Toen de VS begonnen “grote gevechtsoperaties” Eind februari tegen Iran kwamen de waarschuwingen over een online tegenaanval van Iran en aan de natie verbonden groepen uit alle hoeken. Maar ruim zes weken later zijn er geen noemenswaardige inbraken bekend.
De hackers hebben dat gedaan bezig geweest in andere regio’s. Groepen die banden hebben met het Iraanse regime hebben Jordaanse gasbedrijven getroffen, evenals bedrijven in de VAE en Qatar, als onderdeel van het Great Epic cyberoffensief. Maar de invallen in de VS leken in vergelijking vrij klein.
Aan Iran gelinkte hackers sloegen bijvoorbeeld toe fabrikant van medische apparatuur Strykerdat een wereldwijde storing in zijn systeem zag. FBI-directeur Kash Patel zag dat zijn persoonlijke e-mail (maar niet die van het bureau) gecompromitteerd was. En het aan Iran gelieerde Handala beweerde vorige maand de persoonlijke gegevens te hebben gepubliceerd van tientallen werknemers van defensiebedrijf Lockheed Martin die in het Midden-Oosten waren gestationeerd.
Niets daarvan is triviaal. Toch blijft het achter bij waar de autoriteiten voor waarschuwden. De tot nu toe geïdentificeerde aanvallen waren opportunistisch en maakten gebruik van het soort kwetsbaarheden waar veel hackergroepen zich op richtten, in plaats van de omvang van het digitale Pearl Harbor te benaderen waar sommigen bang voor waren.
“Veel van de activiteiten van de betrokken hacktivistische groepen waren omvangrijk, maar hadden weinig impact”, zegt Marijus Briedis, CTO van NordVPN. “Gerapporteerde DDoS-aanvallen, website-defacements en datadumps genereren de krantenkoppen, maar beschadigen kritieke systemen niet fundamenteel.”
Verstop je je onder de oppervlakte?
Het is uiteraard ook mogelijk dat er aanzienlijke cyberaanvallen hebben plaatsgevonden, maar dat deze simpelweg nog niet zijn gerapporteerd. Er is vaak sprake van vertraging bij inbreuken en sommige bedrijven maken deze nooit openbaar. Het is net zo aannemelijk, zegt Matt Hull, vice-president Cyber Intelligence and Response bij NCC Group, dat sommige aanvallen helemaal niet zijn gedetecteerd.
“Cyberactiviteiten in een vroeg stadium hebben de neiging prioriteit te geven aan het genereren van desinformatie, het verzamelen van inlichtingen, de ontwikkeling van toegang en operaties die militaire doelstellingen rechtstreeks ondersteunen”, zegt hij. “De afwezigheid van breed gerapporteerde incidenten moet niet worden geïnterpreteerd als een gebrek aan activiteit, maar eerder als een indicatie dat een groot deel ervan plaatsvindt onder de drempel van publieke detectie.”
Het is verder mogelijk dat verhalen over de omvang van Irans cyberoorlogsprogramma overdreven zijn. Dat is een theorie die door Georgia Tech-professor en cybersecurity-specialist Jon R. Lindsay naar voren wordt gebracht in een recent New York Times opiniestuk.
“Zelfs als de digitale spionnen stilletjes aan het werk zijn, wekt de Iraanse cyberoorlog tot nu toe niet het vertrouwen dat het land hier goed in is, in de open lucht of achter de schermen”, schreef Lindsay. “Een meer waarschijnlijke mogelijkheid is dat de capaciteit van Iran voor cyberoorlogvoering wordt overschat, gedegradeerd of beide.”
Zware verliezen
De Amerikaanse en Israëlische aanvallen op Iran zouden een belangrijke factor kunnen zijn in het uitblijven van een cyberreactie tot nu toe. Ten minste twee Iraniërs die beschuldigd werden van het uitvoeren van cyberoperaties tegen westerse entiteiten, kwamen naar verluidt om bij de aanvallen. Israël zegt ondertussen zijn bommen het hoofdkwartier voor cyberoorlogvoering te raken van de Iraanse Islamitische Revolutionaire Garde (IRGC), die in verband is gebracht met verschillende grote cyberoperaties tegen de VS, waaronder hacken en lekken van informatie van de presidentiële campagne van Donald Trump in 2024. (Seyed Majid Khademi, het hoofd van de inlichtingendienst van de IRGC, was naar verluidt ook aanwezig vorige week vermoord.)
Wat de zaken nog ingewikkelder maakt, is het feit dat Iran sinds eind februari een vrijwel totale internetuitval heeft. Er zijn echter een naar schatting 50.000 Starlink-terminals in het land, volgens Holistic Resilience, een non-profitorganisatie die burgers helpt internetcensuur te omzeilen. Als gevolg hiervan kunnen sommige van de huidige hackinspanningen tegen de VS via in de VS gebouwde technologie worden geleid.
“De eigen infrastructuur van Iran zou kunnen zijn aangetast, met bijna totale internetstoringen en gerapporteerde aanvallen op het hoofdkwartier voor cyberoorlogvoering in Teheran”, zegt Briedis van NordVPN. “Geavanceerde cyberaanvallen vergen maanden van verkenning en maatwerk, en veel van dat voorbereidende werk kan door het conflict zelf zijn verstoord.”
Sergey Shykevich, manager van de Threat Intelligence Group bij Check Point Research, is het ermee eens dat de aanvallen op het internet van het land tot nu toe van invloed kunnen zijn geweest op cyberaanvallen.
“Wij denken niet dat Iran nu over de mogelijkheden beschikt om activiteiten in de VS op grote schaal te ontwrichten, maar zij benutten verschillende mogelijkheden wanneer zij een zwakke veiligheidspositie van organisaties zien en de doelgerichtheid aansluit bij hun geopolitieke strategie”, zegt hij.
Por de beer niet
Het is net zo goed mogelijk, merkt Jake Mullins op, onlangs afgestudeerd aan de National Security Student Association van de Brigham Young University, die studenten voorbereidt op een carrière in de nationale veiligheid, dat Iran voorlopig opzettelijk een grote cyberaanval op Amerikaans grondgebied vermijdt, gezien het potentieel om de publieke opinie omgooien ten gunste van de oorlog tegen Iran.
“Het verbrijzelde Iraanse leiderschap weet dat hun enige hoop is dat er interne Amerikaanse druk wordt uitgeoefend om deze oorlog te stoppen zodra de Amerikanen echte economische pijn voelen.” schreef hij in een BYU-blog. “De Iraniërs weten dat als er op Amerikaans grondgebied iets gebeurt dat lijkt op een terroristische aanslag, het Amerikaanse leger een blanco cheque zal hebben om Teheran plat te leggen, en dat Iran zijn vermogen om te onderhandelen zal verliezen.”
Ongeacht het gebrek aan aanvallen die de krantenkoppen halen, waarschuwen functionarissen Amerikaanse bedrijven en instanties om alert te blijven. Vorige week zei de federale Cybersecurity and Infrastructure Security Agency bijvoorbeeld dat er sprake was van aan Iran gelinkte hackers gericht op kritische industrieën zoals de Amerikaanse energie- en watersector, hoewel er geen berichten waren over grote successen. De autoriteiten waarschuwden organisaties in kritieke infrastructuursectoren ook om cyberbeveiligingsmaatregelen toe te passen op hun activiteiten en procescontroleapparatuur.
