Miközben Izrael a Hamásszal zajló háborúját vívja a szárazföldön, sokak számára nem ismert, hogy a harc korántsem kizárólag a fizikai közegben zajlik, hanem jelentős mértékben kiterjed a kibertér virtuális valóságára. Milyen kibertámadások érték eddig Izraelt, és milyen aktorok állhatnak a műveletek mögött? Mi a jelentősége és jellege a kiberhadviselésnek korunk konfliktusaiban? Jelen cikk ezen kérdések megválaszolására kíván áttekintő elemzést nyújtani.

Csupán 12 perccel azután, hogy Izrael felé megindultak a Hamász rakétacsapásainak sorozatai, 2023. október 7-e reggelén a kibertérben is támadások láncolata indult el az izraeli digitális infrastruktúra ellen. Hasonlóan a rakétacsapásokhoz, melyek Izrael légvédelmi rendszerének, a Vaskupolának a túlterhelését kívánták elérni, az első kibertámadások szintén a túlterhelés módszerével igyekeztek csapást mérni az izraeli informatikai rendszerekre.

Ezek a műveletek működésüket tekintve ugyanis a DDoS-támadás (Distributed Denial of Service) vagyis kiterjesztett szolgáltatásmegtagadás kategóriájába tartoznak, céljuk általában egy adott (digitális) infrastruktúra rendelkezésre állását megakadályozni. Ez különösen is olyan rendszerek esetében jelenthet számottevő kárt, melyek folyamatos működése valamilyen (állami) alapfunkciót biztosít, így például a kritikus infrastruktúra leállításával megszakadhat az energiaellátás, egy kormányzati felület támadásával ellehetetlenülhet a háborús időben kiemelt jelentőségű közérdekű tájékoztatás. Ennek érdekében a támadó az adott célrendszer felé sorozatos, nagyszámú lekérést indít, melyet az túlterheltsége miatt így a valódi felhasználók felé sem tud biztosítani. Mivel ez a kibertámadási forma a mennyiségen és nem a felhasznált programok fejlettségén alapszik, így ez az egyik legalapvetőbb támadási eszköz, mely széles körben alkalmazható.

Csak október 7-én közel 30 ilyen túlterheléses támadás érte az izraeli kiberinfrastruktúrát, 36 százalékuk a kormányzat, 10 százalékuk a média, 9 százalékuk pedig a közlekedés ellen irányult. Az egyik izraeli kormányzati oldal elleni támadás mértéke tízszerese volt az átlagos forgalomnak, ugyanis közel 13 ezer IP-címről érkezett összességében másodpercenkénti 1 millió lekérés, jól szemléltetve a túlterheléses támadások arányait. Nagy valószínűséggel ilyen támadásnak tudható be az egyik legolvasottabb izraeli híroldal, a Jerusalem Post leállása is, melyért az Anonymus Sudan hackercsoport vállalt felelősséget.

További támadási módszerek

A támadók azonban a túlterheléses támadásokon túl számos egyéb módszert is felhasználtak műveleteikhez, melyek céljai ilyen módon az előbbiektől különbözve általában nem a rendelkezésre állás, hanem az adott kiberinfrasturktúra sértetlenségére irányultak, mely rendszerint adatmódosításban nyilvánult meg. Ezek legjelentősebb példái közé tartoznak a Red Alert applikációba való behatolás, és a RedAlert – Rocket Alerts program hamisítása. A Red Alert azon applikációk közé tartozik, melyek a felhasználót valós időben értesíteni tudják a már észlelt, Izrael felé tartó tüzérségi lövedékekről és rakétákról, ezáltal lehetővé téve a gyors és megfelelő reagálást. Éppen ezért az ezen program ellen irányuló műveletek komoly következményekkel járhatnak az azt felhasználó izraeli polgárok biztonságára nézve, így kiemelt célponttá téve azt a kibertámadások számára. Az AnonGhost hackercsoport az Izrael elleni szárazföldi műveletekkel párhuzamosan egy sérülékenységet kihasználva behatolt a Red Alert rendszerébe, ahonnan hamis üzeneteket, többek között közeledő nukleáris csapásról szóló figyelmeztetést küldtek a felhasználóknak. A jelenlegi konfliktus kirobbanása miatt még relevánsabb lett az előrejelző alkalmazások telepítése, így a helyzetet a támadók további módszerekkel igyekeztek kihasználni. Eközben ugyanis a szintén ilyen szolgáltatásokat biztosító RedAlert – Rocket Alerts is a kiberműveletek célkeresztjébe került, azonban más típusú módszerrel került felhasználásra. Ez az applikáció ugyanis egy spoofing, tehát hamisítási művelet tárgyává vált, vagyis a támadók az eredeti programot felhasználva készítettek hamis alkalmazást, mely az eredetit imitálva érzékeny adatokat gyűjthetett a felhasználókról. Az álprogram a minél nagyobb elérés és megtévesztés érdekében az URL-t (Uniform Resource Locator), vagyis a webcímet is hamisította, ugyanis annak szövege az eredeti oldaltól csupán egyetlen, „s” karakterrel különbözött, és amíg az iOS-verzió oldalon található hivatkozása valóban az eredeti szoftverre irányult, addig az Android-verzió látszólag hiteles hivatkozása viszont a rosszindulatú szoftvert töltötte le.

Kibertámadások fizikai célpontokkal

Az Izrael elleni kibertámadások azonban célpontjukat tekintve nem korlátozódtak kizárólagosan a virtuális térre, számos esetben ezen műveletek a fizikai (kritikus) infrastruktúra elemei felett kívánták átvenni a kontrollt. Ilyen módon kiemelt célponttá váltak az ICS-ek (Industrial Control System), vagyis az ipari irányításért felelős rendszerek, melyekbe a támadók különféle sérülékenységeket felhasználva igyekeztek behatolni. Szintén kihasználható sérülékenységeket biztosíthatnak a támadók számára azok az izraeli biztonsági kamerák, melyek RTSP-protokollal (Real Time Streaming Protocol), vagyis valós idejű közvetítést lehetővé tévő internetes kapcsolattal rendelkeznek, ugyanis amennyiben egy ilyen eszköz gyenge biztonsági konfigurációval rendelkezik, úgy kiváló lehetőséget biztosít arra, hogy a rendszerbe behatolva a támadók Izrael bizonyos területeiről folyamatos képet kaphassanak. Szintén fizikai rendszerek sérülékenységére világított rá egy bár marginális hatással bíró, de különleges módszerű kiberművelet, mely során a támadók két izraeli digitális hirdetőtábla felett vették át az irányítást, melyen keresztül a Hamászt támogató üzeneteket sugároztak.

Válaszcsapások és védekezés

A különféle Izraelt érő kibertámadások azonban nem maradtak válasz nélkül, és számos palesztin érdekkörbe tartozó digitális infrastruktúra ellen is műveletek indultak el. Hasonlóan ahhoz, ahogyan az izraeli non-profit egészségügyi szervezet, a United Hatzalah adománygyűjtő weboldala túlterheléses támadás alá került, a palesztinok segélyezését biztosító Medical Aid for Palestine nevű jótékonysági szervezet is elérhetetlenné vált ideiglenesen, szintén egy DDoS-támadás miatt. A virtuális térben is zajló konfliktusba időközben egy új aktor is csatlakozott, az Indian Cyber Force nevű csoport ugyanis Izrael mellett kiállva palesztin célpontokra mért csapást a kibertérben. A csoport megtámadta a Palesztin Nemzeti Bank és a Nemzeti Telekommunikációs Csoport, valamint magának a Hamásznak a hivatalos honlapját, különféle Izraelt támogató üzeneteket hagyva a weblapokon. Mindeközben a támadásokra reagálva Izrael folyamatosan fejleszti kibervédelmét, melynek egyik kulcsfontosságú eleme a mesterséges intelligenciát is felhasználó Cyber Dome, melynek célja a digitális infrastruktúrák védelmével egy olyan biztonsági védőernyő létrehozása, mint amelyet a hasonló nevű Iron Dome (Vaskupola) valósít meg a kinetikus fenyegetések elleni védelem terén.

A kibertámadások aktorai

Mint minden kibertérben zajló műveletnél, úgy itt is felmerül a kérdés, hogy valójában milyen csoportok állhatnak ezen különféle módszerű és motivációjú támadások mögött. Bár a virtuális tér adottságaiból fakadóan az aktorok pontos azonosítása komoly kihívást jelent, és nem minden esetben teszi lehetővé azok valódi identitásának felderítését, a hackercsoportok egy része nyilvános kommunikációt folytat sikeres támadásaik bemutatására, tevékenységük népszerűsítésére. Ilyen módon egymástól elkülöníthetővé válnak a jelenlegi konfliktus kiberműveleteinek legfontosabb szereplői, részben felfedve a harcoló felek dinamikáját. A konfliktus alapvető jelensége lett a hacktivizmus, vagyis a politikai motivációjú hackertevékenység, melynek következtében számtalan kisebb, általában azonosítatlan hackercsoport kapcsolódott be a műveletekbe. Az izraeli célpontokat támadó aktorok közül kiemelkedik a korábban már az orosz-ukrán konfliktusban orosz oldalon tevékenykedő Killnet csoport, mely az izraeli kormányzati oldalra való behatolást vállalta magára, valamint a már említett AnonGhost, és az Anonymus Sudan is kulcsfontosságú szerepet játszott a támadásokban. Emellett felbukkant a kibertérben a vélhetően gázai lokalizációjú Storm-1113 csoport is, mely az izraeli energia, védelmi és telekommunikációs szektort támadta.

Ezzel szemben a palesztin célpontok támadásában az Indiához köthető hackercsoportok játszanak domináns szerepet, így a Team UCC és a már említett Indian Cyber Force is Izraelt támogatja a kiberműveletek során. Utóbbi csoport nemzeti hovatartozásának elismerése azonban eszkalációs következményekkel járt, ugyanis tevékenységükre válaszul számos, palesztinokat támogató hackercsoport magát az indiai állami digitális infrastruktúrát kezdte támadni, rámutatva ezzel az identitás felfedésének kockázataira a kibertérben.

A kibertér, mint hadszíntér különleges jellemzőit bizonyítja, hogy a két fő oldal mellett olyan aktorok is megjelenhetnek, melyek a káoszt igyekeznek kihasználni bármilyen fajta elköteleződés nélkül, így például a ThreatSec csoport mind izraeli, mind palesztin célpontokat egyaránt kibertámadás alá vett.

A kiberhadviselés jellege és szerepe – konklúzió

Összességében tehát a jelenlegi Izrael és Hamász közötti háború már első napjától fogva demonstrálta az egyik legújabb hadműveleti térben, a kibertérben történő hadviselés és műveletek nemzetközi konfliktusokban játszott szerepét és különleges jellegét. Amint az már a konfliktus első napján bebizonyosodott, napjaink fegyveres harcai nem csupán a kinetikus hadviselésre korlátozódnak, hanem a különféle műveletek a kibertérre is kiterjednek, akár a szárazföldi műveletek közvetlen támogatását is szolgálva ezáltal. Ennek a virtuális hadszíntérnek a sajátosságaiból fakadóan azonban a hadviselő feleket nagyon nehezen (vagy sokszor egyáltalán nem) sikerül azonosítani, valós hátterük és identitásuk fedett, és ahogyan bebizonyosodott, nemzeti hovatartozásuk elismerése azonban akár nemzetközi szintű eszkalálódáshoz is vezethet. Ezen csoportok egyre gyakrabban politikai motivációkkal rendelkezve „hacktivista” entitások, melyek azonban képességeikben és elköteleződésükben is rendkívül széles skálán mozognak, így a köztük való együttműködés nem jellemző, inkább alkalomszerű. Módszereik ehhez igazodva szintén különbözőek, a mennyiségi erőre támaszkodó DDoS-támadásoktól egészen a fejlettebb képességeket igénylő rendszerbehatolásokig terjednek. Célpontjaik, a kiberhadviselés kinetikus hadviseléssel szembeni jellegére rámutatva, már nem korlátozódnak a (digitális) katonai infrastruktúrára, hanem legtöbbször közvetlenül az állami rendszerek és a polgári lakosság ellen irányulnak, mely különféle további kockázatokat rejthet magában. Ilyen módon tehát az Izrael és Hamász közötti háború újabb bizonyosságot adott napjaink nemzetközi konfliktusainak megváltozott dinamikájáról, demonstrálva a kiberhadviselés egyre meghatározóbbá váló szerepét és különleges jellegét.

Hasonló témájú cikkeink ide kattintva érhetők el.
Az eseményeket a Terror és Háború a Közel-Keleten című rovatunkban ehhez hasonló rövid cikkekkel követjük. A rovat ide kattintva érhető el.

Photo by Markus Spiske on Unsplash.

Ha pontos képet szeretne kapni a cikkben vázolt események mögött meghúzódó összefüggésekről, látogasson el a Biztonságpolitikai Szakkollégium október 31-i eseményére, ahol négy szakértő segítségével részletesebben járják körbe a kérdést.