Iransk-tilknyttede hackergrupper har de siste dagene intensivert digitale angrep mot vestlige mål. Vestlige myndigheter frykter at dette bare er starten på en bredere gjengjeldelseskampanje i kjølvannet av amerikanske og israelske luftangrep mot slutten av februar.
I Polen opplyste myndighetene torsdag at de undersøker om Teheran kan stå bak et avverget cyberangrep mot landets senter for kjernefysisk forskning. Dagen før hevdet en profilert pro-iransk hackergruppe at den hadde angrepet det USA-baserte medisinteknologiselskapet Stryker, slettet servere og stjålet data. I Albania sa myndighetene tirsdag at en gruppe med bånd til Irans revolusjonsgarde hadde fått tilgang til e-postkontoene til parlamentsmedlemmer.
Hendelsene tyder på at en av Vestens mest aktive digitale motstandere nå bygger opp en mer omfattende respons.
– Folk må være årvåkne, sa USAs nasjonale cyberdirektør Sean Cairncross mandag.
Ifølge Joe Rooke, som er direktør i cybersikkerhetsselskapet Recorded Future, er Iran «et land med sterk vilje og en viss kapasitet». Han mener land som havner i Irans søkelys kan møte en svært aggressiv motpart.
Flere eksperter peker på at scenariet har vært varslet lenge: at cyberoperasjoner vil bli brukt som en del av konflikten, både før og etter fysiske angrep. Likevel var den iranske aktiviteten relativt dempet i de første dagene, da mange av angrepene var konsentrert mot Midtøsten og Gulf-statene, med mål i blant annet Israel, Bahrain og Qatar.
Analytikere trekker frem tre mulige forklaringer på den første forsinkelsen. For det første skal regimet ha strammet inn internettilgangen etter angrepene for å dempe intern uro, noe som også gjør det vanskeligere å gjennomføre effektive operasjoner. For det andre kan Teheran ha prioritert såkalt kinetisk aktivitet, som missilangrep. For det tredje kan iranske cybermiljøer ha blitt svekket av amerikanske og israelske operasjoner i forkant av konflikten.
En høytstående europeisk etterretningskilde, som uttaler seg anonymt, mener situasjonen kan utvikle seg raskt.
– Iran vil gjøre alt for å skape kaos. Vi må være forberedt, sier kilden.
En av de store cyberaktørene
Iranske hackere, både statlige og mer løst tilknyttede, har i en årrekke blitt knyttet til angrep mot vestlige myndigheter og selskaper for å stjele data, drive spionasje og sabotere teknologi. Iran regnes ofte som en av de fire store cybermotstanderne, sammen med Russland, Kina og Nord-Korea.
De siste årene har flere hendelser blitt knyttet til iranske miljøer: en leder i Europaparlamentets Iran-delegasjon ble tidligere i år rammet av digital spionasje som skal ha forbindelse til Teheran. Microsoft har tidligere knyttet angrep mot kritisk infrastruktur i USA til iranske aktører. Det har også vært rapporter om at iranske hackere har rettet seg mot ansatte i et legemiddelselskap i forbindelse med pandemien.
Cyberanalytikere har identifisert nær et dusin avanserte grupper med kallenavn som ofte brukes i trusselvurderinger, og som antas å operere under direkte statlig kontroll. Ifølge Gil Messing i det israelske cybersikkerhetsselskapet Check Point ledes flere operasjoner av Irans revolusjonsgarde og etterretnings- og sikkerhetsdepartementet, som skal ha egne enheter med hundrevis av ansatte og betydelige budsjetter.
Samtidig finnes det mer åpent pro-iranske hacktivistmiljøer som i større grad er kjent for bråkete og synlige forstyrrelsesangrep. Iran skal også ha brukt stedfortredergrupper i blant annet Libanon, Yemen og Gaza, og det er pekt på koordinering med pro-russiske miljøer.
Vanskelig å forsvare seg
Forskere understreker at den spredte organiseringen gjør trusselen krevende å møte. Joachim Wagner, talsperson for det tyske cybersikkerhetsbyrået BSI, sier det er sannsynlig at iranske hackergrupper er fordelt på tvers av regioner, og at et slag mot ett kommandosenter ikke nødvendigvis fjerner trusselen.
Flere eksperter mener samtidig at iranske miljøer ikke alltid er like teknisk avanserte som aktører fra Russland, Kina og Nord-Korea. I stedet beskrives de ofte som målbevisste, aggressive og godt finansierte, med særlig styrke innen manipulative metoder som sosial manipulering, der angripere forsøker å lure til seg tilgang gjennom e-post, meldinger eller falske supportsystemer.
Mark Montgomery, som leder arbeidet ved Center on Cyber and Technology Innovation, mener Irans evne til å skape svært omfattende digitale forstyrrelser ikke kan måle seg med de største aktørene, men peker på at landets påvirkningsoperasjoner kan være mer utviklet enn den rene angrepskapasiteten.
Recorded Future-direktør Joe Rooke oppsummerer vurderingen slik: Iran har trolig en kapasitet rundt gjennomsnittet, men intensjonen er høy. For vestlige myndigheter betyr det økt behov for beredskap, oppdaterte sikkerhetstiltak og rask respons dersom nye angrep skulle treffe.
