Home Bezpieczeństwo Sześćdziesiąt armii, których nie widać na mapie

Sześćdziesiąt armii, których nie widać na mapie

0
0
209

Kiedy myślimy o eskalacji na Bliskim Wschodzie, wyobraźnia podsuwa nam obrazy znane z telewizji – rakiety, konwoje, dyplomatyczne oświadczenia czytane zza pulpitów. Ale jest jeszcze jeden front, o którym mówi się mniej, choć dzieje się na nim więcej. Front, na którym nie trzeba munduru, nie trzeba granicy, a broń mieści się w laptopie.

Raport Unit 42 z marca 2026 roku czyta się jak kronikę wojny, która toczy się równolegle do tej „prawdziwej” – tyle że bez huku. Po wspólnej operacji wojskowej USA i Izraela oraz irańskim odwecie cyberprzestrzeń dosłownie zawrzała. Około 60 odrębnych grup hakerskich aktywnych na początku marca. Sześćdziesiąt. To nie jest literówka.

Internet spadł do czterech procent – i co z tego wynikło?

28 lutego 2026 roku dostępność internetu w Iranie runęła do 1–4 procent. Na pierwszy rzut oka mogłoby się wydawać, że to dobra wiadomość – skoro państwowi hakerzy nie mają łączności, to nie mogą atakować. I rzeczywiście, zdolność do koordynowania zaawansowanych operacji z Teheranu została poważnie ograniczona.

Tyle że tu zaczyna się paradoks, który Sam Rubin z Unit 42 ujmuje z chirurgiczną precyzją: spadek łączności nie oznacza spadku zagrożenia. Wręcz przeciwnie. Komórki operujące poza Iranem – a jest ich sporo, rozrzuconych po całym świecie – zyskały coś, co w żargonie wywiadowczym nazywa się autonomią operacyjną. Mówiąc po ludzku: centrala milczy, więc lokalne oddziały zaczynają działać na własną rękę. A działania na własną rękę bywają mniej przewidywalne i trudniejsze do wychwycenia niż te koordynowane z jednego centrum.

Kto tu właściwie gra i w co?

Lista aktorów w tym raporcie przypomina obsadę serialu, w którym scenarzysta stracił poczucie umiaru – tyle że każda z tych postaci jest prawdziwa.

Handala Hack, powiązany z irańskim Ministerstwem Wywiadu, włamuje się do izraelskich firm energetycznych i jordańskich systemów paliwowych, a przy okazji wysyła groźby śmierci do influencerów irańskiego pochodzenia, ujawniając publicznie ich adresy zamieszkania. Cyber Islamic Resistance koordynuje zsynchronizowane ataki DDoS na systemy obrony dronów i infrastrukturę płatniczą. Dark Storm Team specjalizuje się w masowych atakach na banki. Fatimiyoun Cyber Team tworzy oprogramowanie typu wiper – takie, które nie kradnie danych, tylko je trwale niszczy – i chwali się dostępem do systemów SCADA/PLC w Izraelu i innych krajach.

A to dopiero strona irańska i proirańska. Bo w tym samym czasie na scenę wchodzą grupy prorosyjskie. Kolektyw Cardinal twierdzi, że przeniknął do sieci Sił Obronnych Izraela i publikuje rzekomo poufne dokumenty operacyjne. NoName057(16) atakuje izraelskie instytucje miejskie i telekomunikacyjne. A Russian Legion ogłasza – z właściwą sobie skromnością – że uzyskał dostęp do systemu Iron Dome, kontrolując radary i monitorując cele w czasie rzeczywistym.

Czy wszystkie te deklaracje są prawdziwe? Niekoniecznie. Propaganda jest integralną częścią cyberoperacji. Ale nawet jeśli połowa z tych twierdzeń to przechwałki, druga połowa wystarczy, żeby spać niespokojnie.

Fałszywy alert, prawdziwe dane

Jest w tym raporcie jeden szczegół, który utkwił mi w głowie bardziej niż nazwy grup i skale ataków. W Zjednoczonych Emiratach Arabskich cyberprzestępcy zaczęli dzwonić do zwykłych ludzi, podszywając się pod Ministerstwo Spraw Wewnętrznych. Mówili, że dzwonią w sprawie krajowego alertu bezpieczeństwa i prosili o podanie numeru identyfikacyjnego. Proste, eleganckie, cyniczne. Bo kiedy ludzie się boją – a w regionie ogarniętym eskalacją boją się wszyscy – łatwiej im uwierzyć, że dzwoni rząd, a nie złodziej.

To jest chyba najlepsza ilustracja tego, jak cyberwojna przenika do codzienności. Nie trzeba atakować elektrowni ani systemu obrony przeciwrakietowej. Wystarczy zadzwonić do kogoś, kto właśnie oglądał wiadomości i ma podwyższone tętno.

Dlaczego to dotyczy nie tylko Bliskiego Wschodu?

Unit 42 zwraca uwagę na coś, co łatwo przeoczyć w gąszczu nazw grup i opisów ataków: operatorzy działający w rozproszonej strukturze geograficznej mogą atakować rządy w regionach, w których znajdują się bazy wojskowe USA. A bazy wojskowe USA znajdują się, jak wiadomo, w wielu miejscach na świecie. Również w Europie. Również w Polsce.

Państwowe kampanie irańskie, prowadzone pod szyldem Serpens, uderzają nie tylko w bezpośrednie cele regionalne, ale też w łańcuchy dostaw, infrastrukturę krytyczną, dostawców i usługodawców. A łańcuchy dostaw w zglobalizowanym świecie nie kończą się na granicy Bliskiego Wschodu. Firma z Poznania, która dostarcza komponenty do firmy z Dubaju, która współpracuje z podmiotem w Izraelu – nagle staje się potencjalnym celem nie dlatego, że ktoś o niej słyszał, ale dlatego, że jest ogniwem w łańcuchu.

Co z tego wynika dla tych, którzy nie prowadzą wojen?

Raport Unit 42 kończy się rekomendacją, która brzmi jak truizm, ale truizmem nie jest: żadne pojedyncze narzędzie nie gwarantuje bezpieczeństwa. Strategia wielowarstwowa, higiena cyberbezpieczeństwa, weryfikacja przychodzących komunikatów, monitorowanie zasobów widocznych w internecie, regularne aktualizacje, gotowe plany reagowania na incydenty. To wszystko brzmi jak lista z podręcznika – i właśnie dlatego tak rzadko jest w pełni wdrożone.

Bo prawda jest taka, że większość organizacji traktuje cyberbezpieczeństwo jak ubezpieczenie od powodzi w regionie, gdzie „nigdy nie było powodzi”. Dopóki woda nie wejdzie do piwnicy, składka wydaje się zbędnym kosztem.

Tyle że w marcu 2026 roku woda już stoi pod drzwiami. Sześćdziesiąt grup hakerskich nie pyta, czy jesteś gotowy. One sprawdzają, czy zostawiłeś otwarte okno.

Dodaj komentarz

Przeczytaj również

Nowe przepisy celne: czy logistyka przeniesie się do UE?

Z początkiem lipca weszły w życie przepisy dotyczące przesyłek spoza UE, które zmieniają z…