Wprowadzenie do problemu / definicja
Przygotowanie infrastruktury do cyberataków jest dziś jednym z najważniejszych elementów operacji prowadzonych przez grupy sponsorowane przez państwa. Nie chodzi wyłącznie o tworzenie złośliwego systemu czy kampanii phishingowych, ale o wcześniejsze budowanie odpornego zaplecza technicznego obejmującego serwery, domeny, operatorów hostingu, podmioty pośredniczące oraz rozproszone warstwy sieciowe.
W przypadku działań przypisywanych podmiotom powiązanym z Iranem analitycy wskazują, iż takie zaplecze miało zostać przygotowane jeszcze przed eskalacją konfliktu i operacją „Epic Fury”. Taki model zwiększa odporność ofensywną, utrudnia atrybucję i pozwala utrzymać aktywność choćby wtedy, gdy presja militarna lub polityczna rośnie.
W skrócie
Według opublikowanych ustaleń aktywność infrastrukturalna grup powiązanych z Iranem rosła przez około sześć miesięcy przed rozpoczęciem operacji „Epic Fury”. Badacze opisują wielowarstwowy model ukrywania pochodzenia ruchu i zasobów, obejmujący lokalnych operatorów, hosting tolerujący nadużycia oraz podmioty rejestrowane poza Iranem.
Po rozpoczęciu działań kinetycznych miało dojść do szybkiej mobilizacji środowiska hakerskiego i hacktywistycznego, ukierunkowanego na cele w Stanach Zjednoczonych, Izraelu i państwach Zatoki Perskiej. Najważniejszy wniosek dla obrońców jest taki, iż fizyczne uderzenia w infrastrukturę państwa nie muszą ograniczyć zdolności cybernetycznych, jeżeli zaplecze zostało wcześniej rozproszone transgranicznie.
Kontekst / historia
Irańskie grupy APT od lat są stałym elementem krajobrazu zagrożeń typu nation-state. W raportach branżowych regularnie pojawiają się nazwy takie jak MuddyWater, OilRig, APT33, APT34, APT35 czy Emennet Pasargad, wiązane z cyberszpiegostwem, kampaniami phishingowymi, eksfiltracją danych, operacjami wpływu oraz działaniami destrukcyjnymi.
Nowy aspekt opisywanej sytuacji dotyczy skali i czasu przygotowań. Z analizy wynika, iż jeszcze przed uderzeniami z 28 lutego 2026 roku obserwowano wzmożone budowanie infrastruktury, co może wskazywać na planowanie odpowiedzi cybernetycznej z wyprzedzeniem. Taki schemat wpisuje się w szerszy trend łączenia operacji kinetycznych i cybernetycznych w jeden model eskalacji.
W tle rośnie także znaczenie grup określanych jako hacktywistyczne. Choć formalnie nie zawsze działają one jako podmioty państwowe, mogą być inspirowane, koordynowane lub wspierane przez struktury państwowe. Daje to możliwość zwiększenia skali operacji, rozmycia odpowiedzialności i prowadzenia wielu kampanii jednocześnie pod różnymi szyldami.
Analiza techniczna
Z technicznego punktu widzenia opisywany model opiera się na architekturze wielowarstwowej. Pierwszą warstwę tworzą lokalni operatorzy i dostawcy usług sieciowych wykorzystywani do rejestracji, zarządzania lub tranzytu ruchu. Druga warstwa obejmuje hosting służący do maskowania rzeczywistego źródła działań, w tym usługi o reputacji tolerującej nadużycia. Trzecia warstwa to spółki pośrednie oraz podmioty rejestrowane w różnych jurysdykcjach, co utrudnia dochodzenia i egzekwowanie blokad.
Taka konstrukcja przynosi kilka korzyści operacyjnych. Zwiększa odporność poprzez rozproszenie zasobów pomiędzy wieloma krajami i operatorami, komplikuje analizę relacji między domenami, ASN i zasobami VPS oraz umożliwia szybkie przełączanie kampanii między różnymi węzłami infrastruktury.
W analizie zwrócono uwagę na wzrost aktywności infrastrukturalnej grupy MuddyWater w określonym oknie czasowym. Zostało to zinterpretowane jako możliwe przygotowanie do działań po rozpoczęciu konfliktu. Tego rodzaju sygnały są spójne z techniką pozyskiwania infrastruktury opisywaną w modelu MITRE ATT&CK, gdzie przeciwnik buduje zaplecze dla przyszłego C2, eksfiltracji danych, hostowania przynęt phishingowych lub dystrybucji narzędzi.
Szczególnie istotny jest wniosek, iż ograniczenie krajowej łączności internetowej nie musi sparaliżować działań takich grup. jeżeli infrastruktura została wcześniej przygotowana poza granicami państwa i opiera się na wielu warstwach pośrednich, operatorzy mogą kontynuować aktywność, utrzymując kanały dowodzenia, publikacji wycieków, dezinformacji lub działań destrukcyjnych.
Na uwagę zasługuje również komponent koordynacyjny. Szybkie zorganizowanie wspólnej przestrzeni operacyjnej dla wielu grup może sugerować model centralnego kierowania przynajmniej częścią aktywności. W praktyce może to oznaczać współdzielenie list celów, infrastruktury pośredniczącej, narzędzi, narracji informacyjnych oraz harmonogramów publikacji i ataków.
Konsekwencje / ryzyko
Z perspektywy organizacji publicznych i prywatnych ryzyko ma kilka wymiarów. Rośnie prawdopodobieństwo kampanii odwetowych wymierzonych w administrację, sektor finansowy, ochronę zdrowia, transport, telekomunikację oraz infrastrukturę krytyczną. Zagrożenie nie ogranicza się przy tym do klasycznego cyberszpiegostwa.
W grę mogą wchodzić działania zakłócające, destrukcyjne, wycieki danych, operacje wpływu i publikowanie skradzionych materiałów w celu wywołania presji politycznej lub reputacyjnej. Dodatkowym problemem jest to, iż wykorzystanie spółek fasadowych i zagranicznych operatorów utrudnia skuteczne blokowanie infrastruktury wyłącznie na podstawie geolokalizacji lub prostych wskaźników reputacyjnych.
Zacieranie granicy między grupami APT a hacktywistami zwiększa hałas operacyjny po stronie obrony. Kampanie prowadzone przez wiele powiązanych grup mogą równolegle obejmować DDoS, phishing, włamania do usług zdalnych, przejęcia kont uprzywilejowanych, publikację komunikatów propagandowych oraz aktywność w mediach społecznościowych.
Rekomendacje
Organizacje powinny traktować analizę infrastruktury przeciwnika jako pełnoprawny element obrony, a nie jedynie uzupełnienie klasycznego threat intelligence. W praktyce oznacza to monitorowanie nowych domen, zmian w ASN, nietypowych zależności hostingowych oraz sygnałów wskazujących na szybkie budowanie zaplecza C2.
- rozszerzyć monitoring o sygnały wyprzedzające związane z infrastrukturą, a nie tylko o znane IOC po incydencie,
- zwiększyć kontrolę nad zdalnym dostępem, zwłaszcza VPN, SSO, kontami uprzywilejowanymi i usługami administracyjnymi,
- wymusić stosowanie MFA odpornego na phishing tam, gdzie jest to możliwe,
- segmentować środowiska krytyczne i ograniczać komunikację wychodzącą do niezbędnego minimum,
- aktualizować reguły blokowania na firewallach, proxy i EDR w oparciu o wiarygodny wywiad o zagrożeniach,
- przeprowadzić przegląd odporności na DDoS, wiper, ransomware i scenariusze zakłócenia usług,
- przygotować procedury kryzysowe obejmujące zarówno incydenty techniczne, jak i presję informacyjną oraz reputacyjną.
Dla zespołów SOC i CTI najważniejsze pozostaje mapowanie kampanii do technik ATT&CK oraz korelowanie telemetryki z informacjami o aktywności grup państwowych i powiązanych kolektywów. W środowiskach wysokiego ryzyka zasadne jest także prowadzenie threat huntingu pod kątem wcześniejszej obecności przeciwnika, szczególnie w obszarze poczty, tożsamości, usług chmurowych i łańcucha dostaw.
Podsumowanie
Opisywana sytuacja pokazuje, iż współczesne operacje cybernetyczne prowadzone przez podmioty powiązane z państwem są przygotowywane z dużym wyprzedzeniem i opierają się na odpornej, rozproszonej infrastrukturze. jeżeli przedstawiona analiza jest trafna, Iran nie tylko zwiększył aktywność po rozpoczęciu działań kinetycznych, ale wcześniej zbudował techniczne zaplecze umożliwiające utrzymanie i skalowanie operacji mimo presji militarnej.
Dla obrońców oznacza to konieczność przesunięcia uwagi z samego momentu ataku na wcześniejsze fazy cyklu operacyjnego przeciwnika. W realiach zagrożeń nation-state przewagę daje dziś nie tylko szybka reakcja, ale przede wszystkim zdolność identyfikowania i neutralizowania przygotowań jeszcze przed rozpoczęciem adekwatnej kampanii.
Źródła
- SecurityWeek — Iran Readied Cyberattack Capabilities for Response Prior to Epic Fury — https://www.securityweek.com/iran-readied-cyberattack-capabilities-for-response-prior-to-epic-fury/
- Augur — AI-Driven Preemptive Cybersecurity — https://www.augursecurity.com/
