Iran haalt uit op digitaal front: aanvallen hebben wereldwijde impact

In dit artikel:

Palo Alto Networks’ onderzoeksteam Unit 42 signaleert een sterke stijging van cyberactiviteiten gekoppeld aan het conflict met Iran sinds de start van de gezamenlijke Amerikaanse-Israëlische actie “Operation Epic Fury” op 28 februari. Ondanks dat Iran zelf al 28 dagen in een bijna volledige internetblack-out verkeert (connectiviteit gedaald tot circa 1–4% van normaal), nemen aanvallen, fraude en hacktivisme juist toe — vaak uitgevoerd door actoren buiten Iran of door al eerder gepositioneerde netwerken.

Belangrijkste bevindingen
- Schaal en aard: Unit 42 registreerde wiper-aanvallen, uitgebreide phishingcampagnes, financiële oplichting en een uitbarsting van hacktivistische acties. In de eerste 72 uur van het conflict voerde een coalitie van twaalf of meer hacktivistische groepen 149 DDoS-aanvallen uit tegen 110 organisaties in 16 landen.
- Hacktivisten en coördinatie: Rond begin maart waren zo’n 60 individuele hacktivistische groepen actief, waaronder pro-Russische collectieven. Direct na het uitbreken van het militaire conflict ontstond een “Electronic Operations Room” die meerdere door de staat gesteunde Iraanse actoren coördineerde. Omdat veel activiteiten buiten Iran plaatsvinden, vullen externe groepen de capaciteit op die door de black-out verloren gaat.
- Phishing en fraude: Unit 42 vond 7.381 phishing-URL’s verspreid over 1.881 hostnamen. Misleiding richt zich op telecombedrijven, luchtvaartmaatschappijen, rechtshandhaving en energiebedrijven; daarnaast zijn duizenden conflict-gerelateerde domeinen geregistreerd voor valse donatiepagina’s, cryptofraude en credential-harvesting. Drie afzonderlijke campagnes doelden specifiek op inwoners van de VAE (onder meer namaak Emarati-diensten en Dubai-lifestyle/real-estate lokmiddelen), plus campagnes die zich voordeden als Iraanse banken. Ook actieve StealC-infostealer-infrastructuur is geïdentificeerd.
- Wiper- en staatsactoren: Het risico op destructieve wipers is verhoogd; Iran-gerelateerde groepen hebben een geschiedenis van zulke aanvallen. Unit 42 volgt staatsgelieerde actoren onder de noemer Serpens (waaronder Boggy Serpens/MuddyWater) die al eerder kwetsbaarheden zoals Log4Shell hebben misbruikt. Ook pro-Russische groepen (Russian Legion, NoName057(16), Cardinal) claimden inbreuken op Israëlische doelen, waaronder beweringen over toegang tot militaire systemen en IDF-netwerken.

Impact en vooruitzicht
De beperkte connectiviteit in Iran belemmert momenteel geavanceerde coördinatie door lokale staatsgelieerde hackers, maar vooraf geplaatste backdoors en toegangspunten kunnen worden geactiveerd zodra verbindingen herstellen, waardoor aanvallen maandenlang kunnen aanhouden, zelfs na een mogelijk staakt-het-vuren.

Aanbevelingen
Unit 42 adviseert minimaal één offline back-up van cruciale data, het patchen van internetzichtbare infrastructuur, waar mogelijk geografische IP-blokkering en het testen van incidentresponsplannen ter voorbereiding op aanhoudende en veelzijdige dreigingen.