Нарастващото напрежение в Близкия изток поражда нови предупреждения от експерти по киберсигурност, че геополитическата конфронтация може да се прехвърли и в дигиталното пространство. Според анализи на международни организации за обмен на разузнавателна информация, критичната инфраструктура по света може да се превърне в косвена цел на кибероперации, свързани с регионалния конфликт.

Съвместно предупреждение на членовете на Националния съвет на ISAC (National Council of ISACs – NCI) призовава организациите от ключови инфраструктурни сектори да засилят подготовката си. Документът подчертава, че при геополитически кризи често се наблюдава повишена активност както на държавно подкрепяни хакерски групи, така и на хактивистки и киберпрестъпни мрежи.

В същото време анализаторите подчертават, че предупреждението има превантивен характер и не е свързано с потвърдено масово увеличение на злонамерена активност.

Иран като значим киберпротивник

Експертите определят Иран като един от най-активните държавни кибериграчи, поддържащ множество групи за офанзивни операции. Тези структури изпълняват различни задачи – от кибершпионаж и разрушителни атаки до финансово мотивирани операции, включително сътрудничество с рансъмуер групи.

В първите дни след началото на конфликта е отчетено временно намаляване на киберактивността, идваща от Иран. Това може да се дължи на няколко фактора:

• пренасочване на кибероператори към други задачи

• нарушена командна и контролна инфраструктура

• ефективни офанзивни кибероперации от страна на САЩ и Израел

Въпреки това анализаторите вече наблюдават нови признаци за възобновяване на ирански кибероперации.

Допълнително безпокойство предизвикват и потвърдени прекъсвания на облачни услуги вследствие на кинетични атаки, което демонстрира как физически инциденти могат директно да доведат до киберефекти.

Потенциално сътрудничество между руски и ирански хакери

В предупреждението се посочва и възможно сближаване между ирански и руски хактивистки структури. По време на 12-дневната война между Израел и Иран през юни 2025 г. руски хактивисти са извършили атаки срещу израелски организации от критичната инфраструктура.

Един от примерите е групата Server Killers, която е атакувала здравни организации в Израел в отговор на ударите срещу иранската ядрена инфраструктура.

Ha 4 март 2026 г. друга руска хактивистка група – NoName057(16) – е извършила DDoS атаки срещу израелски организации, което показва, че кибероперациите могат да се разширят паралелно с военните действия.

Анализаторите предупреждават, че допълнителни хактивистки групи могат да се включат, увеличавайки риска за операторите на критична инфраструктура по света.

Основните ирански кибергрупи

Сред най-активните държавно свързани структури са няколко добре известни групи.

Charming Kitten (APT35, Phosphorous)
Тази група е известна с мащабни spear-phishing кампании, насочени към политически организации, военни структури и компании. Често използва социално инженерство, като се представя за журналисти, изследователи или държавни служители, за да подведе жертвите да въведат данни за достъп в фалшиви сайтове.

APT33 (Elfin)
APT33 е провеждала операции срещу енергийния и авиационния сектор в САЩ и други западни държави. Групата използва spear-phishing, злонамерени прикачени файлове, typosquatting домейни и атаки тип password spraying. В миналото е експлоатирала и zero-day уязвимости в различни ИТ продукти.

MuddyWater (APT37, Seedworm)
Фокусира се върху кибершпионаж, насочен към правителствени, военни, енергийни, телекомуникационни и финансови организации. Кампаниите ѝ обхващат Близкия изток, Азия, Африка, Европа и Северна Америка. Групата често използва spear-phishing и експлоатира известни уязвимости и open-source инструменти.

OilRig (APT34)
Специализира в разузнавателни операции и събиране на информация. Освен spear-phishing кампании, групата използва и компрометирани организации като платформа за атаки по веригата на доставки.

Pioneer Kitten (Fox Kitten, UNC757)
Тази група атакува предимно мрежова инфраструктура, като експлоатира уязвимости във VPN системи, включително решения на Pulse Secure, Citrix и F5. Известна е и с това, че продава достъп до компрометирани мрежи на други киберпрестъпни групи.

Хактивистки структури и прокси мрежи

Границата между хактивисти и държавно подкрепяни структури в иранската екосистема често е размита. Много от тези групи имат връзки с Корпуса на стражите на ислямската революция или други държавни институции.

Сред тях се открояват няколко групи.

CyberAv3ngers (Sandcat)
Групата атакува индустриални контролни системи и OT среди, като експлоатира публично достъпни ICS и SCADA устройства с фабрични пароли или непачнати уязвимости. По време на конфликта между Израел и Палестина през 2025 г. тя е компрометирала десетки програмируеми логически контролери.

Handala (Void Manticore)
Специализира в hack-and-leak операции и психологически кампании, насочени основно към израелски организации. Често използва фишинг атаки и SMS базирано социално инженерство.

Cyber Islamic Resistance (Team 313)
Представлява координационна мрежа, която организира кампании срещу цели в Близкия изток, САЩ и Азия.

Fatimion Cyber Team (FAD Team)
Известна с разрушителни операции, включително wiper зловреден софтуер и масови SQL injection атаки, както и твърдения за достъп до SCADA и PLC системи.

DieNet
Децентрализирана група, извършваща DDoS атаки, дефейсване на сайтове и пробиви в данни, насочени основно срещу Израел и негови съюзници.

Какво трябва да направят организациите

Експертите препоръчват на компаниите да изградят комплексна стратегия за киберсигурност, която позволява ефективно разпределение на ограничените ресурси.

Сред основните мерки са:

• засилен мониторинг за spear-phishing и кражба на идентификационни данни

• актуализиране на плановете за DDoS защита

• проверка на backup и recovery процесите

• засилен контрол върху комуникационната инфраструктура

• наблюдение за компрометиране на веригата на доставки

• активиране на многофакторна автентикация (MFA)

Освен кибермерките, организациите трябва да засилят и физическата сигурност, да провеждат оценки на риска и редовни учения за реакция при инциденти.

Волатилна среда на заплахи

Анализаторите предупреждават, че киберзаплахите ще останат нестабилни и трудно прогнозируеми, особено при продължаващи геополитически конфликти.

Дори когато дадена атака не е насочена директно към определена държава или компания, взаимосвързаността на глобалните мрежи означава, че странични щети са напълно възможни. Атаки срещу израелски цели например могат да засегнат и компании в други държави чрез споделена инфраструктура или партньорски мрежи.

Затова експертите насърчават организациите да се включат в секторни общности за обмен на информация (ISAC), които позволяват споделяне на разузнавателни данни за заплахи и координирана защита на цели индустрии.