Palo Alto сообщает о резком росте проиранской хакерской активности

Согласно отчету исследовательского подразделения Unit 42 компании кибербезопасности Palo Alto Networks, с началом войны на Ближнем Востоке зафиксирован заметный рост активности проиранских хакеров за пределами Ирана.

При этом деятельность государственных группировок внутри страны существенно ограничена из-за резкого падения доступности интернета в Иране до 1-4%.

По оценке Unit 42, фактическое отключение интернета в сочетании с ударами по командным и управленческим структурам иранского руководства затрудняет координацию и проведение сложных кибератак со стороны аффилированных с государством группировок.

В то же время "хактивистские" группировки, связанные с Ираном и действующие за пределами Ближнего Востока, продолжают активно работать. По оценкам, к 2 марта 2026 года действовало около 60 подобных группировок. Большую часть их активности представляет собой нарушения низкого и среднего уровня: DDoS-атаки, кампании типа "взломай и слей", взлом интерфейса веб-сайтов.

В числе наиболее заметных структур - группировка Handala Hack, связанная с министерством разведки и безопасности Ирана. Среди других активных группировок: APT Iran, The Cyber Islamic Resistance (объединяет RipperSec и Cyb3rDrag0nzz), Dark Storm Team, The FAD Team, Evil Markhors, Sylhet Gang, 313 Team и DieNet.

В числе заявленных целей - израильские платежные системы, система противовоздушной обороны, сайты израильских и иорданских банков, аэропорты Бахрейна, Саудовской Аравии и ОАЭ, правительственные сайты и силовые структуры Кувейта.

Выявлена также активная фишинговая кампания с использованием вредоносной версии приложения оповещения "Цева Адом" израильского Ведомства тыла. Приложение распространяется через SMS-сообщения и служит для распространения вредоносного ПО, собирающего данные с Android-устройств.

Группировка Handala Hack расширила свою деятельность за рамки военных и правительственных целей: на электронные адреса американских и канадских граждан иранского происхождения рассылались прямые угрозы убийством с утверждениями о том, что их домашние адреса переданы исполнителям.

Пророссийские хактивистские группировки - Cardinal, NoName057(16) и Russian Legion - также заявили о действиях против систем ЦАХАЛа, включая заявления о проникновении в систему «Железный купол» и закрытые серверы.

Unit 42 предупреждает, что иранские государственные группировки могут активизироваться в ближайшие недели - прежде всего против региональных и высокоценных целей.