Wraz z narastającym napięciem geopolitycznym rośnie aktywność grup hakerskich powiązanych z Iranem. Jak podkreśla Gil Messing, Chief of Staff w firmie Check Point, operacje cybernetyczne „niemal na pewno są częścią szerszej strategii Iranu w obecnym środowisku konfliktowym, choćby jeżeli ich pełna skala nie pozostało publicznie widoczna”. Zdaniem eksperta obserwowane działania wpisują się w znany od lat schemat: połączenie ataków technicznych, presji psychologicznej oraz operacji wpływu prowadzonych przez grupy działające jako państwowe „proxy”.
Trzy kierunki działań
Obecna aktywność – jak wskazuje Check Point – dzieli się na trzy główne obszary. Po pierwsze: ataki wymierzone w Izrael, które obejmują kampanie phishingowe skierowane w cywilów, w tym złośliwe aplikacje mobilne podszywające się pod oficjalne służby ratunkowe. Równolegle prowadzone są ataki DDoS, defacementy stron internetowych oraz medialne „doniesienia” o rzekomym przejęciu kamer czy systemów infrastruktury. „Techniczny wpływ tych operacji jest na razie ograniczony, ale trend jest wyraźnie rosnący – liczba ataków przekracza standardowe poziomy, a w sieci pojawiają się próby rekrutowania hakerów z całego świata do wsparcia operacji” – podkreśla Messing.
Drugim wektorem działań hakerów jest rozszerzenie działań na inne państwa regionu. Coraz częściej celem stają się kraje arabskie postrzegane jako sprzymierzone z Zachodem – m.in. Jordania, Kuwejt czy Zjednoczone Emiraty Arabskie. To istotna zmiana, ponieważ skala operacji przeciwko podmiotom nieizraelskim jest większa niż dotychczas obserwowano.
Trzeci element to uderzenia w przeciwników reżimu. Ten sam ekosystem grup wykorzystywany jest do ataków na irańskich dysydentów oraz osoby mieszkające za granicą, które publicznie popierają działania militarne przeciwko Teheranowi. Pokazuje to, iż cyberprzestrzeń służy zarówno do prowadzenia konfliktu zewnętrznego, jak i do represji wewnętrznych.
Handala – psychologia i presja
Jednym z najbardziej widocznych podmiotów jest grupa Handala, uznawana za powiązaną z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). Odpowiadała ona za wcześniejsze ataki na izraelskie organizacje i polityków, a ostatnio deklaruje operacje przeciwko podmiotom energetycznym i infrastrukturalnym w różnych krajach. Ekspert zwracają uwagę, iż gdy takie grupy przyznają się do ataku, zwykle stoi za tym rzeczywiste włamanie lub uzyskanie dostępu – jednak skala szkód bywa celowo wyolbrzymiana. Częstą taktyką jest publikowanie danych pochodzących ze starszych wycieków w momentach napięcia geopolitycznego, aby stworzyć wrażenie nowego, poważnego incydentu i wywołać presję społeczną.
Długofalowa strategia, a nie jednorazowy atak
Iran od lat inwestuje w rozwój swoich zdolności cybernetycznych, łącząc klasyczne działania wywiadowcze z kampaniami dezinformacyjnymi. Rozproszona infrastruktura, redundancja operacyjna oraz wsparcie zewnętrznych podmiotów sprawiają, iż aktywność tych grup jest odporna na presję i trudna do całkowitego wyeliminowania. „Choć obecne działania mają ograniczony charakter destrukcyjny, trajektoria wskazuje na możliwość dalszej eskalacji. Iran zwykle stawia na długotrwałą presję, wpływ psychologiczny i oportunistyczne cele, a nie na natychmiastowy, masowy cyberatak” – ocenia Gil Messing.
Dla firm i instytucji w regionie – także w Europie – oznacza to jedno: zagrożenie należy traktować jako stały element ryzyka, a nie chwilowy wzrost aktywności. Współczesne konflikty coraz częściej toczą się bowiem nie tylko na polu bitwy, ale także w sieci.
