Ирански кибероперации все по-активно се насочват към слабо защитени системи от критичната инфраструктура, използвайки базови пропуски в киберхигиената и неправилно конфигурирани индустриални среди. Това се посочва в нов анализ на Foundation for Defense of Democracies, който предупреждава за систематично разузнаване и компрометиране на публично достъпни OT и ICS среди.

Според доклада ирански свързани групи вече са получили достъп до индустриални системи в няколко американски щата, включително системи за мониторинг на резервоари на бензиностанции, изложени онлайн с фабрични или напълно липсващи пароли.

Атакувани са системи за измерване на гориво в бензиностанции

Компрометираните устройства представляват т.нар. tank gauge systems – индустриални системи за наблюдение на нивата на горивото в подземни резервоари.

Според анализа атакуващите не са променяли реалните количества гориво, но са манипулирали визуализираната информация.

Това е особено опасно, тъй като:

• операторите могат да останат „слепи“ за течове;
• може да се прикрият празни резервоари;
• възможни са оперативни забавяния;
• могат да възникнат финансови загуби;
• увеличава се рискът от инциденти и паника.

Авторите на доклада – Йохана Янг и Ари Бен Ам – подчертават, че компрометираните системи са били достъпни директно през интернет без адекватна защита.

Иранските операции са по-малко сложни, но силно насочени към психологически ефект

Докладът отбелязва, че иранските кибергрупи обикновено не достигат техническата сложност на китайските или руските APT операции.

Вместо това те комбинират:

• кибератаки;
• информационни операции;
• публични твърдения за пробиви;
• психологически натиск;
• медийно влияние.

Според анализа този модел е характерен за структури, свързвани с:

• Корпус на гвардейците на ислямската революция
• Министерство на разузнаването и сигурността на Иран

Често операциите се извършват чрез прикрити hacktivist групи, използвани като фасада за държавно подкрепени действия.

ICS и OT средите остават една от най-слабите точки

Според анализа основният проблем не е използването на сложни zero-day експлойти, а масовото наличие на:

• фабрични пароли;
• липсваща автентикация;
• директно изложени OT устройства;
• слаба мрежова сегментация;
• остарели индустриални системи.

Именно това позволява на атакуващите да компрометират:

• PLC контролери;
• supervisory control системи;
• мониторингови устройства;
• индустриални gateway системи.

Американската CISA многократно е предупреждавала, че ирански групи активно сканират интернет за уязвими ICS среди.

Целта постепенно се измества от шпионаж към disruption операции

Докладът предупреждава, че макар много от атаките досега да са имали ограничено реално въздействие, тенденцията показва постепенно преминаване към disruption операции.

Сред потенциалните последствия се посочват:

• оперативни забавяния;
• манипулация на данни;
• финансови щети;
• загуба на доверие;
• обществена паника.

Особено тревожен е рискът от случайно причиняване на сериозен инцидент, дори когато първоначалната цел е била основно психологическо въздействие.

APTIRAN и предишните атаки срещу бензиностанции

Докладът прави връзка с предходни операции на групата APTIRAN, за която се смята, че е свързана с иранския режим и IRGC.

Групата по-рано е твърдяла, че е компрометирала подобни системи в Пенсилвания, публикувайки екранни снимки и предполагаеми доказателства за достъп до данни.

В много случаи обаче:

• компаниите не потвърждават пробивите;
• липсват официални разследвания;
• реалният мащаб остава неясен.

Това също е част от стратегията – дори ограничен технически успех може да бъде използван за максимален медиен и психологически ефект.

„Secure by Design“ се превръща в критична необходимост

Докладът подчертава, че критичната инфраструктура не може повече да разчита само на perimeter защита.

Според FDD производителите трябва да прилагат принципите на:

• secure-by-default;
• secure-by-design;
• mandatory password changes;
• network isolation;
• минимални привилегии.

Сред препоръките е устройствата да не позволяват инсталация без задължителна смяна на фабричните пароли.

Това е в синхрон с инициативата на CISA Secure by Design, която цели производителите да интегрират сигурността още на ниво архитектура.

Microsoft разкри и глобална операция за подписване на зловреден код

На фона на предупрежденията за иранските операции, Microsoft съобщи и за неутрализирането на киберпрестъпна платформа, известна като Fox Tempest.

Операцията е предоставяла т.нар. malware-signing-as-a-service (MSaaS) услуги, позволяващи на ransomware групи да маскират зловреден код като легитимен софтуер чрез злоупотреба с code-signing инфраструктура.

Microsoft свързва платформата с групи и малуер фамилии като:

• Vanilla Tempest;
• Oyster;
• Lumma Stealer;
• Vidar;
• INC;
• Qilin;
• Akira.

Според компанията платформата е била активна от май 2025 г. и е използвана за компрометиране на хиляди системи по света.

Критичната инфраструктура остава уязвима за „елементарни“ атаки

Анализът на FDD подчертава един тревожен извод – голяма част от критичната инфраструктура остава изложена не заради сложни експлойти, а заради базови пропуски в конфигурацията и управлението.

Фабричните пароли, директният интернет достъп и липсата на сегментация продължават да бъдат достатъчни за проникване в чувствителни индустриални среди.

Това превръща OT и ICS системите в привлекателна цел не само за държавни групи, но и за ransomware оператори, hacktivist мрежи и криминални посредници.