Иранские кибератаки усилились на фоне конфликта США и Израиля

На фоне конфликта США, Израиля и Ирана киберугрозы вышли далеко за пределы зоны боевых действий

Продолжающееся противостояние между Соединенными Штатами, Израилем и Ираном привело к заметному росту киберрисков. По данным отчета, речь идет уже не о гипотетической опасности, а о реальных активных вторжениях, которые затрагивают не только регион непосредственного конфликта, но и Северную Америку, Европу и другие территории.

Источником этой активности выступает не одна отдельная группа, а сеть иранских акторов, связанных с Ираном. Они используют общую инфраструктуру, одни и те же инструменты и действуют в рамках сходных целей. Наиболее заметные кампании приписываются таким группам, как MuddyWater и Dust Specter.

Сети, инфраструктура и закрепление в целевых системах

С февраля 2026 года отмечается закрепление в сетях банковского сектора, транспорта и обороны. Для доставки вредоносного ПО злоумышленники использовали легитимные сервисы хранения, что позволило им маскировать трафик под обычную пользовательскую активность.

До начала конфликта ирано-ориентированные акторы уже вели сканирование и выбирали цели среди объектов критической инфраструктуры. По оценке отчета, удары по иранскому киберкомандованию непреднамеренно активировали заранее подготовленные точки доступа, что помогло злоумышленникам сохранить плацдарм даже при вмешательстве государственных структур.

При этом прерывание иранского интернет-соединения, которое стало результатом совместных операций США, не остановило активность. Акторы продолжили использовать внешнюю инфраструктуру, в том числе через спутниковые сервисы, такие как Starlink.

Хактивисты и координация через Telegram

В ходе текущего конфликта возникло около шестидесяти активных проиранских и пророссийских хактивистских групп. Они координируют деятельность через такие платформы, как Telegram, и действуют параллельно с государственно спонсируемыми кампаниями.

Как подчеркивается в отчете, эти группы часто используют несложные тактики, однако их значение выходит за рамки технической сложности: они способны усиливать нужный нарратив и расширять информационный эффект атак.

Отдельного внимания заслуживает группа BaqiyatLock, которая, помимо деструктивной активности, добавила в свои операции компоненты вымогательского ПО, ориентируясь также на финансовую выгоду.

APT33, APT35 и эксплуатация уязвимостей

Значительная часть операционной активности приписывается государственно связанным акторам, среди которых выделяются APT33 и APT35.

• APT33 известна атаками на ключевые сектора, включая аэрокосмическую промышленность и оборону;
• APT35 провела масштабную эксплуатацию уязвимостей Ivanti и Microsoft.

Также отмечаются случаи эксплуатации уязвимостей CVE в широко используемых платформах. В ряде эпизодов первоначальный доступ обеспечивался через phishing.

Вредоносное ПО и признаки применения AI

В отчете названы известные семейства вредоносного ПО, включая SPLITDROP и TWINTASK. Они демонстрируют развитые механизмы закрепления и возможности управления зараженными системами.

Отдельно упоминаются инструменты SIMPSON и GHOSTFORM, которые используют нестандартные практики программирования. Это, по мнению авторов, может указывать на участие artificial intelligence в их разработке.

Особый интерес вызывает использование generative artificial intelligence в кибероперациях. Акторы, как следует из отчета, уже применяют AI-assisted разведку для выявления уязвимых целей быстрее, чем это позволяет традиционная методология.

Инцидент со Stryker Corporation

Одним из наиболее заметных эпизодов стала подтвержденная кибератака 11 марта 2026 года, которую приписывают хактивистской группе Handala. Целью стала Stryker Corporation, а последствием стало нарушение глобальных операций компании.

По данным отчета, это был первый киберинцидент, связанный с Ираном, против компании из США с момента начала недавних боевых действий. Случай показал, что киберпространство стало одним из ключевых театров эскалации.

Деструктивные инструменты и вайперы

Отдельно подтверждено использование вариантов Shamoon и других деструктивных полезных нагрузок. Подобные инструменты способны не только нарушать работу систем, но и уничтожать данные, что повышает риск для организаций в условиях геополитической напряженности.

Операционная среда остается динамичной и характеризуется взаимосвязанными сетями ирано-ориентированных акторов. Каждый из них действует со своими оперативными задачами, однако все они сходятся в общей цели — использовать уже существующий доступ и расширять влияние на фоне конфликта.

Что это означает для организаций

Авторы отчета рекомендуют компаниям и государственным структурам усилить защиту и подготовиться к дальнейшей эскалации угроз.

• укреплять защитные меры;
• устранять уязвимости без задержек;
• обеспечивать комплексный мониторинг;
• применять надежные меры безопасности против эволюционирующих киберугроз.

В условиях все более враждебной киберсреды, подчеркивает отчет, организации должны исходить из того, что текущая волна атак носит не эпизодический, а системный характер.