Iran wykorzystuje hakerów w działaniach wojennych. Zagrożone firmy również w Europie

Przeczytaj także: Deepfake’i dotknęły już 3/4 firm. Wkrótce prześcigną ataki ransomware

Irańscy hakerzy podszywają się pod zaufane osoby – dziennikarzy, ekspertów, organizatorów konferencji – aby skłonić ofiary do kliknięcia fałszywe strony imitujące WhatsApp, Microsoft Teams czy Google Meet, przechwytując hasła i tokeny sesyjne – ostrzegają analitycy firmy Check Point. Zagrożenie nie dotyczy już tylko polityków czy aktywistów – coraz częściej celem są osoby z dostępem do wrażliwych zasobów firm, takie jak administratorzy czy menedżerowie – dodają. Eksperci ostrzegają, że w warunkach napięcia geopolitycznego takie grupy mogą szybko przejść od zbierania informacji do działań destrukcyjnych.

Ekosystem irańskich operacji cybernetycznych jest rozbudowany i wielowarstwowy. Obejmuje podmioty powiązane z Korpusem Strażników Rewolucji Islamskiej (IRGC) oraz Ministerstwem Wywiadu i Bezpieczeństwa (MOIS), a także grupy działające pod przykryciem „haktywizmu”. Ich działania mają trzy główne cele: szpiegostwo (uzyskanie dostępu do informacji i przyczółków w sieciach), destabilizację (ataki DDoS, niszczące oprogramowanie, pseudo-ransomware) oraz operacje informacyjne – czyli łączenie wycieków danych z kampanią propagandową w mediach społecznościowych.

Dezinformacja i „hack-and-leak”

Jednym z aktywnych podmiotów jest Cotton Sandstorm, powiązany z IRGC. Grupa łączy klasyczne włamania – defacement stron, kradzież danych czy DDoS – z operacjami wpływu. Charakterystycznym elementem jest schemat „hack-and-leak”: wykradzione dane są publikowane i wzmacniane w sieci przez fałszywe tożsamości, aby wywołać presję reputacyjną i polityczną.

W ostatnich miesiącach badacze obserwowali wykorzystanie złośliwego oprogramowania WezRat – modułowego infostealera rozsyłanego w kampaniach spearphishingowych podszywających się pod aktualizacje oprogramowania. W niektórych przypadkach po uzyskaniu dostępu wdrażano ransomware WhiteLock, dotychczas głównie przeciwko celom izraelskim. Nic jednak nie stoi na przeszkodzie, by podobne działania zostały rozszerzone na inne państwa.

Ataki „na relacje” – uderzenie w ludzi, nie tylko systemy

Szczególnie niebezpieczna jest aktywność klastra określanego jako Educated Manticore, łączonego z wywiadem IRGC. Grupa specjalizuje się w podszywaniu pod zaufane osoby – dziennikarzy, ekspertów, organizatorów konferencji – aby skłonić ofiary do kliknięcia w link phishingowy. Fałszywe strony imitują WhatsApp, Microsoft Teams czy Google Meet, przechwytując hasła i tokeny sesyjne.

To zagrożenie dotyczy nie tylko polityków czy aktywistów. Coraz częściej celem są osoby posiadające dostęp do wrażliwych zasobów firm – administratorzy, menedżerowie, doradcy prawni. Przejęcie jednego konta e-mail może umożliwić dalsze rozprzestrzenianie się ataku w organizacji.

Cicha infiltracja infrastruktury

Z kolei grupa MuddyWater, powiązana z MOIS, od lat prowadzi operacje szpiegowskie przeciwko rządom, telekomom i sektorowi energetycznemu. Jej znakiem rozpoznawczym jest wykorzystywanie legalnych narzędzi zdalnego zarządzania (RMM) oraz wbudowanych mechanizmów Windows (PowerShell, WMI), co utrudnia wykrycie. Ataki często rozpoczynają się masową falą phishingu, a następnie przejęciem wewnętrznych skrzynek e-mail i rozsyłaniem kolejnych wiadomości już „z zaufanego źródła”.

Sabotaż zamiast okupu

Szczególnie groźne może okazać się działanie grupy Agrius – używający tzw. wipery, czyli oprogramowanie bezpowrotnie niszczącego dane, maskowane jako ransomware. Celem nie jest okup, lecz paraliż organizacji i wywołanie efektu psychologicznego. Grupa wykorzystuje luki w publicznie dostępnych serwerach i instaluje webshell, by utrzymać dostęp i poruszać się po sieci ofiary.

Równolegle działa Handala, marka „haktywistyczna” przypisywana strukturze Void Manticore. Jej operacje są szybkie i oportunistyczne – włamania do słabiej zabezpieczonych systemów, publikacja „dowodów” i natychmiastowa amplifikacja w mediach społecznościowych. Często wykorzystywane są słabe ogniwa w łańcuchu dostaw, np. firmy IT obsługujące wiele podmiotów.

Co to oznacza dla firm i użytkowników?

W obecnej sytuacji politycznej zagrożenie nie ogranicza się do bezpośrednich stron konfliktu. Firmy z sektora energetycznego, logistycznego, finansowego czy technologicznego w Europie mogą stać się celem jako element szerszej presji politycznej. Równie narażeni są zwykli użytkownicy – poprzez kradzież danych, przejęcia kont czy kampanie dezinformacyjne.

Specjaliści rekomendują pilne działania: wprowadzenie odpornego na phishing uwierzytelniania wieloskładnikowego (MFA), audyt systemów wystawionych do internetu (w tym kamer IP i serwerów), monitorowanie nietypowych logowań oraz ostrożność wobec nieoczekiwanych zaproszeń do „wywiadów” czy „spotkań online”. Kluczowe jest też ograniczenie instalacji nieznanego oprogramowania i kontrola ruchu z komercyjnych sieci VPN, często wykorzystywanych przez atakujących.