Czarter widmo i ataki na krytyczną infrastrukturę – konflikt na Bliskim Wschodzie także w sieci

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Kiedy świat wstrzymywał oddech w związku z eskalacją konfliktu izraelsko-irańskiego, cyberprzestępcy i sponsorowane przez struktury państwowe grupy APT intensyfikowały działania. Analitycy FortiGuard Labs zaobserwowali zarówno wyrafinowane ataki na krytyczną infrastrukturę, jak i próby wyłudzeń funduszy od ludności cywilnej na fałszywą ewakuację. W jaki sposób toczy się współczesna wojna hybrydowa?

13 czerwca 2025 r. Izrael rozpoczął operację Rising Lion – ofensywę wymierzoną w strategiczne cele militarne Iranu. Przez kolejnych dwanaście dni trwała wymiana ataków, a sytuacja była na tyle poważna, że w wyciszenie konfliktu zaangażowały się również Stany Zjednoczone, co ostatecznie doprowadziło do zawieszenia broni. Ale w cieniu tych geopolitycznych wydarzeń rozgrywał się też front cyfrowy, a cyberprzestępcy wykorzystywali kryzys na Bliskim Wschodzie w swoich działaniach.

Fałszywa ewakuacja i samolot widmo

Cyberprzestępcy prowadzili ukierunkowaną kampanię phishingową, oferując „czarter luksusowego odrzutowca” z Tel Awiwu do USA. Pod fałszywą domeną „lineageembraer[.]online” informowano o fikcyjnym locie 26 czerwca 2025 r. z lotniska Ben Guriona do Teterboro (New Jersey) i oferowano miejsce w ekskluzywnym samolocie za 2166 dolarów. Jak wskazują analitycy Fortinet, już sama kwota budziła wątpliwości – była podejrzanie niska, zważywszy, że realne koszty czarteru Embraera Lineage 1000E na takiej trasie to ponad 10 tys. dolarów za osobę. Ofiary proszono o podanie danych osobowych (w tym numeru paszportu) oraz instruowano o płatności w zależności od tego, czy operatorzy stwierdzą, że osoba składająca wniosek jest „poważna”. Prawdopodobnie miało to tworzyć fałszywe poczucie legitymizacji podczas selektywnego zbierania danych o wysokiej wartości.

Wszystko wskazuje na precyzyjnie zaplanowane oszustwo mające na celu kradzież tożsamości, danych finansowych i środków osób próbujących uciec z objętego konfliktem regionu. Niestety, nawet w takiej sytuacji zawsze znajdą się oszuści gotowi wykorzystać strach czy desperację innych – w tym przypadku obawy przed wznowieniem działań militarnych – wskazuje Robert Dąbrowski, szef zespołu inżynierów w firmie Fortinet.

Kulisy jednego z najdłuższych cyberataków ostatnich lat

Równolegle eksperci z FortiGuard Labs prowadzili dochodzenie w sprawie trwającego dwa lata ataku na krajową infrastrukturę krytyczną w jednym z państw Bliskiego Wschodu. Incydent trwał co najmniej od maja 2023 r. do lutego 2025 r., a pierwsze oznaki naruszenia mogły sięgać nawet maja 2021 r. To jeden z najdłuższych i najbardziej zaawansowanych incydentów cyberszpiegostwa wymierzonych w krytyczną infrastrukturę państwową w tym regionie.

Za atak odpowiada prawdopodobnie irańska grupa APT znana jako Lemon Sandstorm (alias Rubidium, Pioneer Kitten). Rozpoczął się on od kradzieży danych uwierzytelniających VPN i umieszczenia w systemie tzw. backdoorów umożliwiających m.in. wykonywanie poleceń i operacji na plikach. Hakerzy posługiwali się także narzędziami umożliwiającymi przenikanie do głębszych warstw infrastruktury IT i OT oraz unikanie wykrycia.

Cyberprzestępcy mogli przy tym zbierać informacje z naruszonego serwera obejmujące nazwę, adres IP, port, nazwę systemu operacyjnego i komputera, nazwę użytkownika, wersję środowiska. Mogli również tworzyć i usuwać pliki oraz katalogi, przenosić je lub kopiować. Pod koniec 2024 roku (listopad-grudzień) ofiara ataku podjęła kroki, aby go powstrzymać, co spowodowało gwałtowny wzrost aktywności przestępców. Podjęte zostały nasilone próby odzyskania dostępu, realizowane m.in. z pomocą kampanii phishingowych (często z użyciem skompromitowanych skrzynek poczty elektronicznej stron trzecich z regionu Bliskiego Wschodu), które miały ułatwić kradzież danych uwierzytelniających. Analitycy FortiGuard Lab nie znaleźli żadnych potwierdzonych zakłóceń w działaniu systemów OT, jednak zaobserwowali prowadzenie ukierunkowanego rekonesansu i proces zbierania danych uwierzytelniających, wskazujące na duże zainteresowanie przestępców tymi systemami.

Cyberzagrożenia w cieniu geopolityki

Atak na infrastrukturę krytyczną oraz oszustwo z czarterem obrazują dwa oblicza współczesnych zagrożeń – sponsorowane przez państwo oraz napędzane oportunizmem. Oba wykorzystują luki w systemach i ludzkiej psychice w momentach kryzysu.

Eksperci Fortinet wskazują, że incydenty te są ważnym ostrzeżeniem dla przedsiębiorstw i instytucji na całym świecie – nawet segmentacja sieci, monitoring i działania prewencyjne nie gwarantują bezpieczeństwa bez pozyskania świadomości co do nowych technik stosowanych przez przeciwników. W epoce cyfrowych konfliktów ofiarami ataków są nie tylko cele wojskowe – coraz częściej stają się nimi zwykli ludzie, z których desperacji przestępcy czerpią zyski.

Już 73% podmiotów z całego świata korzystających z infrastruktury OT doświadczyło cyberataku, co stanowi znaczący wzrost w porównaniu z 49% w 2023 roku[1]. Dla instytucji zarządzających infrastrukturą krytyczną najważniejsze jest wdrożenie wieloskładnikowego uwierzytelniania (MFA) i regularnego zmieniania danych uwierzytelniających, a także wzmocnienie segmentacji sieci oraz przestrzeganie zasad braku zaufania, tzw. zero‑trust. Zalecane jest również wdrożenie mechanizmów analizujących zachowanie użytkowników oraz prowadzenie regularnych testów penetracyjnych i zewnętrznych audytów bezpieczeństwa. Koniecznie należy też przygotować i ćwiczyć plany reagowania na wypadek incydentów – podkreśla Robert Dąbrowski.

[1] Raport Fortinet „2024 State of Operational Technology and Cybersecurity Report”

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...
Coś dla Ciebie

Wybrane kategorie