Medienberichten zufolge legten die Cyberangriffe der USA und Israels iranische Systeme weitreichend lahm. Betroffen waren demnach staatliche Medien wie IRNA, Kommunikations- und Führungsnetze der Revolutionsgarden, digitale Behördendienste sowie zentrale Infrastruktur im Energie- und Luftfahrtsektor. Pro-westliche Hacker sollen zudem eine weit verbreitete Gebets-App kompromittiert haben, um Botschaften zu verbreiten, die auf eine Intervention von außen hindeuteten.
General Dan Caine, Vorsitzender der Joint Chiefs of Staff, erklärte bei einer Pressekonferenz im Pentagon, koordinierte Operationen im Weltraum und im Cyberraum hätten die Kommunikations- und Sensornetze im gesamten Einsatzgebiet wirksam gestört und den Gegner außerstande gesetzt, zu sehen, zu koordinieren oder wirksam zu reagieren.
Mehrere große Sicherheitsfirmen schilderten ihre Beobachtungen, vor allem zu Operationen iranischer und pro-iranischer Hacker. CrowdStrike berichtete, keine groß angelegten Kampagnen staatlich gesteuerter Akteure festgestellt zu haben, dafür aber einen sprunghaften Anstieg von Hacktivisten-Angriffen pro-iranischer Gruppen – Website-Defacements, DDoS-Attacken und Behauptungen über Störaktionen. Hervorgehoben wurde die Gruppe Hydro Kitten, die nach eigenen Angaben den Finanzsektor angreift. Vieles davon sei “behauptungsgetrieben statt belegt”, sagte Adam Meyers von CrowdStrike; in Phasen geopolitischer Eskalation nehme opportunistischer Hacktivismus erfahrungsgemäß zu.
Palo Alto Networks sah ebenfalls eine Zunahme von Angriffen durch Hacktivisten von außerhalb Irans, führte das Ausbleiben staatlicher Aktivität aber auf die eingeschränkte Internetverbindung infolge eines anhaltenden Blackouts zurück, der zum Berichtszeitpunkt in den vierten Tag ging. Die Fähigkeit, anspruchsvolle Cyberoperationen aufrechtzuerhalten, sei durch die Störungen wahrscheinlich verringert.
Das Threat-Intelligence-Unternehmen Flashpoint berichtete SecurityWeek von “alarmierenden Behauptungen” über Eindringen in industrielle Steuerungssysteme (ICS) und in die Logistik der nationalen Getreideversorgung. Eine breite Koalition pro-iranischer und pro-russischer Gruppen habe die Kampagne OpIsrael gestartet. NoName057(16) führte demnach massive DDoS-Angriffe gegen einen israelischen Rüstungskonzern und Kommunalverwaltungen, die Cyber Islamic Resistance beanspruchte den Hack eines israelischen Krankenversicherers, und FAD Team führte SQL-Injection-Angriffe zum Datendiebstahl durch. Die Gruppe Fatimion Cyber Team nahm arabische Staaten ins Visier, die als US-Verbündete gelten, legte die Bahrain News Agency lahm und attackierte den katarischen Ölkonzern Gasco sowie Qatar Radio.
Cisco Talos meldete keine signifikanten Auswirkungen und keinen erkennbaren Anstieg bei staatlich gesteuerten oder staatsnahen Gruppen; mögliche Folgen dürften von sympathisierenden Hacktivisten ausgehen. Sophos sah einen Schub an Hacktivismus, “aber keine Eskalation des Risikos”, vor allem durch pro-iranische Akteure wie das Handala Hack team und APTIran; Behauptungen über kompromittierte kritische Infrastruktur seien unbestätigt und womöglich übertrieben.
Check Point berichtete, einige staatliche Akteure wie Cotton Sandstorm (auch Emennet Pasargad) und Void Manticore (Handala) hätten alte Hacktivisten-Personas reaktiviert. Hudson Rock, spezialisiert auf Infostealer-Malware, stufte viele der zuletzt behaupteten Datenlecks als gefälscht ein. Das britische National Cyber Security Centre (NCSC) sah keine wesentliche Änderung der direkten Cyberbedrohung durch Iran für Großbritannien, rief Organisationen aber zur Überprüfung ihrer Risikolage auf.
