Eine Koalition aus pro-iranischen und pro-russischen Cyberakteuren hat laut den Forschern bereits die Kampagne “#OpIsrael” gestartet, die sich auf kritische Infrastruktur und Datenabfluss konzentriert. Andere Hacktivisten griffen einzelne Ziele aus Protest gegen die Militäraktion und als Gegenreaktion auf die militärischen Verluste der Islamischen Republik an.

Nach einem Flashpoint-Bericht, der Dark Reading per E-Mail zugesandt wurde, hat die IRGC den Energiesektor ins Visier genommen: mit einem Angriff auf die Aramco-Anlage im saudischen Ras Tanura sowie auf ein Rechenzentrum von Amazon Web Services (AWS) in den Vereinigten Arabischen Emiraten — in beiden Ländern unterhalten die USA Militäreinrichtungen. Laut Flashpoint zielt der Iran darauf ab, über Cybermittel maximalen globalen wirtschaftlichen Schaden und Infrastrukturstörungen anzurichten, in einer “Verschiebung hin zu schwerer Wirtschaftskriegsführung und einem höheren Risiko für die globale Energieversorgung”.

Check Point Research beschreibt das Ökosystem als Unterstützung für ein breites Spektrum an Zielen: Spionage, um Erkenntnisse und Zugänge zu gewinnen; störende und zerstörerische Aktivitäten wie DDoS-Angriffe, Pseudo-Ransomware und Daten-Wiper; sowie Informationsoperationen, die zerstörerische Aktionen oder Datenlecks mit koordinierter Verstärkung im Netz verbinden. Die Forscher erwarten, dass sich die Angriffe gegen die USA und ihre Verbündeten intensivieren und ausweiten.

Zu den konkreten Akteuren zählt Cotton Sandstorm (auch Emennet Pasargad, Aria Sepehr Ayandehsazan, MarnanBridge und Haywire Kitten), ein der IRGC zugerechneter iranischer Akteur. Laut Check Point belebte die Gruppe ihre alte Tarnidentität Altoufan Team wieder, die zuvor mehr als ein Jahr inaktiv war und sich vor allem auf Bahrain spezialisiert hatte — dort befinden sich US-Militärbasen.

Das FAD Team (auch Iran’s Resistance Hub und Fatimion Cyber Team) führte laut Flashpoint eine globale SQL-Injection-Kampagne durch und veröffentlichte personenbezogene Daten zahlreicher Ziele, darunter einer virtuellen Gruppe der US Air Force sowie Bildungseinrichtungen in Frankreich, Indien und Vietnam. Die Gruppe beanspruchte zudem die Kontrolle über Überwachungs-Dashboards von Firewall-Geräten in Mekka und Medina, legte die Bahrain News Agency lahm und richtete DDoS-Angriffe gegen den katarischen Ölkonzern Gasco und Qatar Radio.

Unit 42 berichtet, dass Handala Hack — eine mit dem MOIS verbundene Hacktivisten-Identität — Datenabfluss mit Operationen gegen die israelische Politik und das Verteidigungsestablishment kombiniert. Seit Samstag bekannte sich die Gruppe zur Kompromittierung eines israelischen Energieexplorationsunternehmens und des Treibstoffsystems Jordaniens. Das Sammelbündnis Cyber Islamic Resistance, das mehrere Hacktivisten-Teams wie RipperSec und Cyb3rDrag0nzz koordiniert, startete synchronisierte DDoS-Angriffe, Daten-Wiper-Operationen und Website-Defacements.

Auch Gruppen außerhalb des Iran beteiligen sich. Das pro-palästinensische Dark Storm Team (auch DarkStorm oder MRHELL112) griff laut Unit 42 mehrere israelische Websites mit DDoS an, darunter die einer israelischen Bank. Die pro-russische Gruppe “Cardinal” beanspruchte Angriffe auf Systeme der israelischen Streitkräfte (IDF), die pro-russische NoName057(16) Angriffe auf kommunale, politische, Telekom- und verteidigungsnahe Einrichtungen; gemeinsam mit der Cyber Islamic Resistance führte sie DDoS-Angriffe gegen den Rüstungskonzern Elbit Systems durch.

Cisco Talos empfiehlt Organisationen, maximale Sicherheitsvorkehrungen umzusetzen und sich auf hybride Angriffe vorzubereiten, mit besonderem Augenmerk auf Drittpartner und Kunden im Nahen Osten, die Netzwerkverbindungen zu US-Unternehmen unterhalten. Da die Aktivität regional fokussiert erscheine, sei es entscheidend, mögliche Auswirkungen auf Partner und Zulieferer in der Region im Blick zu behalten.