Die gefälschten SMS erreichten Empfänger nach Angaben von Gil Messing offenbar genau in dem Moment, in dem sie vor den Raketen in Schutzräume flüchteten. „Das wurde an Menschen geschickt, während sie zu den Schutzräumen rannten, um sich zu schützen“, sagte Messing. Dass die Nachrichten auf die Minute genau mit den Angriffen abgestimmt gewesen seien, sei ein Novum.
Die Sicherheitsfirma DigiCert mit Sitz in Utah hat bislang nahezu 5.800 Cyberangriffe erfasst, die auf rund 50 verschiedene mit dem Iran verbundene Gruppen zurückgehen. Die meisten richteten sich gegen US-amerikanische oder israelische Unternehmen, daneben fand DigiCert aber auch Angriffe auf Netzwerke in Bahrain, Kuwait, Katar und weiteren Ländern der Region. Viele dieser Attacken lassen sich mit aktuellen Schutzmaßnahmen leicht abwehren, können bei veralteter Sicherheitstechnik jedoch erheblichen Schaden anrichten und binden selbst im Fall des Scheiterns Ressourcen. „Es finden weit mehr Angriffe statt, als gemeldet werden“, sagte Michael Smith, Field Chief Technology Officer bei DigiCert.
Viele dieser Aktionen sind plakativ angelegt und sollen die eigenen Anhänger bestärken und das Vertrauen des Gegners untergraben, ohne den Kriegsverlauf wesentlich zu beeinflussen. So reklamierte eine pro-iranische Gruppe für sich, in ein Konto von FBI-Direktor Kash Patel eingedrungen zu sein und dort jahrealte Fotos sowie einen Lebenslauf und weitere persönliche Dokumente veröffentlicht zu haben; viele dieser Unterlagen schienen mehr als zehn Jahre alt zu sein. Solche Angriffe mit hohem Volumen und geringer Wirkung seien laut Smith vor allem ein Einschüchterungsmittel, um anderen Ländern zu signalisieren, dass man sie auch über Kontinente hinweg erreichen könne.
Als bevorzugte Ziele gelten die schwächsten Glieder der amerikanischen Cybersicherheit: Lieferketten sowie kritische Infrastruktur wie Häfen, Bahnhöfe, Wasserwerke und Krankenhäuser. Auch Rechenzentren werden mit Cyber- und konventionellen Waffen angegriffen.
In diesem Monat bekannten sich iran-nahe Hacker zu einem Angriff auf den Medizintechnikkonzern Stryker aus Michigan. Die Gruppe Handala bezeichnete die Aktion als Vergeltung für mutmaßliche US-Angriffe. Forscher von Halcyon dokumentierten zudem einen weiteren Angriff auf ein nicht namentlich genanntes Unternehmen aus dem Gesundheitssektor: Die Angreifer nutzten ein von US-Behörden dem Iran zugeschriebenes Werkzeug, um zerstörerische Ransomware einzuschleusen, die das Unternehmen aus dem eigenen Netzwerk aussperrte. Eine Lösegeldforderung blieb aus, was auf reine Zerstörungsabsicht hindeutet. Zusammen mit dem Angriff auf Stryker deute dies laut Cynthia Kaiser, Senior Vice President bei Halcyon, auf eine gezielte Konzentration auf den medizinischen Sektor hin.
Künstliche Intelligenz erhöht nach Einschätzung der Fachleute Tempo und Umfang der Angriffe und automatisiert große Teile des Ablaufs. Ihre zerstörerischste Wirkung entfaltet sie jedoch bei der Desinformation: Anhänger beider Seiten verbreiteten erfundene Bilder von Gräueltaten oder Siegen, ein Deepfake gesunkener US-Kriegsschiffe erreichte über 100 Millionen Aufrufe. Laut dem Unternehmen NewsGuard begannen iranische Staatsmedien, echtes Kriegsmaterial als Fälschung zu kennzeichnen und teils durch eigene manipulierte Bilder zu ersetzen.
Als Reaktion auf die wachsenden Risiken durch KI und Hacking eröffnete das US-Außenministerium ein Bureau of Emerging Threats. Director of National Intelligence Tulsi Gabbard erklärte vor dem Kongress, KI werde Cyberoperationen zunehmend prägen, da sowohl Angreifer als auch Verteidiger damit ihre Geschwindigkeit und Wirksamkeit steigerten.
