Ракеты в небе – хакеры в сетях. Эскалация на Ближнем Востоке перешла в интернет

Ракетные удары США и Израиля по Ирану спровоцировали новую волну кибератак. Пока боевые действия разворачиваются в воздухе и на море, в сети уже идут разведка, попытки взлома и атаки на отказ в обслуживании. Специалисты предупреждают: цифровая эскалация только начинается, и американским компаниям рано расслабляться.

Основной удар пока пришёлся на Израиль и страны Персидского залива. Часть операций стартовала ещё до начала военной кампании. Компания по защите мобильных приложений Approov зафиксировала резкий рост сложных попыток прощупать интерфейсы программирования приложений и мобильные сервисы, через которые региональные власти поддерживают связь. По словам главы компании Теда Миракко, иранские группы искали уязвимости в инфраструктуре. Атаки начались в начале февраля и прекратились 27 февраля. Перерыв мог совпасть с масштабным отключением интернета в Иране в первые дни конфликта.

По данным Binary Defense, до авиаударов и морских операций иранские структуры готовили вредоносные программы для атак на организации в Израиле и на Ближнем Востоке. Подобная подготовка типична: инструменты размещают заранее, чтобы запустить их в нужный момент.

Специалисты Check Point сообщают, что за несколько месяцев до обострения фиксировали вторжения с использованием вредоносных программ, связанных с группировкой Cotton Sandstorm, которую связывают с Корпусом стражей исламской революции. Злоумышленники рассылали целевые письма под видом срочных обновлений программ и распространяли модульный похититель данных WezRat. В ряде случаев после взлома в израильских сетях запускали программу-вымогатель WhiteLock. Ничто не мешает расширить географию атак и на другие страны.

Поддерживаемые Тегераном группы и раньше сотрудничали с операторами программ-вымогателей. Летом 2025 года на фоне конфликта уже появлялись предложения щедрых выплат за успешные заражения американских и израильских организаций. В минувшие выходные Cotton Sandstorm активировала свой сетевой псевдоним Altoufan Team и заявила о новых целях в Бахрейне.

Несколько проиранских групп объявили о взломах промышленных систем управления в Израиле, Польше, Турции, Иордании и других странах региона. В частности, APT IRAN заявила о кибердиверсии против критической инфраструктуры Иордании, а Cyber Islamic Resistance отчиталась о доступе к интернет-маршрутизаторам в Израиле. Проверить такие заявления сложно, и часть публикаций в социальных сетях выглядит как информационная операция. Иран давно использует дезинформацию для давления на общественное мнение, а во время военных кризисов поток подобных сообщений только усиливается.

Пока подтверждённых атак на американские организации в рамках текущего конфликта не выявили. Однако аналитики считают вопросом не «будет ли», а «когда». В зоне повышенного риска находятся подрядчики Пентагона и поставщики для государственных структур США, а также компании, связанные с Израилем через партнёрства, дочерние предприятия или общую инфраструктуру. Под угрозой могут оказаться и предприятия, использующие израильское промышленное оборудование.

Подобные сценарии уже встречались. В 2023 году группа CyberAv3ngers атаковала программируемые логические контроллеры и панели оператора израильского производства Unitronics, получая доступ через стандартные пароли. Тогда пострадали несколько систем водоснабжения в США. В 2024 году структуры, связанные с Корпусом стражей исламской революции, применили собственные вредоносные программы для удалённого управления системами водо- и топливоснабжения в США и Израиле. Дальше громких заявлений и публикаций видео в Telegram дело почти не пошло, но сам факт доступа к критической инфраструктуре показал уязвимость таких объектов.

Руководитель аналитического направления Google Threat Intelligence Group Джон Халтквист отмечает, что Иран нередко преувеличивает эффект атак, чтобы усилить психологическое давление. Тем не менее киберудары по США, Израилю и странам Совета сотрудничества арабских государств Персидского залива выглядят вероятным сценарием. По оценке Google, в первые дни ракетных ударов наблюдалась краткая пауза в кибершпионаже, но активность быстро возобновилась. Группы, связанные с Корпусом стражей исламской революции, уже публикуют угрозы и заявления о готовящихся атаках.

Судя по прошлым конфликтам, кампания будет включать сбор разведданных, массовые рассылки фишинговых писем, ограниченные диверсии и использование программ, стирающих данные. Многие операции по последствиям напоминают атаки вымогателей, даже если прямого требования выкупа нет. Пока война продолжается, организациям в регионе и за его пределами придётся работать в режиме повышенной готовности и внимательно следить за состоянием ключевых систем и цепочек поставок.