Иранские хакеры начали кибервойну после ударов США и Израиля, DDoS, шпионаж и вайперы уже в ходу

После совместных авиаударов США и Израиля по Ирану 28 февраля 2026 года иранские хакерские группировки резко активизировались. Исследователи из Google, Check Point, CrowdStrike и Sophos фиксируют волну разведывательных атак, DDoS-ударов и подготовку операций с использованием вайперов, вредоносного ПО, уничтожающего данные.

Пока основные цели, Израиль и страны Персидского залива, но аналитики предупреждают: атаки на американские организации, вопрос времени.

Глава подразделения по противодействию угрозам CrowdStrike Адам Мейерс подтвердил, что компания уже видит активность проиранских группировок, разведку и DDoS-атаки. По его словам, такое поведение обычно предшествует более агрессивным операциям. В прошлых конфликтах иранские хакеры действовали в связке с военными, нанося удары по энергетике, финансам и телекоммуникациям.

Джон Хультквист из Google Threat Intelligence отмечает, что после начала ударов наблюдался короткий спад иранского кибершпионажа, но хакеры быстро вернулись к работе. По его оценке, многие операции будут напоминать атаки программ-вымогателей, с шифрованием или уничтожением данных. Хактивистские группы, связанные с Корпусом стражей исламской революции (КСИР), уже публикуют угрозы о разрушительных атаках.

Одной из первых активизировалась группировка Cotton Sandstorm (она же Emennet Pasargad), связанная с КСИР. По данным Check Point, через сутки после начала конфликта она реанимировала свой хакерский бренд Altoufan Team, молчавший больше года, и заявила о новых целях в Бахрейне. В арсенале группировки, дефейсы сайтов, DDoS, кража данных с публикацией через подставные аккаунты, вредонос WezRat для кражи информации и шифровальщик WhiteLock.

Помимо Cotton Sandstorm, несколько проиранских группировок заявили о взломах промышленных систем управления в Израиле, Польше, Турции и Иордании. Группа Handala Hack, связанная с Министерством разведки Ирана (MOIS), объявила об атаках на Иорданию и пригрозила другим странам. Аналитики предупреждают, что эти заявления пока не подтверждены независимо и значительная часть подобных публикаций, целенаправленная дезинформация, призванная сеять страх.

По данным CloudSEK, за первые дни конфликта зафиксировано более 150 хактивистских инцидентов. Интернет внутри Ирана рухнул до 4% от нормального уровня, частично из-за ударов, частично из-за внутренних ограничений. Государственные СМИ ушли в офлайн. Одновременно было взломано иранское религиозное приложение BadeSaba Calendar (более 5 млн скачиваний), пользователи получили уведомления «Помощь уже в пути!» и «Время расплаты настало».

Британский Национальный центр кибербезопасности (NCSC) выпустил предупреждение:

Прямая киберугроза Ирана для Великобритании пока не изменилась, но косвенные угрозы для организаций с региональными связями почти неизбежны.

Аналитики SentinelOne оценивают иранских хакеров как менее продвинутых по сравнению с китайскими и российскими, но нестабильная обстановка может подтолкнуть их к расширению тактик и целей.