Kiedy świat wstrzymywał oddech w związku z eskalacją konfliktu izraelsko-irańskiego, cyberprzestępcy i sponsorowane przez struktury państwowe grupy APT intensyfikowały działania. Analitycy FortiGuard Labs zaobserwowali zarówno wyrafinowane ataki na krytyczną infrastrukturę, jak i próby wyłudzeń funduszy od ludności cywilnej na fałszywą ewakuację. W jaki sposób toczy się współczesna wojna hybrydowa?
13 czerwca 2025 r. Izrael rozpoczął operację Rising Lion – ofensywę wymierzoną w strategiczne cele militarne Iranu. Przez kolejnych dwanaście dni trwała wymiana ataków, a sytuacja była na tyle poważna, że w wyciszenie konfliktu zaangażowały się również Stany Zjednoczone, co ostatecznie doprowadziło do zawieszenia broni. Ale w cieniu tych geopolitycznych wydarzeń rozgrywał się też front cyfrowy, a cyberprzestępcy wykorzystywali kryzys na Bliskim Wschodzie w swoich działaniach.
Fałszywa ewakuacja i samolot widmo
Cyberprzestępcy prowadzili ukierunkowaną kampanię phishingową, oferując „czarter luksusowego odrzutowca” z Tel Awiwu do USA. Pod fałszywą domeną „lineageembraer[.]online” informowano o fikcyjnym locie 26 czerwca 2025 r. z lotniska Ben Guriona do Teterboro (New Jersey) i oferowano miejsce w ekskluzywnym samolocie za 2166 dolarów. Jak wskazują analitycy Fortinet, już sama kwota budziła wątpliwości – była podejrzanie niska, zważywszy, że realne koszty czarteru Embraera Lineage 1000E na takiej trasie to ponad 10 tys. dolarów za osobę. Ofiary proszono o podanie danych osobowych (w tym numeru paszportu) oraz instruowano o płatności w zależności od tego, czy operatorzy stwierdzą, że osoba składająca wniosek jest „poważna”. Prawdopodobnie miało to tworzyć fałszywe poczucie legitymizacji podczas selektywnego zbierania danych o wysokiej wartości.
– Wszystko wskazuje na precyzyjnie zaplanowane oszustwo mające na celu kradzież tożsamości, danych finansowych i środków osób próbujących uciec z objętego konfliktem regionu. Niestety, nawet w takiej sytuacji zawsze znajdą się oszuści gotowi wykorzystać strach czy desperację innych – w tym przypadku obawy przed wznowieniem działań militarnych – wskazuje Robert Dąbrowski, szef zespołu inżynierów w firmie Fortinet.
Kulisy jednego z najdłuższych cyberataków ostatnich lat
Równolegle eksperci z FortiGuard Labs prowadzili dochodzenie w sprawie trwającego dwa lata ataku na krajową infrastrukturę krytyczną w jednym z państw Bliskiego Wschodu. Incydent trwał co najmniej od maja 2023 r. do lutego 2025 r., a pierwsze oznaki naruszenia mogły sięgać nawet maja 2021 r. To jeden z najdłuższych i najbardziej zaawansowanych incydentów cyberszpiegostwa wymierzonych w krytyczną infrastrukturę państwową w tym regionie.
Za atak odpowiada prawdopodobnie irańska grupa APT znana jako Lemon Sandstorm (alias Rubidium, Pioneer Kitten). Rozpoczął się on od kradzieży danych uwierzytelniających VPN i umieszczenia w systemie tzw. backdoorów umożliwiających m.in. wykonywanie poleceń i operacji na plikach. Hakerzy posługiwali się także narzędziami umożliwiającymi przenikanie do głębszych warstw infrastruktury IT i OT oraz unikanie wykrycia.
Cyberprzestępcy mogli przy tym zbierać informacje z naruszonego serwera obejmujące nazwę, adres IP, port, nazwę systemu operacyjnego i komputera, nazwę użytkownika, wersję środowiska. Mogli również tworzyć i usuwać pliki oraz katalogi, przenosić je lub kopiować. Pod koniec 2024 roku (listopad-grudzień) ofiara ataku podjęła kroki, aby go powstrzymać, co spowodowało gwałtowny wzrost aktywności przestępców. Podjęte zostały nasilone próby odzyskania dostępu, realizowane m.in. z pomocą kampanii phishingowych (często z użyciem skompromitowanych skrzynek poczty elektronicznej stron trzecich z regionu Bliskiego Wschodu), które miały ułatwić kradzież danych uwierzytelniających. Analitycy FortiGuard Lab nie znaleźli żadnych potwierdzonych zakłóceń w działaniu systemów OT, jednak zaobserwowali prowadzenie ukierunkowanego rekonesansu i proces zbierania danych uwierzytelniających, wskazujące na duże zainteresowanie przestępców tymi systemami.
Cyberzagrożenia w cieniu geopolityki
Atak na infrastrukturę krytyczną oraz oszustwo z czarterem obrazują dwa oblicza współczesnych zagrożeń – sponsorowane przez państwo oraz napędzane oportunizmem. Oba wykorzystują luki w systemach i ludzkiej psychice w momentach kryzysu.
Eksperci Fortinet wskazują, że incydenty te są ważnym ostrzeżeniem dla przedsiębiorstw i instytucji na całym świecie – nawet segmentacja sieci, monitoring i działania prewencyjne nie gwarantują bezpieczeństwa bez pozyskania świadomości co do nowych technik stosowanych przez przeciwników. W epoce cyfrowych konfliktów ofiarami ataków są nie tylko cele wojskowe – coraz częściej stają się nimi zwykli ludzie, z których desperacji przestępcy czerpią zyski.
– Już 73% podmiotów z całego świata korzystających z infrastruktury OT doświadczyło cyberataku, co stanowi znaczący wzrost w porównaniu z 49% w 2023 roku[1]. Dla instytucji zarządzających infrastrukturą krytyczną najważniejsze jest wdrożenie wieloskładnikowego uwierzytelniania (MFA) i regularnego zmieniania danych uwierzytelniających, a także wzmocnienie segmentacji sieci oraz przestrzeganie zasad braku zaufania, tzw. zero‑trust. Zalecane jest również wdrożenie mechanizmów analizujących zachowanie użytkowników oraz prowadzenie regularnych testów penetracyjnych i zewnętrznych audytów bezpieczeństwa. Koniecznie należy też przygotować i ćwiczyć plany reagowania na wypadek incydentów – podkreśla Robert Dąbrowski.
[1] Raport Fortinet „2024 State of Operational Technology and Cybersecurity Report”
