Не получается воевать ракетами — сотри данные. Краткий гид по иранским методам давления в сети

Обострение конфликта на Ближнем Востоке после ударов США и Израиля по иранским объектам может вскоре перейти и в цифровую плоскость. Компания SentinelOne предупредила партнёров и клиентов о высокой вероятности усиления кибератак со стороны иранских структур, которые традиционно используют кибероперации как инструмент давления во время геополитических кризисов.

Аналитики SentinelOne отмечают, что за последние пятнадцать лет Иран сформировал развитую киберэкосистему и регулярно применяет её для достижения государственных целей. Иранские группы проводят шпионские операции, похищают учётные данные, запускают разрушительные вредоносные программы и используют психологическое давление через информационные кампании. Для прикрытия активности нередко создают фиктивные образы «хактивистов», что позволяет отрицать прямую связь с государством.

К таким операциям в прошлом привлекали группировки APT34, APT39, APT42 и MuddyWater. Подобные команды атаковали военные и гражданские организации, телекоммуникационные компании и университеты на Ближнем Востоке и в США. Параллельно Иран проводил разрушительные кампании с использованием программ для уничтожения данных, а также операции влияния через социальные сети и взломанные медиа.

По оценке SentinelOne, нынешняя эскалация может привести к нескольким типам киберактивности. Прежде всего ожидаются точечные шпионские операции против оборонных структур, правительственных сетей и разведывательных организаций Израиля и США. Такие атаки обычно начинаются с фишинговых писем и кражи учётных данных, после чего злоумышленники получают доступ к внутренним системам и извлекают стратегическую информацию.

Другой вероятный сценарий связан с попытками нарушить работу инфраструктуры. Иран уже применял DDoS-атаки и разрушительное вредоносное ПО против энергетики, транспорта и финансовых сервисов. Аналитики считают, что аналогичные действия могут повториться против американских и израильских объектов, особенно публичных онлайн-сервисов и систем коммунальной инфраструктуры.

Отдельное внимание специалисты уделяют информационным операциям. Иранские структуры нередко распространяют дезинформацию через Telegram и социальные сети, публикуют поддельные утечки документов и продвигают сообщения о якобы успешных кибератаках или военных потерях противника. Подобные кампании направлены на подрыв доверия к государственным институтам и формирование нужной информационной повестки.

В отчёте также упомянуты попытки тестирования уязвимостей в западной инфраструктуре. Ранее иранские структуры уже атаковали системы водоочистки в США через уязвимые промышленные контроллеры. Подобные операции, по мнению SentinelOne, могут повторяться в виде небольших, но резонансных атак на энергетические, транспортные и водные системы.

На момент публикации отчёта SentinelOne не обнаружила прямых кибератак, связанных с последними военными событиями. Однако специалисты считают ситуацию стремительно развивающейся и ожидают, что активность иранских групп может усилиться в ближайшие дни и недели.