Eksperci ds. cyberbezpieczeństwa Check Point alarmują – aktywność powiązanych z Teheranem grup hakerskich rośnie i może rozszerzyć się nie tylko na Bliski Wschód czy USA, ale również na kraje sojusznicze Zachodu. W praktyce oznacza to realne zagrożenie także dla firm i użytkowników w Europie.
Irańscy hakerzy podszywają się pod zaufane osoby – dziennikarzy, ekspertów, organizatorów konferencji – aby skłonić ofiary do kliknięcia fałszywe strony imitujące WhatsApp, Microsoft Teams czy Google Meet, przechwytując hasła i tokeny sesyjne – ostrzegają analitycy firmy Check Point. Zagrożenie nie dotyczy już tylko polityków czy aktywistów – coraz częściej celem są osoby z dostępem do wrażliwych zasobów firm, takie jak administratorzy czy menedżerowie – dodają. Eksperci ostrzegają, iż w warunkach napięcia geopolitycznego takie grupy mogą gwałtownie przejść od zbierania informacji do działań destrukcyjnych.
Ekosystem irańskich operacji cybernetycznych jest rozbudowany i wielowarstwowy. Obejmuje podmioty powiązane z Korpusem Strażników Rewolucji Islamskiej (IRGC) oraz Ministerstwem Wywiadu i Bezpieczeństwa (MOIS), a także grupy działające pod przykryciem „haktywizmu”. Ich działania mają trzy główne cele: szpiegostwo (uzyskanie dostępu do informacji i przyczółków w sieciach), destabilizację (ataki DDoS, niszczące oprogramowanie, pseudo-ransomware) oraz operacje informacyjne – czyli łączenie wycieków danych z kampanią propagandową w mediach społecznościowych.
Dezinformacja i „hack-and-leak”
Jednym z aktywnych podmiotów jest Cotton Sandstorm, powiązany z IRGC. Grupa łączy klasyczne włamania – defacement stron, kradzież danych czy DDoS – z operacjami wpływu. Charakterystycznym elementem jest schemat „hack-and-leak”: wykradzione dane są publikowane i wzmacniane w sieci przez fałszywe tożsamości, aby wywołać presję reputacyjną i polityczną.
W ostatnich miesiącach badacze obserwowali wykorzystanie złośliwego systemu WezRat – modułowego infostealera rozsyłanego w kampaniach spearphishingowych podszywających się pod aktualizacje oprogramowania. W niektórych przypadkach po uzyskaniu dostępu wdrażano ransomware WhiteLock, dotychczas głównie przeciwko celom izraelskim. Nic jednak nie stoi na przeszkodzie, by podobne działania zostały rozszerzone na inne państwa.
Ataki „na relacje” – uderzenie w ludzi, nie tylko systemy
Szczególnie niebezpieczna jest aktywność klastra określanego jako Educated Manticore, łączonego z wywiadem IRGC. Grupa specjalizuje się w podszywaniu pod zaufane osoby – dziennikarzy, ekspertów, organizatorów konferencji – aby skłonić ofiary do kliknięcia w link phishingowy. Fałszywe strony imitują WhatsApp, Microsoft Teams czy Google Meet, przechwytując hasła i tokeny sesyjne.
To zagrożenie dotyczy nie tylko polityków czy aktywistów. Coraz częściej celem są osoby posiadające dostęp do wrażliwych zasobów firm – administratorzy, menedżerowie, doradcy prawni. Przejęcie jednego konta e-mail może umożliwić dalsze rozprzestrzenianie się ataku w organizacji.
Cicha infiltracja infrastruktury
Z kolei grupa MuddyWater, powiązana z MOIS, od lat prowadzi operacje szpiegowskie przeciwko rządom, telekomom i sektorowi energetycznemu. Jej znakiem rozpoznawczym jest wykorzystywanie legalnych narzędzi zdalnego zarządzania (RMM) oraz wbudowanych mechanizmów Windows (PowerShell, WMI), co utrudnia wykrycie. Ataki często rozpoczynają się masową falą phishingu, a następnie przejęciem wewnętrznych skrzynek e-mail i rozsyłaniem kolejnych wiadomości już „z zaufanego źródła”.
Sabotaż zamiast okupu
Szczególnie groźne może okazać się działanie grupy Agrius – używający tzw. wipery, czyli oprogramowanie bezpowrotnie niszczącego dane, maskowane jako ransomware. Celem nie jest okup, ale paraliż organizacji i wywołanie efektu psychologicznego. Grupa wykorzystuje luki w publicznie dostępnych serwerach i instaluje webshell, by utrzymać dostęp i poruszać się po sieci ofiary.
Równolegle działa Handala, marka „haktywistyczna” przypisywana strukturze Void Manticore. Jej operacje są szybkie i oportunistyczne – włamania do słabiej zabezpieczonych systemów, publikacja „dowodów” i natychmiastowa amplifikacja w mediach społecznościowych. Często wykorzystywane są słabe ogniwa w łańcuchu dostaw, np. firmy IT obsługujące wiele podmiotów.
Co to oznacza dla firm i użytkowników?
W obecnej sytuacji politycznej zagrożenie nie ogranicza się do bezpośrednich stron konfliktu. Firmy z sektora energetycznego, logistycznego, finansowego czy technologicznego w Europie mogą stać się celem jako element szerszej presji politycznej. Równie narażeni są zwykli użytkownicy – poprzez kradzież danych, przejęcia kont czy kampanie dezinformacyjne.
Specjaliści rekomendują pilne działania: wprowadzenie odpornego na phishing uwierzytelniania wieloskładnikowego (MFA), audyt systemów wystawionych do internetu (w tym kamer IP i serwerów), monitorowanie nietypowych logowań oraz ostrożność wobec nieoczekiwanych zaproszeń do „wywiadów” czy „spotkań online”. najważniejsze jest też ograniczenie instalacji nieznanego systemu i kontrola ruchu z komercyjnych sieci VPN, często wykorzystywanych przez atakujących.
