Kiedy myślimy o operacjach cyber prowadzonych na zlecenie lub pod kierownictwem rządu myślimy zwykle o agencjach wywiadowczych i jednostkach wojskowych. NSA, GRU, MSS czy PLA to przykłady tego rodzaju profesjonalnych organizacji rządowych zatrudniających funkcjonariuszy w celu realizowania polityki państwa środkami cyber. Jest jednak państwo równie aktywne w tej przestrzeni, które prowadzi być może choćby bardziej agresywne operacje niż Chiny czy USA jednak wykorzystuje zupełnie inny schemat organizacyjny. Mowa tutaj o Iranie i tym, jak wykorzystuje on kombinacje niezależnych grup, prywatnych organizacji i elementów agencji wywiadowczych. Iran jest państwem dużo mniej zasobnym niż inne państwa znane ze spektakularnych operacji jak choćby Stany Zjednoczone czy Rosja. Nie powinno jednak zaskakiwać, iż państwo to jest tak zainteresowane tworzeniem zdolności cyber. W końcu Iran sam był celem jednego z najbardziej spektakularnych CNA. Chodzi o użycie Stuxnetu przez Stany Zjednoczone i Izrael do ataku na ośrodki wzbogacania uranu co miało spowolnić program opracowywania broni jądrowej. Wykorzystanie mieszanej struktury organizacyjnej i oddolnych inicjatyw sprawiło, iż w zakresie tempa czy skali działań jest często wymieniany w jednym ciągu z wcześniej wskazanymi państwami i jak to się mówi „boksuje powyżej swojej kategorii wagowej”. Przyjrzyjmy się więc temu co wyróżnia irański sposób prowadzenia operacji i jaki rodzaj aktywności prezentuje.
Ze względu na konieczność konfrontacji z dużo bardziej zasobnymi państawmi, Iran kładzie nacisk na asymetryczne środki prowadzenia walki. Przywołać możemy przykłady zaangażowania w konflikty poprzez wspieranie podmiotów trzecich działających w interesie Iranu – jak udzielanie pomocy Kurdyjskim bojówkom podczas wojny irańsko-irackiej, wsparcie dla Hezbollahu czy Palestyńskich bojówek w Strefie Gazy. Podobnie jak w kwestii operacji cyber, zdolności nie będą oparte w takim stopniu na zintegrowanym aparacie agencji rządowych jak ma to miejsce w przypadku USA, Chin czy Rosji. Oczywiście również te kraje korzystają z pomocy sektora prywatnego, w szczególności w zakresie szkolenia czy tworzenia narzędzi. W przypadku Iranu, organizacje pozarządowe działają bardziej autonomicznie, często samodzielnie, prowadząc operacje zgodne z linią polityczną państwa.
Iran wykorzystuję więc wielopoziomową strukturę składającą się z agencji rządowych, podwykonawców zrzeszonych w instytucjach badawczych, firmach zajmujących się bezpieczeństwem sieciowym i forach internetowych. Zgodnie z raportem Recorded Future, podział ten był efektem konieczności szybkiego wytworzenia zdolności cyber do czego wykorzystano mechanizmy rynkowe. Osoby nieoficjalnie powiązane z rządem w Teheranie i Korpusem Strażników Rewolucji Islamskiej (IRCG – Islamic Revolutionary Guard Corps) miały przydzielać zadania podwykonawcom, ale zapłata była wypłacana dopiero gdy zostały osiągnięte wyznaczone cele. Podwykonawcy rywalizowali więc o nagrody i dobre relacje ze zleceniodawcami. To przekładało się na kolejne zlecenia i sprawiało, iż najlepsze zespoły pozostawały na rynku. W doborze współpracowników, Iran kierował się wiernością ideologii państwa (co bywało ważniejsze niż zdolności danej grupy) i podziałem obowiązków. Podwykonawcy otrzymywali zadania związane tylko z jedną częścią operacji, jak tworzenie narzędzi czy infrastruktury, co sprawiało, iż do ukończenia zadania konieczna była najczęściej praca kilku grup. Nieco podobnie jak w przypadku Chin wiele osób, które zdecydowały się na późniejszą pracę z wywiadem zaczynało od aktywności na forach internetowych skupiających społeczność osób zainteresowanych bezpieczeństwem. W przypadku Iranu czołowym forum tego rodzaju było Ashinaye prowadzone przez Ashiyane Digital Security Team, firmę pracującą dla IRCG. Społeczność powiązana z forum zajmowała się wymianą informacji z zakresu bezpieczeństwa informatycznego i defacementem konkurencyjnych forów. niedługo jednak defacementy zaczęły mieć również charakter ideologiczny, a działania zainteresowały władze, które wykorzystały aktywność młodych Irańczyków w celach propagandowych. Samo Ashiyane Digital Security Team zajmowała się analizą podatności, jednak równocześnie była zaangażowana w ideologicznie motywowane ataki na strony internetowe organizacji niesprzyjających reżimowi w Teheranie. Ataki obejmowały zarówno instytucje na zachodzie jak i na Bliskim Wschodzie. o ile chodzi o zaangażowanie ideologiczne samej firmy i uczestników forum, prezes Ashiyane, Behrooz Kamalian, twierdził, iż forum jest niezależne od firmy jednak równocześnie, otwarcie przyznawał, iż działania są zawsze zgodne z celami rządu Iranu, a firma współpracuje z Irańską armią. Forum zakończyło działalność w 2018 roku, rzekomo ze względu na zaangażowanie w działalność hazardową.
Podejście oparte na sieci luźno powiązanych grup ma swoje wady i zalety, jednak z perspektywy Iranu przede wszystkim zapewnia dostęp do większej puli personelu i środków umożliwiających częste operacje i bardziej elastyczne tempo działań. Również o ile chodzi o zaawansowanie metod i środków, to niezależne podmioty wydają się wystarczające dla prowadzenia zaczepnych akcji wywołujących widoczne i medialne rezultaty. Jako przykład możemy przywołać operacje „Ababil” prowadzoną przez grupę „Izz adDin al-Qassam Cyber Fighters”. dzięki prostych ataków DDoS zakłócili pracę serwisów internetowych wykorzystywanych do obsługi klientów przez instytucje finansowe. Więcej światła na te wydarzenia rzucił opublikowany w Marcu 2016 roku akt oskarżenia wobec siedmiu Irańczyków zaangażowanych w cyber operacje przeciwko podmiotom w Stanach Zjednoczonych. Amerykańska prokuratura wskazała w nim dwie Irańskie firmy: ITSecTeam i Mersad, które to miały być sponsorowane przez IRCG. Zgodnie z dokumentem ataki DDoS kosztowały instytucje dziesiątki milionów dolarów, jednak co bardziej interesujące jeden z oskarżonych miał również uzyskać dostęp do systemów SCADA Tamy Bowdan w Nowym Jorku. W misji jednak przeszkodziły zaplanowane pracę serwisowe w ramach których sterowniki zostały odłączone od sieci. Całość pokazuje jak korzystanie z prywatnych podmiotów jako instrument rozszerzania skali działań przekłada się za równo na operacje destrukcyjne jak i wywiadowcze.
Lawirowanie pomiędzy głośnymi i prostymi atakami a długofalowymi działaniami wywiadowczymi również jest charakterystyczne dla cyber aktywności Iranu. Przykłady destrukcyjnych operacji można mnożyć i mnożyć, zaczynając od ataków na kasyna Sheldona Adelsona, poprzez wiper Shamoon atakujący systemy Saudi Aramco, aż do ataków na Albanię. Aktywności Iranu często miały formę prostych, odwetowych ataków. Sposób ich prowadzenia nie wskazywał na zaawansowane zdolności, jednak wystarczał do osiągnięcia celów zarówno w zakresie wywołania kosztów u ofiar jak i zaznaczenia możliwości Iranu w świadomości masowej. Efektywność wykorzystania prostych narzędzi pokazuje zresztą historia malware Shamoon. Poza wspomnianymi atakami przeciwko Saudi Aramco, był on również wykorzystany w 2016 i 2018 roku. W 2016 zaobserwowano malware Disttrack będący ewolucją pierwszej wersji Shamoon, a w 2018 trzecia wersja ponownie zaatakowała firmy z sektora naftowego i gazowego. Malware w pewnym stopniu ewoluował, jednak choćby pierwszej jego wersji udało się zaatakować infrastrukturę krytyczną wrogiego państwa. Z drugiej strony ostatnio zaobserwowane operacje wywiadowcze pokazują zgoła inny rodzaj aktywności. W lipcu 2021 roku Proofpoint opublikował raport opisujący długofalową kampanię wywiadowczą w której napastnicy podszywali się pod pracowników naukowych School of Oriental and African Studies (SOAS) Uniwersytetu Londyńskiego. Atakujący nie tylko prowadzili długą korespondencję zdobywając zaufanie ofiary, ale również korzystali z przejętej strony radia SOAS do zamieszczenia phishingowego formularza służącego do przejmowania haseł i loginów. Podobnie we wrześniu ubiegłego roku Mandiant opisał grupę APT42, której napastnicy również prowadzili socjotechniczne kampanie podając się za dziennikarzy lub badaczy wykorzystując zbudowaną relację do przekonania ofiary do uruchomienia pliku PDF przekierowującego do strony phishingowej.
Kolejnym wartym odnotowania przykładem był przypadek Monici Witt, oskarżonej razem z m.in Bezhadem Mesrim. Witt była żołnierzem Sił Powietrznych USA, która w 2013 roku przeszła na stronę Iranu i zaczęła przekazywać poufne informacje na temat operacji sił zbrojnych USA, a także pomagające w wyszukiwaniu celów do rekrutacji. Mesri z kolei zajmował się włamaniami w ramach kampanii śledzonych jako Charming Kitten i odpowiadał m.in za włamanie do HBO. Nie do końca wiadomo jakie relacje łączyły go z rządem Iranu, przy czym John Hultquist wskazywał, iż jest on raczej podwykonawcą niż oficerem dorabiającym realizując zlecenia dla IRGC. Do podobnego wniosku prowadzi lektura aktu oskarżenia, w którym możemy przeczytać, iż Mesri zarejestrował w Iranie firmę pracującą dla IRCG. Dokument nie wskazuje wprost co łączyło Witt z operacjami cyber, możemy to jednak, do pewnego stopnia, wywnioskować z treści zarzutów. Witt została oskarżona m.in. o to, iż wyszukiwała na Facebooku osoby pracujące dla rządu USA i przygotowywała pakiety informacji na temat potencjalnych celów. Z opisu operacji cyber wynika natomiast, iż napastnicy rozpoczynali kontakt z ofiarami właśnie na Facebooku, wysyłając celom zaproszenia do grona znajomych. Bardzo prawdopodobne jest więc, iż celami były osoby posiadające konta na FB wytypowane przez Witt. Historia ta pokazuje jak outsourcing operacji cyber przeplata się z klasyczną działalnością wywiadowczą. Według informacji ujawnionych przez New York Times Witt została zrekrutowana przez Marzieh Hashemi, irańską dziennikarkę amerykańskiego pochodzenia. W akcie oskarżenia Hashemi występuje jako „Individual A” i jak wynika z opisu „zachowuje się w sposób wskazujący na pracę dla Irańskich służb wywiadowczych”. o ile więc przyjmiemy, iż Hashemi pracowała dla agencji rządowej, to widzimy, iż Iran jest skłonny łączyć pracę agencji wywiadowczych i prywatnych podwykonawców, właczając w to przekazywanie informacji zdobytych przez klasyczny aparat wywiadu do prywatnych podwykonawców.
Iran jest z pewnością jednym z najbardziej aktywnych, najbardziej medialnych i najbardziej interesujących graczy w zakresie zdolności cyber. Szczególnie warte uwagi jest, iż ograniczone zasoby organizacyjne przekładają się na bardzo szerokie spektrum rodzajów operacji. W przeciwieństwie do Chin czy USA, które znane są przede wszystkim z zaawansowanych aktywności wywiadowczych, Iran posiadający mniejsze możliwości musi kierować się utylitarną kalkulacją tego co można osiągnąć mniej zaawansowanymi metodami. Pomimo, iż wiele operacji miało wyraźnie odwetowy charakter i korzystało z prostych narzędzi, to nie sposób nie zauważyć rozwoju. Długofalowe działania wywiadowcze uwzględniające budowanie relacji z ofiarami i wykorzystywanie przejętej infrastruktury pokazują jak Iran pozycjonuje swoje umiejętności szerokiego spektrum działań.