De când Statele Unite și Israelul și-au lansat ofensiva militară comună împotriva Iranului la 28 februarie — denumită Operațiunea Epic Fury și, respectiv, Operațiunea Roaring Lion — cercetătorii în securitate cibernetică au documentat o escaladare bruscă a atacurilor cibernetice asociate cu Iranul, care cuprind campanii de phishing, programe malware de tip wiper, operațiuni de refuz distribuit al serviciului și fraudă financiară care vizează organizații din Orientul Mijlociu și nu numai.
Un val de activități de phishing și hacktivist
Palo Alto Networks Unit 42, într-un raport actualizat privind amenințările, a anunțat că monitorizează peste 60 de grupuri hacktivist și a identificat 7.381 de URL-uri de phishing cu tematică legată de conflict pe 1.881 de nume de gazdă unice de la începutul conflictului. Actorii amenințărilor se dau drept furnizori de telecomunicații, companii aeriene naționale, agenții de aplicare a legii și companii energetice, folosind tactici precum rotația domeniilor de nivel superior și infrastructuri special construite care imită portaluri corporative și sisteme guvernamentale de plată.
Atacurile au fost remarcabil de rapide. O coaliție formată din cel puțin 12 grupuri hacktivist a desfășurat 149 de atacuri DDoS împotriva a 110 organizații din 16 țări în primele 72 de ore ale conflictului, conform unei cercetări publicate de CloudSEK. Grupuri precum Handala Hack, Dark Storm Team și colective pro-ruse precum NoName057(16) și Russian Legion și-au reorientat focusul către operațiuni anti-Israel. O „Cameră de Operațiuni Electronice”, formată pe 28 februarie, a servit drept centru de coordonare pentru mai multe persoane afiliate statului iranian.
În mod paradoxal, o mare parte din această activitate provine din afara Iranului. Țara în sine se află sub un blackout al internetului aproape complet de la începutul conflictului, cu conectivitatea scăzând între 1% și 4% din nivelurile normale. Această restricție a descentralizat amenințarea, cu proxy-uri dispersate global și grupuri hacktivist care umple golul.
Atacuri cu ștergere de date vizează ținte la nivel global
Printre cele mai perturbatoare incidente, grupul Handala Hack, legat de Iran — evaluat de multiple firme de informații ca fiind o fațadă pentru Ministerul Informațiilor și Securității din Iran — a revendicat responsabilitatea pentru un atac cu ștergere de date asupra companiei americane de tehnologie medicală Stryker la data de 11 martie. Grupul a declarat că a șters peste 200.000 de dispozitive din 79 de țări și a exfiltrat 50 de terabytes de date, provocând întreruperi globale. Investigatorii cred că atacatorii au folosit Microsoft Intune pentru a șterge de la distanță dispozitivele conectate, o metodă semnalată de Unit 42 într-un aviz din 11 martie ca vector principal pentru operațiunile distructive recente ale Handala.
Directoratul Național pentru Securitate Cibernetică al Israelului a emis un avertisment pe 6 martie cu privire la atacurile cibernetice iraniene care desfășoară programe de ștergere a datelor împotriva organizațiilor israeliene. Între timp, Proofpoint a documentat campanii de spionaj care folosesc momeală tematică legată de conflict, inclusiv email-uri de phishing care fac referire la moartea raportată a liderului suprem al Iranului și la presupuse planuri de a ataca infrastructura petrolieră din Golf.
Avertismente privind războiul hibrid
Fostul director de informații al Casei Albe, Theresa Payton, a avertizat într-un interviu din 25 martie acordat The Jerusalem Post că Statele Unite trebuie să se pregătească pentru posibilitatea ca Iranul să atace sateliți de telecomunicații din spațiu și să continue să vizeze infrastructura civilă. Payton a avertizat să nu fie subestimată Teheranul, spunând că se așteaptă ca regimul să își „demonstreze forța digitală” pe măsură ce devine din ce în ce mai disperat.
„Sunt foarte îngrijorată de capacitatea lor de a ingineria social pentru a pătrunde în agenții guvernamentale și în companii din sectorul privat”, a declarat Payton, adăugând că Iranul ar putea recruta talente cibernetice din China, Rusia și Coreea de Nord. Aceasta a evidențiat, de asemenea, campaniile de dezinformare ale Iranului, inclusiv deepfake-uri despre starea primului-ministru israelian Benjamin Netanyahu, numindu-le o amenințare care „devine generațională și devine foarte greu de reparat”.
Unit 42 a avertizat că accesul pre-poziționat din partea actorilor statali ar putea deveni activabil odată ce conectivitatea iraniană este restabilită, prelungind potențial campania cibernetică mult dincolo de orice încetare a focului în plan cinetic.
Surse:
https://thehackernews.com/2026/03/149-hacktivist-ddos-attacks-hit-110.html