Jak “wygląda” wojna z Iranem z punktu widzenia Internetu? Obserwacje Censys

Można mieć wrażenie, że świat ostatnio nieco przyspieszył, a ponieważ nie mieliśmy czasu przebranżowić się na ekspertów od Bliskiego Wschodu (chociaż patrząc na polskojęzyczny X, to tych nie brakuje) chcielibyśmy przybliżyć jeden z ostatnich konfliktów pokazując anomalie zaobserwowane przez firmę Censys, która utrzymuje bazę urządzeń podłączonych do globalnej sieci Internet, aktywnie skanując i katalogując sieć (podobnie do shodan.io, tylko troszkę “dokładniej”). 

Nie jest nowością traktowanie cyberprzestrzeni jako kolejnej domeny konfliktów. USA stosunkowo szybko dostrzegło nowe możliwości i zagrożenia, dlatego sformułowało „DoD Strategy for Operating in Cyberspace” już w 2011 roku, uprzednio formując USCYBERCOM. Ale tak naprawdę już wtedy, była to reakcja i systematyzacja, wprowadzona w odpowiedzi na realne działania, takie jak często przywoływany rosyjski atak na Estonię (2007 rok) czy operacja “Orchard” w Syrii (siły izraelskie wykorzystały komponent cyber wraz z klasyczną walką elektroniczną do unieszkodliwienia obrony p/lot). 

Odpowiednio przygotowane działania w cyberprzestrzeni mogą mieć wielorakie zastosowanie. Po pierwsze pozwalają zdezintegrować funkcjonowanie państwowych systemów i instytucji (które zwłaszcza w pierwszych dniach wojny ulegają olbrzymiej presji). Po drugie, wykorzystanie łączności, którą zapewnia Internet, pozwala na prowadzenie działań o charakterze dezinformacyjnym i psych-ops, obniżając w efekcie morale i jeszcze bardziej paraliżując działanie państwa. Dlatego odzyskanie i utrzymanie kontroli nad przestrzenią przepływu informacji, jest kluczowe z punktu widzenia obrońców (swoją drogą właśnie te aspekty są sprawdzane w organizowanych co roku ćwiczeniach Locked Shields, w których reprezentacja Polski bardzo często staje na podium klasyfikacji).

W okolicach 18 czerwca br. systemy Censys, aktywnie badające dostępność adresów zanotowały spadek dostępności irańskich adresów IP. Poniższy wykres został sporządzony na bazie analizy połączeń do “często odpowiadających” hostów w Iranie.

Z drugiej strony, dysponując danymi ilościowymi, Censys przygotował też inne zestawienie – prezentujące liczbę dostępnych z sieci hostów w czasie. 

Okres oznaczony kolorem żółtym wskazuje na znaczący ubytek widocznych w sieci systemów. Gdy przyjrzeć się datom, można skorelować je z amerykańskimi działaniami najpierw w przestrzeni informacyjnej/dyplomatycznej, a później z kinetyczną operacją “Midnight Hammer”. 

Po najgorętszym (do dzisiaj) okresie konfliktu, zauważyć można poprawę parametrów – coraz więcej systemów zaczęło być znowu dostępnych. Jednak jak zauważają autorzy badania, nie wszystkie systemy autonomiczne zostały w pełni przywrócone do działania. Pojawiają się również anomalie, które ciężko jest wytłumaczyć, takie jak liczba hostów dostępnych w AS49666. Czym jest ten system autonomiczny? Jest to jeden z ASów zarządzanych przez Iran Telecommunication Infrastructure Company (stąd jego nazwa – TIC), w skrócie jest to element infrastruktury kontrolowany bezpośrednio przez rząd tego kraju i zapewniający łączność każdemu krajowemu ISP. Oznacza to, że wszelkie problemy z łącznością w TIC, będą się przekładały na dostępność u wszystkich operatorów. 

Jak zauważają analitycy, widzialny proces odtwarzania sieci doprowadził do znacznego wzrostu hostów w TIC, który wyprzedza pierwotną wartość. Czyżby ktoś zorientował się, że znaczna część urządzeń nie działała i przy okazji je zrestartował? :) 

Firma przygotowała panel pozwalający przeglądać i analizować zgromadzone statystyki dotyczące dostępności hostów w Iranie na przestrzeni ostatnich tygodni. 

Jak wspomnieliśmy na wstępie, z szacunku do naszych Czytelników nie zamierzamy poszerzać grona X’owych “ekspertów” od geopolityki, zaoferujemy jednak całkiem sensowne wytłumaczenie ogólnych trendów w statystykach. Po pierwsze należy zaznaczyć, że z pewnością różne operacje w cyberprzestrzeni były dokonywane przez obie strony konfliktu. Po drugie jednak, ograniczenia w dostępie do sieci, były spowodowane głównie decyzją irańskiego rządu, który uargumentował ten krok jako element obrony przed atakami z zewnątrz. Nie sposób nie zgodzić się z faktem, że sieciowo niedostępne hosty trudniej zaatakować. Nic nie wskazuje na to, jakoby za znaczącym spadkiem ruchu sieciowego w tym regionie odpowiadał zewnętrzny aktor (np. Izrael) lub fizyczne uszkodzenie np. sieci szkieletowej. 

~Black Halt Hammerzeit