Ketika serangan terjadi di Tehran pada Sabtu pagi, jutaan warga Iran mendapat notifikasi aneh di ponsel mereka. Aplikasi doa BadeSaba, yang sudah diunduh lebih dari 5 juta kali, telah diretas. Aplikasi itu mengirim peringatan yang berkata, “Bantuan sudah datang!” dan menyerukan “Tentara Rakyat” untuk membela “saudara-saudara Iran,” menurut penilaian dari perusahaan intelijen siber Flashpoint. Pada Minggu, aplikasi itu mengirim instruksi cara menyerah untuk anggota biasa Garda Revolusi Islam dan lokasi aman untuk pengunjuk rasa berkumpul.
Kemudian, pendukung setia rezim dengan cepat melawan balik.
Menurut Flashpoint, yang terjadi pada Minggu adalah penggunaan paling agresif sejauh ini dari kampanye siber yang dikenal sebagai “Epos Besar” Iran. Ini adalah grup operator siber yang dikoordinasi longgar di bawah saluran bernama “Cyber Islamic Resistance.” Di bawah payung grup ini, berbagai penyerang siber telah mematikan pompa bensin di Yordania, dan memimpin serangan terhadap penyedia layanan militer AS dan Israel untuk menghancurkan data serta melakukan operasi psikologi yang meniru peretasan BadeSaba.
48 jam berikutnya kemungkinan akan menjadi periode “gejolak ekstrem” di mana aktivis peretas dan kelompok proxy “akan memimpin eskalsi untuk mengisi kekosongan yang ditinggalkan oleh komando pusat Tehran,” catat Flashpoint dalam pembaruan. Pelaku ini diduga menggunakan Telegram dan Reddit sebagai pusat koordinasi, memposting tangkilan layar serangan sebagai bukti, meski perlu minggu atau bahkan bulan untuk memverifikasi keakuratannya, kata Kathryn Raines, mantan pakar NSA yang kini memimpin tim intelijen ancaman di Flashpoint.
Peretasan BadeSaba menunjukkan pola yang sekarang bisa dicoba diterapkan balik oleh grup proxy Iran terhadap perusahaan Barat dan lainnya. Ditambah, dengan pimpinan Iran yang efektif berkurang drastis oleh serangan Sabtu, struktur komando yang mengawasi operasi siber Tehran pada dasarnya hilang, kata Raines.
“Kekosongan kepemimpinan Iran kemungkinan akan menyebabkan serangan proxy yang lebih tak terduga dan terdesentralisasi,” katanya kepada Fortune.
Dalam praktiknya, itu berarti aktivis peretas dan grup proxy yang sejalan membuat keputusan target sendiri, tanpa persetujuan dari otoritas pusat. Jadi jika grup yang sangat agresif memutuskan untuk menyerang perusahaan logistik menengah untuk membuat pernyataan, risikonya akan meluas di luar Tehran, Washington D.C., atau New York, kata Raines.
“Ini ada di tangan peretas berusia 19 tahun di ruang Telegram tanpa pengawasan atau arahan yang nyata,” dia memperingatkan.
Karena itu, pemimpin bisnis AS harus bersiap untuk ketidakpastian yang berlanjut, kata Brian Carbaugh, salah satu pendiri dan CEO perusahaan keamanan berbasis AI Andesite serta mantan direktur Pusat Aktivitas Khusus (SAC) elit CIA. Orang Iran secara konsisten menunjukkan selama bertahun-tahun bahwa mereka sangat tangguh sebagai pemerintah dan kekuatan perlawanan. Dan mengingat rezim sedang membombardir tetangganya, orang harus berharap Iran terus mengerahkan kemampuan siber ofensif mereka yang tangguh, selain aspek kekuatan nasional lainnya seperti misil dan proxy bersenjata di seluruh dunia, katanya.
“Perlawanan yang agresif dan kreatif sudah mendarah daging dalam etos aparat keamanan Iran dan di seluruh Republik Islam Iran,” kata Carbaugh, yang sebelumnya menjabat sebagai kepala staf untuk dua direktur CIA. “Bagi pemimpin bisnis dan mereka yang melindungi bisnis serta membuat keputusan di tingkat sangat tinggi, mereka harus siap untuk ini berlanjut beberapa waktu dan untuk konflik ini mengambil sejumlah arah yang berbeda dan berbelok di jalan.”
Serangan AS dan Israel yang mengurangi kemampuan militer konvensional Iran membuat serangan siber terlihat lebih menarik, kata Carbaugh. Biaya penerapannya rendah, sulit dilacak asalnya, dan sangat mampu menciptakan gangguan psikologis dan operasional yang besar dibandingkan investasi yang dibutuhkan. Iran telah menunjukkan bahwa mereka mampu meniru dan mengembangkan metode serangan siber yang pertama kali diperlihatkan Rusia, misalnya.
“Republik Islam selalu memiliki kebanggaan besar akan kemampuan siber di dalam dinas keamanannya,” kata Carbaugh. Kebanggaan itu tidak mungkin hilang dengan kehilangan pimpinan senior, dan mungkin menguat saat pilihan lain menyempit.
Menurut Raines, sebagian besar rencana keamanan perusahaan tidak siap untuk serangan seperti peretasan BadeSaba, yang mendorong notifikasi ke jutaan Muslim di Iran yang menggunakan aplikasi itu untuk melacak jadwal agama harian tepat saat serangan dimulai.
“Perusahaan tidak benar-benar siap untuk apa yang akan saya sebut operasi psikologi nihilistik yang benar-benar dimaksudkan untuk menargetkan kondisi mental dan kepercayaan pekerja mereka,” jelasnya, membedakannya dengan serangan yang dirancang untuk mencuri data dan melumpuhkan sistem.
Ini bisa terwujud di bisnis seperti ini: Staf di wilayah Teluk mulai mendapat pesan yang terlihat mendesak, mungkin audio deepfake yang dikaitkan dengan pemimpin regional atau CEO mereka, atau komunikasi yang katanya dari perusahaan tentang evakuasi. Tapi dengan berita lokal offline dan layanan internet yang sedikit, orang akan memiliki kemampuan sangat terbatas untuk memeriksa fakta apa pun.
Sedikit perusahaan yang memiliki rencana untuk kenyataan yang akan dihadapi karyawan dalam jam-jam berikutnya, sementara pemodelan risiko sering didasarkan pada perilaku negara dan “garis merah” yang diasumsikan yang mencegah perang total, catat Raines.
Untuk dewan dan eksekutif yang akan rapat minggu depan, pertanyaan kunci bagi pemimpin keamanan akan berkaitan dengan waktu maksimal fungsi bisnis bisa offline sebelum hal itu berdampak pada pendapatan dan reputasi, dia memperkirakan.
“Kami kurang tertarik pada tingkat pemblokiran, dan lebih tertarik pada waktu pemulihan,” kata Raines.
Carbaugh berkata jika dia ada dalam panggilan dewan minggu ini, dia ingin tahu apakah bisnis berada pada tingkat risiko yang lebih tinggi berdasarkan apa yang terjadi di Iran. Jika jawabannya ya, dia ingin tahu apa yang dilakukan untuk mengurangi risiko. Jika jawabannya tidak, dia akan bertanya lebih banyak lagi.
Para pemimpin harus mencari tahu langkah apa yang telah diambil untuk memastikan bisnis tidak berisiko, mencari tahu bagaimana perusahaan telah bekerja sama dengan mitra dan lainnya untuk mengetahui cara mereka mendeteksi serangan, dan bagaimana AI saat ini digunakan dalam melakukan hal itu, kata Carbaugh.
Dia tegaskan ini bukan krisis dengan penyelesaian jangka pendek, dan ini diterjemahkan menjadi risiko siber yang tidak akan segera hilang.
“Konflik ini bisa punya banyak lika-liku dan bergerak ke banyak arah berbeda,” kata Carbaugh. “Saya rasa ini bukan sesuatu yang akan kita selesaikan dengan rapi dan lanjutkan dalam beberapa hari. Ini akan membutuhkan kewaspadaan dan perlindungan konstan terhadap jaringan siber, keamanan fisik, dan semua aset kita lainnya.”