Πριν περάσουν 24 ώρες από την έναρξη του πολέμου στο Ιράν, σημειώθηκε ένα ιστορικά πρωτοφανές γεγονός: η επίθεση εναντίον εμπορικών κέντρων δεδομένων.
Την 1η Μαρτίου, ιρανικά drones έπληξαν τρεις εγκαταστάσεις της Amazon Web Services (AWS) στα Ηνωμένα Αραβικά Εμιράτα και το Μπαχρέιν, διακόπτοντας κρίσιμες υποδομές cloud και θέτοντας εκτός λειτουργίας χρηματοοικονομικές εφαρμογές και επιχειρηματικά εργαλεία, όχι μόνο σε ολόκληρο τον Κόλπο, αλλά και σε απομακρυσμένες περιοχές. Οι επιθέσεις αυτές κατέδειξαν ότι η φυσική απόσταση από μια ζώνη σύγκρουσης δεν αποτελεί εγγύηση προστασίας από τις επιπτώσεις, αναφέρει ο Tomáš Foltýn από την παγκόσμια εταιρία κυβερνοασφάλειας ESET.
Για τους περισσότερους οργανισμούς, ωστόσο, ο πιο άμεσος κίνδυνος εκτυλίσσεται στον κυβερνοχώρο και όχι στο πεδίο μάχης και περιλαμβάνει ένα ευρύ φάσμα δρώντων απειλής. Μέσα σε λίγες ώρες από την αμερικανο-ισραηλινή «Επιχείρηση Epic Fury» («Επιχείρηση Roaring Lion») στις 28 Φεβρουαρίου, ιρανικές ομάδες κινητοποιήθηκαν μαζικά. Η Unit 42 της Palo Alto Networks κατέγραψε περισσότερες από 60 ενεργές φιλοϊρανικές ομάδες hacktivists. Παράλληλα, υπηρεσίες κυβερνοασφάλειας στο Ηνωμένο Βασίλειο και τον Καναδά εξέδωσαν προειδοποιήσεις για αυξημένα επίπεδα απειλής.
Σε σύντομο χρονικό διάστημα, παρόμοιες προειδοποιήσεις εκδόθηκαν από την Europol και το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ.
Απειλές και δράστες απειλών
Το ξέσπασμα μιας ένοπλης σύγκρουσης τείνει να διευρύνει τόσο το εύρος όσο και το φάσμα των εμπλεκόμενων ομάδων κυβερνοεπιθέσεων. Η δραστηριότητα των hacktivists, θορυβώδης και συχνά συνοδευόμενη από υπερβολική ρητορική, εκδηλώνεται συνήθως πρώτη. Επιχειρήσεις Advanced Persistent Threat (APT), που περιλαμβάνουν φάσεις αναγνώρισης και αρχικής πρόσβασης, εκτελούνται παράλληλα ή αμέσως μετά. Μόλις εδραιωθούν οι θέσεις και χαρτογραφηθούν οι στόχοι, το σκηνικό διαμορφώνεται για την επίτευξη των επιδιωκόμενων στόχων, είτε πρόκειται για κατασκοπεία, σαμποτάζ ή άλλες μορφές επίθεσης.
Φυσικά, τα όρια μεταξύ αυτών των δραστηριοτήτων δεν είναι πάντα σαφή. Ορισμένες τακτικές μπορούν να εξελίσσονται ταυτόχρονα: για παράδειγμα, μια μετατροπή ιστοσελίδας ή μια επίθεση κατανεμημένης άρνησης υπηρεσίας (DDoS), που εκ πρώτης όψεως μοιάζει με μια απλή ενέργεια χακτιβιστών, ενδέχεται να λειτουργεί ως σκόπιμος αντιπερισπασμός, καλύπτοντας μια στοχευμένη και αθόρυβη επίθεση μέσω διαφορετικού φορέα.
Οι ομάδες που συνδέονται με το Ιράν συγκαταλέγονται μεταξύ των πιο ενεργών και ευρηματικών ομάδων παγκοσμίως, ενώ οι ικανότητες κυβερνοεπίθεσης και τα εργαλεία τους έχουν ωριμάσει σημαντικά τα τελευταία χρόνια. Η απειλή είναι ιδιαίτερα έντονη για οργανισμούς που διατηρούν σχέσεις εφοδιαστικής αλυσίδας στη Μέση Ανατολή ή άλλους δεσμούς με την περιοχή, καθώς και για όσους εξαρτώνται από υποδομές cloud που σχετίζονται με αυτήν.
Η εκστρατεία της ομάδας CyberAv3ngers εναντίον επιχειρήσεων ύδρευσης και αποχέτευσης στις ΗΠΑ και σε άλλες χώρες το 2023 ανέδειξε με σαφήνεια αυτή τη στρατηγική στόχευσης. Το απειλητικό μήνυμα που άφησαν οι δράστες στα παραβιασμένα συστήματα —«Έχετε υποστεί εισβολή, κάτω το Ισραήλ. Κάθε εξοπλισμός “κατασκευασμένος στο Ισραήλ” αποτελεί νόμιμο στόχο των CyberAv3ngers»— έμοιαζε αρχικά με ενέργεια χακτιβιστών. Ωστόσο, σύντομα αποκαλύφθηκε ότι η ομάδα λειτουργούσε υπό την καθοδήγηση του ιρανικού κράτους. Αυτή η θολή διαχωριστική γραμμή μεταξύ ακτιβιστικής ταυτότητας και κρατικά ευθυγραμμισμένων επιχειρήσεων, οι ρίζες της οποίας ενδέχεται να ανάγονται στο περιστατικό της Saudi Aramco το 2012, έχει και συγκεκριμένη ονομασία: «faketivism».
Παράλληλα, οι επιχειρησιακές αλληλεπικαλύψεις μεταξύ διακριτών ομάδων είναι ακόμη βαθύτερες. Ερευνητές της ESET έχουν τεκμηριώσει στενούς δεσμούς μεταξύ διαφόρων APT ομάδων που έχουν σχέση με το Ιράν. Ενδεικτικά, η MuddyWater έχει συνεργαστεί στενά με τη Lyceum, υποομάδα της OilRig, ενώ υπάρχουν ενδείξεις ότι έχει λειτουργήσει και ως μεσάζων αρχικής πρόσβασης (Initial Access Broker – IAB) για άλλες ιρανικές ομάδες.
Για να περιπλέξουν περαιτέρω την εικόνα, αρκετές φιλορωσικές ομάδες χακτιβιστών φαίνεται να έχουν πλέον ταχθεί υπέρ του Ιράν, ενώ υπάρχουν και αναφορές για συνεργασία ιρανικών ομάδων με IAB σε ρωσικά φόρουμ κυβερνοεγκλήματος. Η δυναμική αυτή διευρύνει τόσο το διαθέσιμο οπλοστάσιο όσο και το εύρος των πιθανών στόχων. Οι κρίσιμες υποδομές αποτελούν ένα από τα πιο πολύτιμα «τρόπαια» για κάθε είδους απειλητικούς παράγοντες, και πρόσφατα στοιχεία της ESET δείχνουν ότι οι ομάδες που σχετίζονται με το Ιράν επιτίθενται σε οργανισμούς που δραστηριοποιούνται στους τομείς της μηχανικής και της μεταποίησης.
Κλάδοι που αποτέλεσαν στόχο ομάδων APT που συνδέονται με το Ιράν από τον Απρίλιο έως τον Σεπτέμβριο του 2025 (πηγή: Έκθεση δραστηριότητας APT της ESET, 2ο τρίμηνο 2025 – 3ο τρίμηνο 2025)
Επιπλέον, όταν ο στόχος είναι τα αντίποινα, η καταστροφή τείνει να έχει προτεραιότητα έναντι, της εκβίασης μέσω ransomware για παράδειγμα. Το κακόβουλο λογισμικό που διαγράφει δεδομένα αποτελεί σταθερό χαρακτηριστικό των σύγχρονων επιχειρήσεων που συνδέονται με ένοπλες συγκρούσεις. Ομάδες που σχετίζονται με τη Ρωσία έχουν επιδείξει επανειλημμένα αυτό το μοτίβο στην Ουκρανία.
Όσον αφορά τις επιθέσεις που προσφέρουν στους κακόβουλους δράστες υψηλή απόδοση σε σχέση με το κόστος, οι παραβιάσεις της εφοδιαστικής αλυσίδας συνήθως κυριαρχούν. Το 2022, η ESET Research κατέγραψε πώς η ομάδα Agrius, που συνδέεται με το Ιράν, ανέπτυξε ένα καταστροφικό λογισμικό διαγραφής δεδομένων με την ονομασία Fantasy. Η διανομή του πραγματοποιήθηκε μέσω επίθεσης στην εφοδιαστική αλυσίδα, εκμεταλλευόμενη έναν ισραηλινό προγραμματιστή λογισμικού, και έπληξε στόχους σε διάφορους κλάδους, πολύ πέρα από τα όρια του Ισραήλ. Η εμβέλεια μιας τέτοιας επίθεσης μπορεί να επεκταθεί σε οργανισμούς που δεν ήταν ποτέ άμεσα στο στόχαστρο και δεν έχουν προφανή σύνδεση με τη σύγκρουση.
Ένας συναφής κίνδυνος αφορά τους παρόχους διαχειριζόμενων υπηρεσιών (MSP) και τους πελάτες τους. Το 2022, η ESET κατέγραψε μια εκστρατεία κατά την οποία ο αντίπαλος παραβίασε έναν MSP προκειμένου να αποκτήσει πρόσβαση στους τελικούς στόχους του. Δεν χρειάστηκε να διεισδύσει απευθείας σε αυτούς· αντίθετα, αξιοποίησε τις υπάρχουσες διαδρομές πρόσβασης του MSP για να επιτύχει τον σκοπό του. Η εκστρατεία ενορχηστρώθηκε από την ομάδα κυβερνοκατασκοπείας MuddyWater, η οποία αποτελεί πλέον μια ισχυρή δύναμη στους κύκλους των ιρανικών APT και παρουσιάζει αξιοσημείωτη εξέλιξη.
Η ομάδα MuddyWater, που κάποτε ήταν γνωστή για τις μαζικές, αυτοματοποιημένες επιθέσεις της, στρέφεται πλέον ολοένα και περισσότερο σε πιο διακριτικές και εξελιγμένες επιχειρήσεις. Αυτές περιλαμβάνουν δραστηριότητες «hands-on-keyboard» σε στοχευμένα περιβάλλοντα, γεγονός που υποδηλώνει αυξημένο επίπεδο τεχνικής ωριμότητας. Όπως και άλλες ομάδες που συνδέονται με το Ιράν, η MuddyWater έχει στραφεί στη δοκιμασμένη τεχνική της κατάχρησης νόμιμου λογισμικού απομακρυσμένης παρακολούθησης και διαχείρισης (RMM). Με αυτόν τον τρόπο, η ομάδα μπορεί να ενσωματώνεται στη νόμιμη κίνηση δικτύου, καθιστώντας τον εντοπισμό της δυσκολότερο.
Η ομάδα είναι επίσης γνωστή για την προτίμησή της στο εσωτερικό spearphishing, αξιοποιώντας ήδη παραβιασμένα εισερχόμενα. Συγκεκριμένα, αποστέλλονται email από λογαριασμούς συναδέλφων αντί για εξωτερικούς αποστολείς, αυξάνοντας έτσι σημαντικά το ποσοστό επιτυχίας των επιθέσεων. Τα συνημμένα αρχεία και οι σύνδεσμοι spearphishing αποτελούν εδώ και καιρό από τις πιο δημοφιλείς τεχνικές αρχικής πρόσβασης μεταξύ των περισσότερων ομάδων APT που συνδέονται με το Ιράν, συμπεριλαμβανομένων των OilRig και APT33. Ωστόσο, η εκμετάλλευση γνωστών ευπαθειών λογισμικού δεν είναι ασυνήθιστη, όπως φάνηκε σε πρόσφατη εκστρατεία της Ballistic Bobcat.
Η MuddyWater παραμένει ιδιαίτερα ενεργή το 2026. Τον περασμένο μήνα, ερευνητές ασφάλειας της Symantec και της Carbon Black (Broadcom) εντόπισαν την ομάδα σε δίκτυα πολλών αμερικανικών οργανισμών, συμπεριλαμβανομένων ενός αεροδρομίου, μιας τράπεζας και μιας εταιρείας λογισμικού με δεσμούς με το Ισραήλ. Ωστόσο, ο συνολικός όγκος των κυβερνοεπιθέσεων από παράγοντες που συνδέονται με το Ιράν δεν μπορεί, μέχρι στιγμής, να συγκριθεί με την έντονη δραστηριότητα που κατέγραψαν οι ερευνητές της ESET μετά την επίθεση εναντίον του Ισραήλ στις 7 Οκτωβρίου 2023. Αυτό ενδέχεται να οφείλεται εν μέρει στον σχεδόν πλήρη περιορισμό της πρόσβασης στο διαδίκτυο που επέβαλε το Ιράν.
Σε κάθε περίπτωση, όπως επεσήμανε και η Ομάδα Ανάλυσης Απειλών (TAG) της Google στην ανάλυσή της για τη δραστηριότητα στον κυβερνοχώρο γύρω από τη σύγκρουση Ισραήλ–Χαμάς, «οι δυνατότητες στον κυβερνοχώρο […] αποτελούν εργαλείο πρώτης ανάγκης». Η παρατήρηση αυτή παραμένει επίκαιρη και σήμερα, όπως φάνηκε και από την πρώτη μεγάλη κυβερνοεπίθεση μετά την έναρξη του πολέμου. Στις 12 Μαρτίου, μια επίθεση διαγραφής δεδομένων, που αποδίδεται στη φιλοϊρανική ομάδα χακτιβιστών Hamdala, έπληξε την αμερικανική εταιρεία ιατρικής τεχνολογίας Stryker. Η επίθεση φέρεται να προκάλεσε διακοπή λειτουργίας των συστημάτων της εταιρείας σε παγκόσμιο επίπεδο.
VIA: www.sofokleousin.gr
