Analitycy Check Point wskazują na wyraźną eskalację działań cybernetycznych prowadzonych przez grupy powiązane z irańskimi strukturami państwowymi. Kampanie nie ograniczają się już do celów politycznych czy militarnych – coraz częściej obejmują sektor prywatny, w tym firmy posiadające dostęp do wrażliwych danych i infrastruktury.
Jednym z kluczowych wektorów ataku pozostaje spearphishing oparty na manipulacji relacjami. Cyberprzestępcy podszywają się pod dziennikarzy, ekspertów czy organizatorów konferencji, próbując skłonić ofiary do kliknięcia w spreparowane linki. Fałszywe strony do złudzenia przypominają popularne narzędzia komunikacyjne, takie jak WhatsApp, Microsoft Teams czy Google Meet, co pozwala na przejęcie danych logowania oraz tokenów sesyjnych.
Ataki te coraz częściej wymierzone są nie tylko w polityków czy aktywistów, ale również w administratorów IT, menedżerów i doradców – czyli osoby, które mogą stanowić punkt wejścia do systemów organizacji. Przejęcie jednego konta e-mail często wystarcza do dalszego rozprzestrzeniania się ataku wewnątrz firmy.
Nowe taktyki cyberwojny
Za operacjami stoi rozbudowany ekosystem podmiotów powiązanych m.in. z Korpusem Strażników Rewolucji Islamskiej oraz Ministerstwem Wywiadu i Bezpieczeństwa Iranu. Obejmuje on zarówno wyspecjalizowane grupy hakerskie, jak i podmioty działające pod przykryciem „haktywizmu”. Ich działania mają trzy główne cele: szpiegostwo, destabilizację oraz operacje informacyjne.
Przykładem jest grupa Cotton Sandstorm, która łączy klasyczne włamania (kradzież danych, DDoS, defacement stron) z kampaniami wpływu. Charakterystycznym elementem jest schemat „hack-and-leak” – wykradzione dane są publikowane i wzmacniane w mediach społecznościowych w celu wywołania presji politycznej i reputacyjnej.
Z kolei klastry takie jak Educated Manticore specjalizują się w atakach „na relacje”, wykorzystując zaufanie ofiar. Inne grupy, jak MuddyWater, prowadzą długotrwałą infiltrację systemów, wykorzystując legalne narzędzia administracyjne (np. PowerShell czy WMI), co znacząco utrudnia wykrycie incydentów.
Szczególnie niepokojące są działania grupy Agrius. Stosuje ona tzw. wipery – oprogramowanie bezpowrotnie niszczące dane, maskowane jako ransomware. W tym przypadku celem nie jest okup, lecz paraliż operacyjny i efekt psychologiczny. Równolegle funkcjonują także podmioty takie jak Handala, które prowadzą szybkie, oportunistyczne operacje i natychmiast nagłaśniają ich efekty w sieci.
Europa w zasięgu ataków – czas wzmocnić cyberodporność
Eksperci Check Point podkreślają, że w obecnej sytuacji geopolitycznej podobne działania mogą zostać łatwo rozszerzone na kraje Europy jako element szerszej presji politycznej. Szczególnie narażone są sektory infrastruktury krytycznej – energetyka, finanse, logistyka czy technologie.
W odpowiedzi zalecane jest wdrożenie uwierzytelniania wieloskładnikowego odpornego na phishing, audyt systemów dostępnych z internetu (w tym urządzeń IoT), monitorowanie anomalii logowania oraz ograniczenie korzystania z niezweryfikowanego oprogramowania. Kluczowa pozostaje także ostrożność wobec nieoczekiwanych kontaktów i zaproszeń online, które coraz częściej stanowią punkt wyjścia do zaawansowanych ataków.
