Eksperci ds. cyberbezpieczeństwa Check Point alarmują, że aktywność powiązanych z Teheranem grup hakerskich rośnie i może rozszerzyć się nie tylko na Bliski Wschód czy USA, ale również na kraje sojusznicze Zachodu. W praktyce oznacza to realne zagrożenie także dla firm i użytkowników w Europie.
Irańscy hakerzy podszywają się pod zaufane osoby – dziennikarzy, ekspertów, organizatorów konferencji, aby skłonić ofiary do kliknięcia fałszywe strony imitujące WhatsApp, Microsoft Teams czy Google Meet, przechwytując hasła i tokeny sesyjne – ostrzegają analitycy firmy Check Point. Zagrożenie nie dotyczy już tylko polityków czy aktywistów – coraz częściej celem są osoby z dostępem do wrażliwych zasobów firm, takie jak administratorzy czy menedżerowie – dodają.
Eksperci ostrzegają, że w warunkach napięcia geopolitycznego takie grupy mogą szybko przejść od zbierania informacji do działań destrukcyjnych.
Ekosystem irańskich operacji cybernetycznych jest rozbudowany i wielowarstwowy. Obejmuje podmioty powiązane z Korpusem Strażników Rewolucji Islamskiej (IRGC) oraz Ministerstwem Wywiadu i Bezpieczeństwa (MOIS), a także grupy działające pod przykryciem „haktywizmu”. Ich działania mają trzy główne cele: szpiegostwo (uzyskanie dostępu do informacji i przyczółków w sieciach), destabilizację (ataki DDoS, niszczące oprogramowanie, pseudo-ransomware) oraz operacje informacyjne, czyli łączenie wycieków danych z kampanią propagandową w mediach społecznościowych.
Jednym z aktywnych podmiotów jest Cotton Sandstorm, powiązany z IRGC. Grupa łączy klasyczne włamania – defacement stron, kradzież danych czy DDoS – z operacjami wpływu. Charakterystycznym elementem jest schemat „hack-and-leak”: wykradzione dane są publikowane i wzmacniane w sieci przez fałszywe tożsamości, aby wywołać presję reputacyjną i polityczną.
W ostatnich miesiącach badacze obserwowali wykorzystanie złośliwego oprogramowania WezRat – modułowego infostealera rozsyłanego w kampaniach spearphishingowych podszywających się pod aktualizacje oprogramowania. W niektórych przypadkach po uzyskaniu dostępu wdrażano ransomware WhiteLock, dotychczas głównie przeciwko celom izraelskim. Nic jednak nie stoi na przeszkodzie, by podobne działania zostały rozszerzone na inne państwa.
Szczególnie niebezpieczna jest aktywność klastra określanego jako Educated Manticore, łączonego z wywiadem IRGC. Grupa specjalizuje się w podszywaniu pod zaufane osoby – dziennikarzy, ekspertów, organizatorów konferencji – aby skłonić ofiary do kliknięcia w link phishingowy. Fałszywe strony imitują WhatsApp, Microsoft Teams czy Google Meet, przechwytując hasła i tokeny sesyjne.
To zagrożenie dotyczy nie tylko polityków czy aktywistów. Coraz częściej celem są osoby posiadające dostęp do wrażliwych zasobów firm – administratorzy, menedżerowie, doradcy prawni. Przejęcie jednego konta e-mail może umożliwić dalsze rozprzestrzenianie się ataku w organizacji.
Z kolei grupa MuddyWater, powiązana z MOIS, od lat prowadzi operacje szpiegowskie przeciwko rządom, telekomom i sektorowi energetycznemu. Jej znakiem rozpoznawczym jest wykorzystywanie legalnych narzędzi zdalnego zarządzania (RMM) oraz wbudowanych mechanizmów Windows (PowerShell, WMI), co utrudnia wykrycie. Ataki często rozpoczynają się masową falą phishingu, a następnie przejęciem wewnętrznych skrzynek e-mail i rozsyłaniem kolejnych wiadomości już „z zaufanego źródła”.
Szczególnie groźne może okazać się działanie grupy Agrius – używający tzw. wipery, czyli oprogramowanie bezpowrotnie niszczącego dane, maskowane jako ransomware. Celem nie jest okup, lecz paraliż organizacji i wywołanie efektu psychologicznego. Grupa wykorzystuje luki w publicznie dostępnych serwerach i instaluje webshell, by utrzymać dostęp i poruszać się po sieci ofiary.
Równolegle działa Handala, marka „haktywistyczna” przypisywana strukturze Void Manticore. Jej operacje są szybkie i oportunistyczne – włamania do słabiej zabezpieczonych systemów, publikacja „dowodów” i natychmiastowa amplifikacja w mediach społecznościowych. Często wykorzystywane są słabe ogniwa w łańcuchu dostaw, np. firmy IT obsługujące wiele podmiotów
W obecnej sytuacji politycznej zagrożenie nie ogranicza się do bezpośrednich stron konfliktu. Firmy z sektora energetycznego, logistycznego, finansowego czy technologicznego w Europie mogą stać się celem jako element szerszej presji politycznej. Równie narażeni są zwykli użytkownicy – poprzez kradzież danych, przejęcia kont czy kampanie dezinformacyjne.
Specjaliści z Check Point rekomendują w tej sytuacji, tak działania ja: wprowadzenie odpornego na phishing uwierzytelniania wieloskładnikowego (MFA), audyt systemów wystawionych do internetu (w tym kamer IP i serwerów), monitorowanie nietypowych logowań oraz ostrożność wobec nieoczekiwanych zaproszeń do „wywiadów” czy „spotkań online”. Kluczowe jest też ograniczenie instalacji nieznanego oprogramowania i kontrola ruchu z komercyjnych sieci VPN, często wykorzystywanych przez atakujących.
