dijele i kako će nastaviti funkcionisati ako cijela cloud regija postane nepouzdana.

Prožimanje cyber i fizičkih napada

Jedan od zanimljivijih primjera konvergencije fizičkih i cyber prijetnji tokom sukoba nije uključivao nikakvu ranjivost ili industrijsku sabotažu. U Izraelu su, naprimjer, korisnici tokom raketnog napada dobili poruke s informacijama o skloništima u realnom vremenu. Isti link je, istovremeno, instalirao i spyware i ispostavilo se da je ovaj zlonamjerni softver bio komponenta napada koji je hakerima omogućio pristup kamerama, lokaciji i podacima.

Ono što je iznenadilo sigurnosne strukture bilo je savršeno tajmiranje instalacije spywarea. Kako su zaraženi linkovi stizali na telefone u vrijeme raketiranja, korisnici nisu imali vremena da provjeravaju izvore jer im je svaka informacija o sigurnosti u tom trenutku bila dobrodošla. Na taj način, fizička opasnost je iskorištena kao instrument socijalnog inženjeringa za potrebe kibernetičke infiltracije.

To mijenja način na koji bi organizacije trebale posmatrati kriznu komunikaciju. Upozorenja u kriznim situacijama, uputstva za evakuaciju i aplikacije javne sigurnosti danas su dio površine napada i to je pokazao i zaljevski konflikt. Taj zadatak im olakšava vanredna situacija u kojoj zbunjenost, hitnost i prethodno povjerenje olakšavaju izvršavanje ciljeva napada.

Za kompanije, ovo je lekcija o tome kako funkcioniraju lažne poruke o evakuaciji i incidentima, zlonamjerni “rezervni portal” tokom prekida usluge ili uputstva za prebacivanje poslovanja na drugi sistem. Timovi za cyber i fizičku sigurnost moraju uspostaviti zajedničke procedure za autentifikaciju hitnih uputstava, komunikaciju preko rezervnih kanala i pomoć zaposlenima da razlikuju legitimna upozorenja od imitacija.

Aktivistička buka kao taktika

Nedavni sukob proizveo je veliki obim cyber aktivnosti koje su imale funkciju distrakcije i zavaravanja odbrambenih sistema. Kako navodi DigiCert, pedesetak grupa povezanih s Iranom izvelo je gotovo 5.800 napada, pri čemu su neki od njih bili obični hakerski aktivizam. To podrazumijeva “patriotsko” hakiranje s napadima malog učinka poput DDoS-a, izmjene sadržaja web stranica, brendiranja i dezinformacija.

No, poenta je u tome da je ovaj roj napada poslužio da zamaskira stvarne kibernetičke operacije u složenom ekosistemu državnih aktera, posredničkih grupa i hakera slobodnih strijelaca.

Konačni cilj bio je trošenje resursa odbrambenih timova koji su se naprezali da provjere svaki beznačajni napad, među kojima je tek manjina imala ozbiljne namjere, ali je ostala udobno kamuflirana u masi onih bez tehnološkog značaja. Ovi napadi imali su i psihološki učinak jer su sadržavali lažne informacije o prekidima usluga i ostvarenom pristupu resursima i podacima.

Regionalni sukob, globalne lekcije

Sukob u Zaljevu bio je geografski udaljen za većinu svijeta, ali eho naučenih lekcija iz njega čuje se glasnije od početnih detonacija. Za početak, digitalna otpornost pokazala se nespremnom za oslanjanje isključivo na izradu backup kopija i pripremu tehničke redundantnosti. Tamošnje kompanije morale su preko noći razumjeti i važnost fizičke zavisnosti i uloge trećih strana u održavanju pristupa digitalnim uslugama, kao i improvizirati u situacijama gubitka cloud regija ili pružatelja usluga. Istovremeno, cyber i fizički napadi su pokazali visok nivo koordinacije, kao i društveni inženjering i eksploatacije slabosti ljudskog faktora u kriznim situacijama.

Digitalna otpornost je nakon sukoba u Zaljevu bila prisiljena spustiti se s oblaka u svijet geografije, električne energije, dobavljača, kriznih komunikacija i fizičkih objekata.