Cyberataki stały się jednym z najskuteczniejszych narzędzi współczesnych konfliktów między państwami. Ich głównym celem jest szpiegostwo i destabilizowanie sektorów krytycznych dla funkcjonowania państwa. Palo Alto Networks alarmuje, że narastające napięcia na Bliskim Wschodzie w cyberprzestrzeni i wzmożona aktywność ponad 120 grup haktywistów jest sygnałem ostrzegawczym, w szczególności dla firm objętych regulacjami unijnymi NIS 2 i DORA.

Iran jest jednym z czterech głównych aktorów państwowych, których działalność cybernetyczną śledzi jednostka Unit 42 ds. analizy zagrożeń z Palo Alto Networks – obok Chin, Rosji i Korei Północnej. Główne cele irańskich grup cyberzagrożeń to szpiegostwo i destabilizacja. Cyberprzestępcy chcą zakłócić funkcjonowanie instytucji, uniemożliwić gromadzenie informacji wywiadowczych lub wpływać na wizerunek przeciwników w oczach opinii publicznej. Irańskie grupy hakerskie są również znane z atakowania infrastruktury krytycznej oraz wrażliwych sektorów gospodarki na całym świecie – zarówno w sektorze publicznym, jak i prywatnym – co może prowadzić do jeszcze poważniejszych konsekwencji.

W ciągu ostatnich dwóch lat zespół Unit 42 Palo Alto Networks obserwował, jak grupy powiązane z Iranem zwiększają zasięg swoich globalnych operacji cybernetycznych, m.in. wykorzystując generatywną sztuczną inteligencję (GenAI) w działaniach socjotechnicznych. Może dochodzić również do kradzieży danych i ataków typu wiper (niszczących dane), podobnych do tych, które wcześniej wymierzono w izraelski sektor edukacyjny i technologiczny.

 

Cyberprzestępcy potrafią być niezwykle kreatywni. Nasi analitycy odkryli niedawno, że pewna zorganizowana grupa wytworzyła, a następnie wykorzystała sfałszowaną stronę internetową, aby podszyć się pod niemiecką agencję modelek i skutecznie prowadzić tzw. cyberwywiad. Niedawno zaobserwowaliśmy, jak grupa Agent Serpens użyła GenAI do stworzenia złośliwego pliku PDF, podszywającego się pod dokument amerykańskiej organizacji badawczej RAND. Plik ten został użyty razem z oprogramowaniem malware. Takie kampanie mają na celu destabilizować państwo, jak również kształtować odbiór społeczny różnych ważnych spraw m.in. za pomocą kampanii dezinformacyjnych – podkreśla Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Środkowo-Wschodniej.

 

W kontekście trwającej sytuacji geopolitycznej z udziałem Iranu Palo Alto Networks wskazuje cztery główne obszary potencjalnych zagrożeń:

  1. Cyberprzestępcy sponsorowani przez Iran. W krótkim okresie należy spodziewać się ukierunkowanych ataków, od kampanii spear phishingowych wymierzonych w dyplomatów, po destrukcyjne ataki typu wiper wycelowane w organizacje powiązane ze Stanami Zjednoczonymi.
  2. Cyberprzestępcy sponsorowani przez inne kraje. Istnieje ryzyko, że inne państwa wykorzystają obecną sytuację dla własnych celów, stosując operacje fałszywej flagi. Przykładem może być sytuacja z 2019 roku, kiedy Rosja przejęła infrastrukturę cybernetyczną Iranu, aby podszywać się pod ten kraj i prowadzić własne działania operacyjne.
  3. Haktywiści (ok. 120 aktywnych grup). Prawdopodobne jest dalsze prowadzenie działań zakłócających oraz operacji wpływu wymierzonych w interesy USA, zarówno na terenie kraju, jak i za granicą. Obejmuje to ataki DDoS oraz kampanie dezinformacyjne w mediach społecznościowych.
  4. Zorganizowane grupy cyberprzestępcze. Mogą one wykorzystywać globalną niepewność do przeprowadzania kampanii phishingowych, opierając treści wiadomości na bieżących wydarzeniach geopolitycznych, jednak ich cele są nastawione przede wszystkim na nielegalny zarobek.

 

Aktywność cyberprzestępców prawdopodobnie będzie się nasilać w miarę trwania konfliktu. Irańskie zdolności cybernetyczne często służą do wzmacniania przekazu politycznego (często w formie działań destrukcyjnych lub psychologicznych). Ataki mogą być wymierzone zarówno w cele regionalne, jak i wysokowartościowe cele strategiczne (np. polityków, decydentów, kluczowe instytucje). Kampanie mogą obejmować także łańcuchy dostaw, infrastrukturę krytyczną, dostawców i podwykonawców. Należy utrzymywać podwyższoną czujność wobec potencjalnych ataków.