Implicațiile de securitate cibernetică ale războiului din Orientul Mijlociu se extind mult dincolo de granițele regiunii. Iată pe ce ar trebui să vă concentrați strategiile de apărare.

Războiul din Iran nu începuse de nici 24 de ore când a produs deja o premieră istorică: vizarea deliberată a centrelor de date comerciale. Pe 1 martie, drone iraniene au lovit trei facilități Amazon Web Services (AWS) din Emiratele Arabe Unite și Bahrain, perturbând infrastructura cloud esențială și scoțând din funcțiune aplicații financiare și instrumente de business nu doar în zona Golfului, ci și la mare distanță de regiune. Atacurile au demonstrat că distanța fizică față de o zonă de conflict nu reprezintă o garanție a protecției împotriva impactului războiului cinetic.

Pentru majoritatea organizațiilor, totuși, riscul cel mai mare este în spațiul cibernetic și implică tot felul de atacatori. La doar câteva ore după operațiunea americano-israeliană „Epic Fury” („Roaring Lion”) din 28 februarie, grupări cu legături în Iran s-au mobilizat în număr mare – unitatea Unit 42 a celor de la Palo Alto Networks a numărat peste 60 de grupuri de hacktiviști pro-iranieni activi. Tot în decurs de câteva ore, agențiile de securitate cibernetică din Regatul Unit și Canada au avertizat cu privire la creșterea nivelului de amenințare. La scurt timp, avertismente similare au fost reiterate de Europol și de Departamentul de Securitate Internă al SUA (DHS).

Amenințări și atacatori

În contextul unui conflict cinetic, atât volumul, cât și tipologia atacatorilor cibernetici se extind adesea. Activitatea de tip hacktivism – zgomotoasă și mai mult de bravadă – este, de regulă, prima care explodează. În paralel sau la scurt timp după, se desfășoară operațiuni de tip APT (Advanced Persistent Threat), care implică recunoașterea și accesul inițial. Odată ce punctele de sprijin sunt stabilite și țintele sunt cartografiate, scena este pregătită pentru îndeplinirea obiectivelor reale ale operațiunii, fie că este vorba despre spionaj, perturbarea activității, sabotaj sau alte scopuri.

Desigur, delimitările nu sunt neapărat clare, iar unele tactici pot fi desfășurate în tandem: o vandalizare de site web (website defacement) sau un atac de tip DDoS (blocarea serviciului), care pare a fi doar o operațiune de hacktivism de nivel inferior, ar putea fi, de fapt, o distragere deliberată de la un atac real, care exploatează discret ținta printr-un vector diferit.

Grupările cu legături în Iran se numără printre cei mai activi și ingenioși actori afiliați unui stat la nivel global, iar capacitățile lor cibernetice ofensive și seturile de instrumente utilizate s-au maturizat considerabil în ultima perioadă. Amenințarea este deosebit de periculoasă pentru organizațiile care au relații de tip lanț de aprovizionare în Orientul Mijlociu sau alte legături cu regiunea, ca să nu mai vorbim despre cele care au dependențe de servicii cloud în acea zonă.

Campania grupării CyberAv3ngers împotriva utilităților de apă și apă uzată din SUA și din alte țări, desfășurată în 2023, a ilustrat modul în care este pusă în practică această logică de selectare a țintelor. Mesajul de amenințare lăsat de atacator pe sistemele compromise – „Ați fost hack-uiți, jos cu Israelul. Orice echipament fabricat în Israel este o țintă legitimă pentru CyberAv3ngers” – semăna cu retorica hacktivistă, însă s-a descoperit rapid că gruparea opera sub îndrumarea statului iranian. Estomparea identității între hacktivism și operațiunile aliniate intereselor de stat, ale cărei rădăcini ar putea merge până la incidentul Saudi Aramco din 2012, are și un nume: „faketivism”.

Suprapunerile operaționale dintre grupări diferite merg însă și mai departe de atât. Cercetătorii ESET au documentat anterior legături strânse între mai mulți actori APT aliniați intereselor Iranului. În mod special, MuddyWater a colaborat îndeaproape cu Lyceum, un subgrup al OilRig, și probabil a acționat ca intermediar de acces inițial (IAB – Initial Access Broker) pentru alte grupări afiliate Iranului.

Complicând și mai mult situația, mai multe grupări de hacktiviști pro-ruși s-au alăturat acum, se pare, conflictului în sprijinul Iranului, existând totodată rapoarte despre grupări legate de Iran care colaborează cu intermediari de acces (IAB) pe forumurile de criminalitate cibernetică din Rusia; ceea ce extinde, practic, atât instrumentele disponibile, cât și gama de ținte accesibile. Infrastructura critică este unul dintre cele mai râvnite „trofee” pentru toate tipurile de adversari, iar telemetria recentă a ESET arată că actorii aliniați intereselor Iranului vizează, disproporționat, entități care activează în sectoarele de inginerie și producție.

Sectoarele vizate de grupările APT aliniate Iranului în perioada aprilie – septembrie 2025 (sursa: raportul ESET APT Activity Report Q2 2025–Q3 2025).

De asemenea, ori de câte ori represaliile sunt scopul, distrugerea tinde să aibă prioritate în fața, să zicem, extorcării bazate pe ransomware. Malware-ul de tip data-wiping (pentru ștergerea datelor) este o constantă a operațiunilor moderne conexe conflictelor – grupările aliniate intereselor Rusiei au demonstrat acest tipar în repetate rânduri în Ucraina.

Când vine vorba de atacuri cu randament maxim și efort minim, compromiterea lanțului de aprovizionare rămâne de obicei metoda preferată. În 2022, ESET Research a documentat modul în care gruparea Agrius, aliniată intereselor Iranului, a lansat un malware distructiv de tip wiper, numit Fantasy, printr-un atac asupra lanțului de aprovizionare care a exploatat un dezvoltator de software israelian, lovind ținte din diverse sectoare și mult dincolo de granițele Israelului. Raza de acțiune a unui astfel de atac poate afecta organizații care nu au fost niciodată vizate direct și care nu au nicio legătură evidentă cu respectivul conflict.

Un risc conex vizează furnizorii de servicii gestionate (MSP) și clienții acestora. Tot în 2022, ESET a documentat o campanie în care atacatorul a compromis un MSP pentru a obține acces la țintele sale finale. Atacatorii nu au fost nevoiți să infiltreze direct țintele; în schimb, au lăsat căile de acces ale furnizorului de servicii să facă treaba în locul lor. Campania a fost orchestrată de gruparea de ciberspionaj MuddyWater, devenit recent o forță majoră în cercurile APT iraniene, care a trecut printr-o evoluție remarcabilă.

Cunoscut în trecut pentru atacuri stridente și automatizate, MuddyWater se orientează acum tot mai mult spre operațiuni discrete și rafinate, care implică activități de tip hands-on-keyboard (intervenție umană directă) în mediile vizate. La fel ca alte grupări aliniate intereselor Iranului, MuddyWater a pivotat către tehnica verificată de a exploata software-urile legitime de monitorizare și gestionare de la distanță (RMM). În acest fel, gruparea se poate confunda cu traficul legitim de rețea, complicând procesul de detecție.

Gruparea este cunoscută, de asemenea, pentru preferința sa către spear-phishing intern de pe adrese de email deja compromise – mesaje venite de pe contul unui coleg, mai degrabă decât de la un expeditor extern – metodă care are o rată mare de succes, din motive evidente. Anexele și link-urile de spear-phishing sunt de mult timp cele mai populare tehnici de acces inițial printre majoritatea grupărilor APT aliniate intereselor Iranului, inclusiv OilRig și APT33. Totuși, nici exploatarea vulnerabilităților software cunoscute nu este neobișnuită, așa cum s-a văzut într-o campanie recentă a grupării Ballistic Bobcat.

MuddyWater rămâne extrem de activ în 2026 – luna trecută, cercetătorii în securitate de la Symantec (Broadcom) și Carbon Black au identificat gruparea în rețelele mai multor entități din SUA, inclusiv un aeroport, o bancă și o firmă de software cu legături în Israel. Totuși, volumul general de activitate cibernetică ofensivă din partea atacatorilor aliniați intereselor Iranului este, până acum, sub nivelul valului de activitate observat de cercetătorii ESET după atacul asupra Israelului din 7 octombrie 2023. Acest fapt s-ar putea datora, parțial, blocării aproape totale a internetului în Iran, o măsură în mare parte autoimpusă de către autorități. În orice caz, așa cum a precizat și Threat Analysis Group (TAG) de la Google în analiza sa privind activitatea cibernetică din jurul războiului Israel-Hamas, „capacitățile cibernetice [...] reprezintă o primă opțiune de atac”. Observația rămâne relevantă și astăzi – fiind exemplificată de primul atac cibernetic major de la începutul războiului, produs pe 12 martie. Un atac de tip data-wiping, realizat de gruparea de hacktiviști pro-iranieni Hamdala asupra companiei americane de tehnologie medicală Stryker, ar fi cauzat, conform raportărilor, oprirea sistemelor companiei la nivel global.

Imagine de fundal pentru desktop setată de wiper-ul CyberToufan, care a atacat 50 de organizații din Israel în ianuarie 2025 (sursa: ESET APT Activity Report Q4 2024 – Q1 2025).

Reziliența: pe ce să ne concentrăm

Amenințările variază de la campanii oportuniste de tip DDoS și vandalizare (defacement), până la incursiuni de tip data-wiping (ștergere de date) și ciberspionaj cu durate lungi de prezență nedetectată, ajungând până la compromiteri ale lanțului de aprovizionare care nu ar scuti nici măcar organizațiile fără o legătură directă cu conflictul. Măsurile prezentate mai jos vor fi familiare majorității echipelor de securitate. Accentul este pus pe zonele unde atacatorii aliniați intereselor Iranului au găsit, de-a lungul timpului, puncte slabe.

Identificați ce este expus

Începeți prin identificarea și securizarea oricărui element conectat la internet: acces de la distanță, aplicații web, gateway-uri VPN și dispozitive OT/ICS (tehnologie operațională/ sisteme de control industrial), dacă organizația dvs. operează astfel de sisteme. Parolele implicite trebuie schimbate pe toate dispozitivele. Dacă un dispozitiv nu suportă autentificarea puternică, evaluați dacă ar trebui să fie conectat la internetul public. Campania CyberAv3ngers din 2023 a vizat controllere logice programabile (PLC) care încă aveau parolele setate din fabrică. Ghidul CISA discută tehnicile specifice utilizate și merită revizuit în detaliu dacă organizația dvs. gestionează sisteme de control industrial.

Limitați suprafața de atac

Mediile OT/ICS reprezintă o provocare specifică: dispozitive implementate cu zeci de ani în urmă, fără a avea în vedere cerințele de securitate și care sunt rareori inventariate. Parolele implicite și expunerea la internet sunt cele mai evidente probleme, însă problema este că multe dintre aceste sisteme nu au fost niciodată concepute pentru a fi securizate după punerea în funcțiune.

Deconectați dispozitivele OT/ICS de la internetul public oriunde este fezabil din punct de vedere operațional. Acolo unde este posibil, aplicați toate patch-urile disponibile, deoarece dispozitivele vulnerabile expuse la internet rămân unul dintre cele mai sigure puncte de intrare pentru atacatori. În cazurile în care acest pas nu este realizabil, impuneți segmentarea rețelei între mediile IT și OT și stabiliți profiluri de comportament de bază pentru protocoalele industriale, astfel încât traficul suspect să poată declanșa alerte.

Eliminați vulnerabilitățile (de acces) 

Majoritatea grupărilor sponsorizate de statul iranian au făcut din compromiterea identității un obiectiv constant. Un ghid comun emis de CISA, FBI și NSA în octombrie 2024 a documentat o campanie întinsă pe un an, în care actorii iranieni au folosit tehnici de password spraying și MFA push-bombing (bombardarea utilizatorilor cu solicitări de autentificare până când cineva aprobă una din greșeală) pentru a pătrunde în organizații din sectoarele sănătății, guvernamental, energetic și IT. Odată infiltrați, au modificat setările de autentificare multifactor (MFA) pentru a-și securiza accesul persistent și au vândut datele de autentificare sustrase pe forumurile de criminalitate cibernetică.

Pentru a contracara această amenințare, impuneți utilizarea unui MFA rezistent la phishing pentru toate sistemele expuse în exterior și auditați configurațiile MFA existente pentru a detecta orice acces neautorizat.

Auditați lanțul de aprovizionare și accesul terților

Auditați toate căile de acces de la distanță ale terților și ale altor parteneri. Având în vedere că grupări precum CyberAv3ngers vânează în mod specific echipamente OT (tehnologie operațională) fabricate în Israel, verificați dacă vreunul dintre echipamentele dvs. se încadrează în această categorie.

Dacă vă bazați pe furnizori de servicii gestionate (MSP), interesați-vă cum își securizează instrumentele de acces de la distanță și dacă și-au evaluat propria expunere în contextul conflictului. Exploatarea instrumentului SimpleHelp de către gruparea MuddyWater în cadrul unor MSP-uri a demonstrat că postura de securitate a furnizorului face parte, practic, din suprafața proprie de atac.

Atenție sporită la phishing

Deoarece MuddyWater și alte grupări se bazează adesea pe abordări centrate pe factorul uman – în special mesaje de spear-phishing trimise de pe conturi interne deja compromise – angajații trebuie să verifice toate solicitările prin canale separate. Este valabil mai ales pentru cererile care implică date de autentificare, modificări ale drepturilor de acces, „actualizări de securitate” urgente sau orice referire la conflictul actual.

Atacatorii folosesc instrumente comune de AI nu doar pentru a genera momeli de phishing nuanțate, ci și pentru alte etape din ciclul de viață al atacului, inclusiv pentru cercetarea vulnerabilităților și sprijinirea dezvoltării de malware.

Cartografierea dependențelor cloud

Cartografiați furnizorii de tip SaaS (Software-as-a-Service) de care depindeți și aflați unde este găzduită infrastructura lor. Chiar dacă dvs. nu rulați procese (workloads) în Orientul Mijlociu, este posibil ca furnizorii dvs. să o facă. În urma atacurilor asupra centrelor AWS, mai mulți furnizori, inclusiv Snowflake și Red Hat, au emis recomandări privind procedurile de failover (comutare în caz de eroare), reamintind astfel clienților că întreruperile cloud la nivel regional se propagă prin lanțul de aprovizionare în moduri care nu sunt întotdeauna vizibile până când ceva se defectează. AWS, de pildă, a recomandat explicit clienților cu procese active în Orientul Mijlociu să le migreze în altă parte.

Pregătiți-vă pentru distrugere, nu doar pentru furt

În timpul operațiunilor conexe conflictelor, actorii aliniați intereselor statale tind să prefere malware-ul de tip wiper (pentru ștergerea datelor) în detrimentul celui de tip ransomware. În orice situație, asigurați-vă că cel puțin o copie a backup-urilor critice este offline și air-gapped (izolată fizic de orice rețea), și nu doar replicată într-o altă regiune cloud care ar putea avea aceleași dependențe de infrastructură.

Testați dacă planul dvs. de recuperare în caz de dezastru acoperă o întrerupere totală a unei regiuni cloud, deoarece majoritatea planurilor sunt concepute pentru defecțiuni ale unei singure zone. Mai important, verificați dacă backup-urile dvs. pot fi într-adevăr restaurate, deoarece wiper-ele și alte programe malițioase vizează uneori în mod specific sistemele de backup.

Totul este o țintă

Tabloul amenințărilor va continua să se modifice pe măsură ce conflictul evoluează. Zgomotul produs de hacktiviști se poate intensifica sau stinge, în timp ce operațiunile de tip APT tind să se desfășoare mai lent și să iasă la suprafață mai târziu. Organizațiile care se descurcă cel mai bine în acest mediu sunt, în general, cele care au eliminat deja vulnerabilitățile de bază înainte ca amenințarea să devină acută. Dacă activitățile fundamentale (cum ar fi inventarierea activelor) sunt încă nerealizate, situația actuală reprezintă un motiv suficient de puternic pentru a le accelera.

Dacă organizația dvs. are acces la cele mai bune servicii de informații și cercetare privind amenințările (threat intelligence), acum este momentul să le urmăriți cu mare atenție.