Γράφουν οι Νατάσα Φραγκούλη και Βασιλική Βαλέρη
Σε αυξημένη ετοιμότητα για μπαράζ ψηφιακών επιθέσεων από ιρανικά μέσα εναντίον κρίσιμων υποδομών, τραπεζών και κυβερνητικών δικτύων, βρίσκονται οι χώρες της περιοχής, μεταξύ των οποίων και η Ελλάδα. Με τη σύγκρουση στη Μέση Ανατολή να εξελίσσεται στον πιο «digital» πόλεμο στην ιστορία, καθώς δορυφορικές επικοινωνίες, ΑΙ, αυτόνομα drones και προηγμένα συστήματα παρακολούθησης διαμορφώνουν το νέο… πεδίο μάχης, όλοι αναμένουν μεταφορά των εξελίξεων και στο ψηφιακό πεδίο, με έκρηξη δραστηριότητας της ιρανικής κυβερνο-κατασκοπείας.
«Στην ευρύτερη περιοχή της Μεσογείου παρατηρείται ήδη ανοδική τάση όσον αφορά το cyber activity, που στοχεύει τόσο την Ελλάδα όσο και την Κύπρο. Παρ’ ότι είναι ακόμη πρόωρο να ποσοτικοποιηθεί με ακρίβεια το μέγεθος αυτής της αύξησης, εκτιμάται ότι, εάν οι γεωπολιτικές εντάσεις ενταθούν περαιτέρω, ο όγκος και η ένταση των cyber operations στην περιοχή θα ακολουθήσουν αντίστοιχη πορεία», αναφέρει μιλώντας στο www.powergame.gr ο Country Manager Ελλάδας, Κύπρου, Βουλγαρίας, Ρουμανίας της εταιρείας κυβερνοασφάλειας Check Point Software, κ. Μιχάλης Μπόζος.
Όπως εξηγεί ο ίδιος, «οι κυβερνοεπιχειρήσεις αποτελούν σχεδόν βέβαιο στοιχείο της ευρύτερης στρατηγικής του Ιράν στο σημερινό περιβάλλον σύγκρουσης, ακόμη και αν το πλήρες εύρος τους δεν είναι ακόμη δημόσια ορατό». Άλλωστε, η μέχρι τώρα δραστηριότητα ευθυγραμμίζεται με το γνωστό μοντέλο δράσης της Τεχεράνης: έναν συνδυασμό τεχνικών επιθέσεων, ψυχολογικών επιχειρήσεων και influence operations μέσω ομάδων-πληρεξουσίων με διασυνδέσεις με το κράτος.
Κλιμάκωση κυβερνοπολέμου μεθοδεύει το Ιράν
Οι κυβερνοεπιθέσεις θεωρούνται ένα από τα βασικά μέσα πιθανής ιρανικής αντίδρασης μετά την επιχείρηση «Lion’s Roar», την κοινή στρατιωτική επιχείρηση των ΗΠΑ και του Ισραήλ εναντίον ιρανικών στόχων στις 28 Φεβρουαρίου 2026. Και σε αυτό το σκηνικό ο ρόλος της Ελλάδας κάθε άλλο παρά περιφερειακός είναι, όπως άλλωστε και στο συμβατικό πεδίο.
Στο σημερινό πεδίο μάχης οι στόχοι δεν είναι μόνο στρατιωτικές βάσεις, αλλά και ψηφιακές υποδομές: τραπεζικά δίκτυα, ενεργειακά συστήματα, τηλεπικοινωνίες, κυβερνητικές πλατφόρμες και υπηρεσίες cloud. Οι δε επιθέσεις δεν εκδηλώνονται με εκρήξεις, αλλά με κακόβουλα emails, phishing campaigns, επιθέσεις άρνησης υπηρεσίας (DDoS), κλοπή δεδομένων και λογισμικά που «παγώνουν» ολόκληρες υποδομές.
«Αν και η τρέχουσα δραστηριότητα δεν έχει μέχρι στιγμής προκαλέσει μεγάλης κλίμακας καταστροφικές επιπτώσεις, η πορεία των γεγονότων υποδηλώνει συνέχιση των επιχειρήσεων και πιθανή περαιτέρω κλιμάκωση», υπογραμμίζει στο powergame.gr ο Country Manager Ελλάδας, Κύπρου, Βουλγαρίας, Ρουμανίας της Check Point Software.
Σύμφωνα με όσα επισημαίνει, το Ιράν τείνει να προτιμά στρατηγικές διαρκούς πίεσης, ψυχολογικής επιρροής και ευκαιριακής στόχευσης, παρά άμεσες και μεγάλης κλίμακας cyber disruption επιθέσεις. Για τον λόγο αυτόn, οργανισμοί και κυβερνήσεις στην περιοχή θα πρέπει να αντιμετωπίζουν το φαινόμενο ως έναν διαρκή κίνδυνο και όχι ως μια προσωρινή έξαρση.
Πώς διαμορφώνεται το τοπίο
Σύμφωνα με τον κ. Μπόζο, η δραστηριότητα που παρατηρείται σήμερα μπορεί να χωριστεί σε κάποιους βασικούς άξονες. Αφενός, επιχειρήσεις που στοχεύουν το Ισραήλ, όπως phishing campaigns εναντίον πολιτών – για παράδειγμα κακόβουλα mobile applications, που προσποιούνται επίσημες υπηρεσίες έκτακτης ανάγκης.
Αφετέρου, καταγράφονται παραποιήσεις ιστοσελίδων (website defacements), επιθέσεις Distributed Denial-of-Service (DDoS), καθώς και ισχυρισμοί για παραβιάσεις που αφορούν κάμερες ή συστήματα ελέγχου υποδομών. Μέχρι στιγμής ο τεχνικός αντίκτυπος παραμένει σχετικά περιορισμένος, ωστόσο η τάση δείχνει κλιμάκωση: ο όγκος των επιθέσεων αυξάνεται πάνω από τα συνήθη επίπεδα και παρατηρούνται προσπάθειες στρατολόγησης hackers διεθνώς για την υποστήριξη των επιχειρήσεων.
Επιπλέον, ομάδες που συνδέονται με το Ιράν φαίνεται να επεκτείνουν τη στόχευσή τους και σε άλλες χώρες της περιοχής, συμπεριλαμβανομένων αραβικών κρατών, όπως η Ιορδανία, το Κουβέιτ και τα Ηνωμένα Αραβικά Εμιράτα – ιδιαίτερα εκείνων που θεωρούνται ευθυγραμμισμένες με δυτικά συμφέροντα. Η διεύρυνση αυτή είναι αξιοσημείωτη, καθώς υποδηλώνει δραστηριότητα σε κλίμακα εναντίον μη ισραηλινών στόχων που δεν έχουμε συνήθως παρατηρήσει στο παρελθόν.
Τέλος, το ίδιο οικοσύστημα ομάδων αξιοποιείται και για τη στόχευση Ιρανών αντιφρονούντων ή ατόμων στο εξωτερικό που εκφράζουν δημόσια υποστήριξη σε στρατιωτικές ενέργειες κατά του Ιράν. Το στοιχείο αυτό αναδεικνύει τον τρόπο με τον οποίο η Τεχεράνη ενσωματώνει τις κυβερνοεπιχειρήσεις τόσο στη διεθνή αντιπαράθεση όσο και στους μηχανισμούς εσωτερικής καταστολής.
Πώς δρουν οι κυβερνοκατάσκοποι
Σύμφωνα με το κορυφαίο στέλεχος της Check Point Software Technologies, ένας από τους πιο προβεβλημένους δρώντες είναι η ομάδα Handala, η οποία εκτιμάται ευρέως ότι συνδέεται με το Ministry of Intelligence and Security (MOIS) του Ιράν. Η ομάδα έχει συνδεθεί με προηγούμενα περιστατικά υψηλού προφίλ, όπως επιθέσεις σε ισραηλινές οργανώσεις και πολιτικά πρόσωπα, ενώ πιο πρόσφατα έχει ισχυριστεί ότι πραγματοποίησε επιχειρήσεις εναντίον υποδομών ενέργειας.
Η Handala -γνωστή και ως Handala Hack Team- εμφανίστηκε στα τέλη του 2023, προβάλλοντας φιλοπαλαιστινιακά κίνητρα και στοχοποιώντας κυρίως ισραηλινούς στόχους. Η Handala είναι μία από τις πολλές ομάδες που λειτουργούν υπό το πρόσχημα του χακτιβισμού (μορφή ακτιβισμού που χρησιμοποιεί τεχνικές hacking και ψηφιακά μέσα για την προώθηση πολιτικών, κοινωνικών ή ιδεολογικών στόχων) και στην πραγματικότητα συνδέονται με την κυβέρνηση.
Αναλυτές κυβερνοασφάλειας τη συνδέουν με το υπουργείο Πληροφοριών και Ασφάλειας (MOIS) του Ιράν, αν και οι επίσημες αποδείξεις παραμένουν περιορισμένες. Έχει εμπλακεί σε πολλές υποθέσεις, απειλώντας πολλούς σημαντικούς οργανισμός κατά το παρελθόν, ενώ μάλιστα ένα από τα μεγαλύτερα εγχειρήματά της ήταν ότι είχε χακάρει τις συσκευές Ισραηλινών αξιωματούχων, απειλώντας ότι θα δημοσιοποιήσει «σοκαριστικές» πληροφορίες σχετικά με τη Μοσάντ (είναι η κύρια υπηρεσία πληροφοριών, εξωτερικής κατασκοπείας και ειδικών αποστολών του Ισραήλ).
«Όταν τέτοιες ομάδες αναλαμβάνουν δημόσια την ευθύνη για μια επίθεση, συχνά υπάρχει κάποια πραγματική εισβολή ή πρόσβαση σε συστήματα, αν και το μέγεθος και ο αντίκτυπος των επιθέσεων συχνά υπερβάλλονται για λόγους ψυχολογικής επίδρασης. Μια συνηθισμένη τακτική είναι η δημοσιοποίηση δεδομένων από παλαιότερα breaches (δηλαδή πρόσβαση σε προσωπικές ή ευαίσθητες πληροφορίες χωρίς άδεια) σε περιόδους γεωπολιτικής έντασης, ώστε να δημιουργείται η εντύπωση νέων επιθέσεων και να ενισχύεται η δημόσια πίεση», αναφέρει ο κ. Μπόζος, εξηγώντας πώς λειτουργεί το ψηφιακό έγκλημα.
Απειλές από τους ψηφιακούς Φρουρούς της Επανάστασης
Εταιρείες κυβερνοασφάλειας και αναλυτές προειδοποιούν ότι το Ιράν ή ομάδες που ευθυγραμμίζονται μαζί του ενδέχεται να εξαπολύσουν επιθέσεις εναντίον κρίσιμων υποδομών, τραπεζών και κυβερνητικών δικτύων τόσο στη Μέση Ανατολή όσο και σε δυτικές χώρες. Τα πρώτα σημάδια αυτής της κλιμάκωσης έχουν ήδη εμφανιστεί.
Ερευνητές κυβερνοασφάλειας αναφέρουν αύξηση δραστηριότητας hacktivists και επιχειρήσεων reconnaissance από ομάδες που συνδέονται με το Ιράν. Οι ενέργειες αυτές θεωρούνται συχνά το πρώτο στάδιο προετοιμασίας πριν από μεγαλύτερες και πιο επιθετικές επιχειρήσεις κυβερνοπολέμου.
Σύμφωνα με αναλυτές της Google Threat Intelligence Group, η ιρανική κυβερνοκατασκοπεία έχει επανεκκινήσει ύστερα από μια σύντομη παύση κατά τη διάρκεια των αρχικών στρατιωτικών πληγμάτων. Όπως επισημαίνουν, ομάδες hacktivists που συνδέονται με τους Φρουρούς της Ισλαμικής Επανάστασης έχουν ήδη αρχίσει να διατυπώνουν απειλές για επιθέσεις που θα μπορούσαν να προκαλέσουν σοβαρή αναστάτωση στην περιοχή.
Η δραστηριότητα αυτή επιβεβαιώνεται και από αναλύσεις της CrowdStrike. Ερευνητές της εταιρείας προειδοποιούν ότι ομάδες που ευθυγραμμίζονται με το Ιράν έχουν ήδη ξεκινήσει επιθέσεις αναγνώρισης στόχων και επιθέσεις DDoS. «Τέτοιου είδους συμπεριφορές συχνά προηγούνται πιο επιθετικών επιχειρήσεων.
Σε προηγούμενες συγκρούσεις οι ομάδες αυτές έχουν ευθυγραμμίσει τις κυβερνοεπιθέσεις τους με ευρύτερους στρατηγικούς στόχους, επιδιώκοντας να αυξήσουν την πίεση σε κρίσιμους τομείς, όπως η ενέργεια, οι τηλεπικοινωνίες, οι χρηματοπιστωτικές υπηρεσίες και η υγεία», αναφέρουν σε σχετικό report τους οι αναλυτές της CrowdStrike.
Η αποκάλυψη για τη Handala και το Starlink
Πέρα από τις πυραυλικές επιθέσεις και τις στρατιωτικές επιχειρήσεις, η αντιπαράθεση επεκτείνεται σε κυβερνοεπιθέσεις, επιχειρήσεις παραπληροφόρησης και στοχευμένα πλήγματα σε κρίσιμες υποδομές.
Ένα τέτοιο ισχυρό δείγμα κυβερνοεπίθεσης σημειώθηκε πρόσφατα από τις δραστηριότητες της ιρανικής ομάδας χάκερ Handala. Σύμφωνα με ρεπορτάζ του Forbes, η εν λόγω οργάνωση φέρεται να αξιοποιεί τις υπηρεσίες της SpaceX, του Elon Musk, προκειμένου να διασφαλίζει τη συνδεσιμότητά της κατά τη διάρκεια των συνεχιζόμενων αμερικανοϊσραηλινών επιθέσεων στο Ιράν.
Συγκεκριμένα, τις τελευταίες δύο ημέρες η ιρανική ομάδα εξαπέλυσε απειλές μέσω της πλατφόρμας Χ, προειδοποιώντας για εκτεταμένα πλήγματα κατά των Ηνωμένων Πολιτειών και των συμμάχων τους. Η ομάδα προειδοποίησε ότι θα προχωρήσει σε αντίποινα, ανταποδίδοντας τα πρόσφατα χτυπήματα των αμερικανικών και ισραηλινών δυνάμεων.
Με βάση στοιχεία της ισραηλινής εταιρείας κυβερνοασφάλειας Check Point, η ομάδα των χάκερ φαίνεται πως βασίζεται στο πρωτοποριακό δορυφορικό δίκτυο της SpaceX του Elon Musk, τουλάχιστον από τον Ιανουάριο, αφότου η Τεχεράνη είχε προχωρήσει σε εκτεταμένο κλείσιμο του διαδικτύου, επικαλούμενη φόβους για ξένες κυβερνοεπιθέσεις.
Περεταίρω, με βάση τον επικεφαλής προσωπικού της εταιρείας Gil Messing, η χρήση του Starlink συνεχίστηκε τουλάχιστον έως τις 28 Φεβρουαρίου, δηλαδή μέχρι την ημέρα των πρώτων επιθέσεων. Έμμεσα εξέφρασε ότι η Handala συνέχισε να στηρίζεται στην ίδια υποδομή για τη διαδικτυακή της δραστηριότητα, όσο το Ιράν προχωρούσε σε εθνικά μπλακάουτ του διαδικτύου.
Γενικότερα, σε περιόδους ταραχών ή αυστηρού ελέγχου στο εσωτερικό του Ιράν, η κυβέρνηση συχνά «ρίχνει» το εγχώριο διαδίκτυο. Για τον λόγο αυτόν οι χάκερ χρησιμοποιούν τα τερματικά Starlink για να έχουν μια ανεξάρτητη δορυφορική σύνδεση, που δεν ελέγχεται από τους τοπικούς παρόχους (ISP).
Ουσιαστικά, τους επιτρέπει να κρύβουν την πραγματική τους προέλευση (ταυτότητα) πιο αποτελεσματικά, καθώς είναι πιο δύσκολο για τις δυτικές υπηρεσίες ασφαλείας να μπλοκάρουν προληπτικά IP διευθύνσεις που ανήκουν σε ιρανικά κρατικά δίκτυα. Για τις ομάδες κυβερνοεπιθέσεων η σταθερή σύνδεση είναι κρίσιμη. Το Starlink τους παρέχει ένα backdoor στον παγκόσμιο ιστό.
Παρά το γεγονός ότι η υπηρεσία δεν είναι επίσημα διαθέσιμη, ούτε νόμιμη στο Ιράν, χιλιάδες τερματικά έχουν εισαχθεί λαθραία στη χώρα. Το Ιράν έχει απαγορεύσει επισήμως το Starlink από τα μέσα του 2025, χαρακτηρίζοντάς το εργαλείο δυτικής επιρροής. Παρ’ όλα αυτά, η ομάδα φαίνεται να το αξιοποιεί.
Τι είναι το Starlink και πώς λειτουργεί
Το Starlink είναι μια δορυφορική υπηρεσία ευρυζωνικού διαδικτύου, που λειτουργεί από τη θυγατρική Starlink Services της SpaceX, εταιρείας που ίδρυσε ο Elon Musk. Στόχος του προγράμματος είναι η παγκόσμια παροχή internet υψηλής ταχύτητας, ακόμη και σε περιοχές όπου δεν υπάρχει ανεπτυγμένη επίγεια υποδομή.
Σε αντίθεση με τα παραδοσιακά δορυφορικά συστήματα, που βασίζονται σε γεωστατικούς δορυφόρους σε ύψος περίπου 36.000 χιλιομέτρων, το Starlink χρησιμοποιεί έναν «αστερισμό» χιλιάδων μικρών δορυφόρων σε χαμηλή γήινη τροχιά (Low Earth Orbit – LEO), σε υψόμετρο περίπου 540-570 χιλιομέτρων. Αυτή η μικρότερη απόσταση μειώνει δραστικά την καθυστέρηση (latency), επιτρέποντας χρόνους απόκρισης 20-40 χιλιοστών του δευτερολέπτου και ταχύτητες που μπορούν να φτάσουν ή και να ξεπεράσουν τα 100 Mbps.
Ο χρήστης συνδέεται μέσω ενός μικρού δορυφορικού πιάτου που «κλειδώνει» στον πλησιέστερο δορυφόρο. Το σήμα μεταφέρεται έπειτα σε επίγειους σταθμούς και από εκεί στο ευρύτερο διαδίκτυο. Η αρχιτεκτονική αυτή καθιστά το δίκτυο ανθεκτικό σε τοπικές διακοπές, καθώς δεν εξαρτάται από τις εθνικές τηλεπικοινωνιακές υποδομές.
Σήμερα το Starlink λειτουργεί σε περισσότερες από 130 χώρες, με χιλιάδες δορυφόρους σε τροχιά και εκατομμύρια χρήστες παγκοσμίως. Παράλληλα, χρησιμοποιείται όχι μόνο από ιδιώτες, αλλά και από κυβερνήσεις και στρατιωτικές δυνάμεις.
Ψηφιακά αποθέματα
Οι κυβερνοδυνατότητες του Ιράν παραμένουν σημαντικές. Η χώρα έχει επενδύσει συστηματικά επί σειρά ετών στην ανάπτυξη cyber infrastructure, συνδυάζοντας δυνατότητες cyber espionage με information operations και εκστρατείες disinformation. Οι ιρανικοί φορείς επωφελούνται από distributed infrastructure, operational redundancy και, σε ορισμένες περιπτώσεις, υποστήριξη από δρώντες εκτός της χώρας, γεγονός που καθιστά τη δραστηριότητά τους ανθεκτική ακόμη και υπό αυξημένη πίεση.
Η συνολική εικόνα που προκύπτει από τις αναλύσεις των εταιρειών κυβερνοασφάλειας είναι σαφής. Το Ιράν έχει αναπτύξει ένα πολυεπίπεδο οικοσύστημα κυβερνοεπιθέσεων, που περιλαμβάνει κρατικά APT groups, υπηρεσίες πληροφοριών και hacktivists που λειτουργούν ως proxies. Το μοντέλο αυτό επιτρέπει στην Τεχεράνη να ασκεί πίεση στους αντιπάλους της, διατηρώντας ταυτόχρονα ένα επίπεδο «αποποίησης ευθύνης».
Πόλεμος, δορυφόροι και αμυντική τεχνολογία
Η αυξανόμενη εμπλοκή του Starlink σε εμπόλεμες ζώνες -από την Ουκρανία μέχρι τη Μέση Ανατολή- αναδεικνύει μια νέα πραγματικότητα: ιδιωτικές εταιρείες διαχειρίζονται πλέον κρίσιμες υποδομές, που επηρεάζουν άμεσα τη γεωπολιτική ισορροπία.
Οι σύγχρονες στρατιωτικές επιχειρήσεις βασίζονται σε ταχεία μετάδοση δεδομένων, δορυφορική επιτήρηση και δικτυοκεντρικές δυνατότητες. Συστήματα επικοινωνίας χαμηλής καθυστέρησης μπορούν να ενισχύσουν την ακρίβεια όπλων μεγάλου βεληνεκούς, τον συντονισμό μη επανδρωμένων αεροσκαφών και την ανάλυση πληροφοριών σε πραγματικό χρόνο.
Ειδικά τώρα, που η αμυντική τεχνολογία αναδύεται περισσότερο από ποτέ και οι εταιρείες επενδύουν ολοένα και περισσότερο σε εργαλεία Τεχνητής Νοημοσύνης για τη μεγιστοποίηση των πολεμικών τους δυνατοτήτων, η τεχνολογία ίσως και να αποκαλύπτει τη σκοτεινότερη πλευρά της.
