Иран и его прокси уже открыли новый цифровой фронт и первой под прицелом оказалась критическая инфраструктура Европы. Об этом пишет Дмитрий Левусь, эксперт аналитического центра «Объединенная Украина», политолог-международник, в своей статье для The Gaze. Эта версия публикации является переводом на русский язык.
Война на Ближнем Востоке, которая началась 28 февраля 2026 совместной американо-израильской операцией против Ирана, за считанные недели открыла цифровой фронт, простирающийся далеко за пределы региона боевых действий. Европейские научные учреждения, энергетические сети, судоходные компании и даже облачная инфраструктура Еврокомиссии оказались под прицелом киберопераций, связанных с иранскими спецслужбами или действующих под их вывеской.
По данным компании Akamai, общий уровень киберпреступности с начала конфликта вырос на 245%, причем банковский и финтех-сектор поглотили 40% вредоносного трафика, за ними следуют электронная коммерция и технологические компании. Это уже не абстрактная угроза, а реальное давление на критическую инфраструктуру государств, формально не являющихся стороной конфликта.
Атака на польский ядерный центр показала, что научный сектор Европы находится в зоне поражения
12 марта 2026 г. Национальный центр ядерных исследований Польши (NCBJ), один из крупнейших научных институтов Центральной Европы, объявил о попытке кибератаки на свою ИТ-инфраструктуру. Исследовательский реактор MARIA, единственный ядерный реактор страны, продолжал работать в штатном режиме, а системы безопасности заблокировали вторжение до того, как злоумышленники получили доступ к критическим системам. Министр цифровых дел Кшиштоф Гавковский сообщил, что первичная идентификация точек входа указывает на Иран, предупредив, что эти индикаторы могут быть умышленной дезинформацией для маскировки настоящего источника атаки.
Эта осторожность оправдана. Современные кибероперации систематически оставляют ложные следы из-за языковых настроек, маршрутизации инфраструктуры и фрагментов кода, направляя следователей в ложном направлении. Ни одна группа не взяла на себя ответственность за нападение. Однако контекст красноречив. Лишь в январе 2026 года российская группа APT44, известная как Sandworm, атаковала польскую электросеть, поразив распределенные энергетические объекты, теплоэлектростанции, ветровые и солнечные диспетчерские системы. Приблизительно 30 объектов испытали влияние, а некоторые промышленные системы управления получили необратимые повреждения.
По данным отчета Международного центра по изучению радикализации (ICCT) от февраля 2026 года, с середины 2025-го по начало 2026 года зафиксирован 31 подтвержденный инцидент гибридной войны, приписываемый российским актерам и направленный против Польши. Атака на NCBJ задала вопрос о том, что Польша теперь может сталкиваться с давлением сразу от двух государственных киберактеров.
Греческое судоходство получило предупреждение, касающееся всей глобальной логистики
Параллельно с событиями в Польше разворачивалась еще одна линия кризиса. Греческое Национальное управление кибербезопасности в начале марта разослало «высокоприоритетное»предупреждение офицерам безопасности судоходных компаний, банков, транспортных, телекоммуникационных, медицинских и энергетических фирм. По данным Reuters, предупреждение содержало индикаторы компрометации, включая конкретные IP-адреса, инструменты и вредоносное программное обеспечение, в том числе троян удаленного доступа VShell. По меньшей мере, две судоходные компании подтвердили получение этого предупреждения.
Контекст для Греции особенно чувствителен. Страна владеет одним из крупнейших торговых флотов в мире, и любое нарушение ее судоходных операций будет иметь далеко идущие последствия для глобальных цепочек снабжения. Греческие судовладельцы контролируют значительную часть танкерного флота, перевозящего нефть через Ормузский пролив, а затем становятся потенциальной мишенью в конфликте, где энергетическая логистика является одним из главных рычагов давления.
Еще 28 февраля греческое Министерство судоходства предупредило суда под греческим флагом избегать Персидского залива, Оманского залива и Ормузского пролива из-за угроз от ракет, дронов и электронных помех. В последние недели электронное вмешательство в навигационные системы коммерческих судов резко возросло именно вокруг Ормузского пролива и более широкого региона Персидского залива, создавая дополнительное измерение угрозы пересечения физической и цифровой безопасности.
Один источник, знакомый с ситуацией, сообщил Reuters, что определенная подозрительная активность уже была зафиксирована в Греции, хотя значительные атаки пока не подтверждены. В то же время, расследование международного инцидента, упомянутого в греческом предупреждении, указало на неустановленного сложного актера угрозы, который использовал двухслойную инфраструктуру для сканирования сетей, попыток несанкционированного доступа, размещения вредоносного ПО и избегания обнаружения. Часть IP-адресов, указанных в предупреждении, происходила из Ирана.
Кибервойна стирает границу между Ближним Востоком и Европой без формального объявления конфликта
Польский ядерный институт и греческие судовладельцы являются лишь фрагментами более широкой картины. По оценке подразделения Unit 42 компании Palo Alto Networks, после начала конфликта была зафиксирована активность не менее 60 отдельных хактивистских групп, причем пророссийские группировки присоединились к волне атак уже со 2 марта. Самой заметной остается группа Handala, которую Министерство юстиции США и ФБР официально увязали с Министерством разведки и безопасности Ирана (MOIS). 11 марта Handala совершила разрушительную атаку на американскую медтехнологическую корпорацию Stryker, уничтожив данные более чем на 200 000 устройствах в 79 странах.
По данным кибербезопасных экспертов и сотрудника компании, общавшихся с NBC News, злоумышленники получили доступ к Microsoft Intune, платформе для удаленного управления корпоративными устройствами, и массово удалили данные из всех зарегистрированных устройств. Атака нарушила обработку заказов, производство и логистику компании с годовым доходом более 25 миллиардов долларов, а продукция Stryker используется в больницах более 60 стран и ежегодно затрагивает 150 миллионов пациентов.
По данным ФБР, инцидент также нарушил работу больничных систем в Мэриленде, где медицинские учреждения превентивно остановили подключение к инструментам анализа данных пациентов. 19 марта ФБР изъяло четыре домена Handala, определив их в качестве платформ для иранских кибернетических психологических операций.
Албания стала еще одной европейской мишенью. Группа Homeland Justice, связанная с Ираном, заявила об ответственности за кибератаку на цифровую инфраструктуру парламента страны. Албанский парламент в ответ принял резолюцию, которую Иран признает спонсором терроризма. У этой страны особый опыт иранских киберопераций еще с 2022 года, когда Тирана разорвала дипломатические отношения с Тегераном после масштабной атаки на государственные институции.
24 марта Еврокомиссия подтвердила, что кибератака поразила облачную инфраструктуру, на которой размещена платформа Europa.eu. Предварительные данные расследования свидетельствуют, что некоторые данные были изъяты с зараженных вебсайтов, хотя внутренние системы Комиссии не были скомпрометированы. На платформе X хакерская группа обнародовала скриншоты, утверждая о наличии около 350 гигабайт данных Еврокомиссии, включая содержимое почтовых серверов, базы данных и конфиденциальные документы. Это уже второй инцидент с безопасностью облачных систем Комиссии в течение 2026 г., что ставит под сомнение достаточность имеющихся защитных механизмов даже на уровне центральных институтов ЕС.
Иранские прокси размывают границу между хактивизмом и государственными операциями, что затрудняет любой ответ
Реакция ЕС пока остается в рамках дипломатического инструментария. 16 марта Совет ЕС ввел санкции против иранской компании Emennet Pasargad и двух китайских фирм за кибератаки против государств-членов. Emennet Pasargad, связанная с иранскими спецслужбами, ранее сломала базу абонентов французского издания Charlie Hebdo, скомпрометировала рекламные билборды во время Олимпийских игр 2024 года в Париже для распространения дезинформации и атаковала шведский SMS-сервис. Однако эксперты признают, что эти санкции оказывают ограниченное влияние на группы, которые фактически действуют как подразделения государственных спецслужб.
Аналитики Check Point Software Technologies фиксируют тревожную тенденцию. Актеры, связанные с иранским MOIS, все более активно взаимодействуют с криминальной киберекосистемой, используя ее инфраструктуру, брокеров доступа и партнерские модели для поддержки государственных целей. Группы типа Handala и MuddyWater демонстрируют растущие пересечения с криминальной инфраструктурой, что позволяет иранским операторам расширять свои возможности, одновременно маскируя государственную причастность по уголовной деятельности.
Для Европы это создает специфическую проблему. Конфликт на Ближнем Востоке расширяет поле войны в европейскую инфраструктуру без формального объявления враждебных действий. Ядерные исследовательские центры, судоходные компании, больницы, аэропорты и даже облачные сервисы Еврокомиссии становятся мишенями в конфликте, к которому европейские страны не имеют прямого отношения. По данным компании Akamai, ботнет-трафик для обнаружения уязвимостей вырос на 70%, автоматизированная разведка сетей на 65%, а попытки сбора учетных данных на 45%.
По оценкам аналитиков CSIS, иранские прокси-структуры уже не только выполняют функцию регионального силового инструмента Тегерана, но и расширяют так называемую поверхность атаки далеко за пределы Ближнего Востока, создавая дополнительные риски для критической инфраструктуры, в частности в европейских странах. Использование прокси позволяет Ирану масштабировать гибридное давление, усложнять атрибуцию атак и переносить угрозы на частно управляемые энергетические, транспортные и телекоммуникационные системы.
Несмотря на принятие NIS2 Directive, Cyber Solidarity Act и других нормативных инструментов, некоторые официальные лица ЕС признают, что нынешние киберзащитные меры недостаточны для противостояния угрозам такого масштаба. Организации, традиционно не считающие себя геополитическими целями, все чаще оказываются на передовой государственного киберконфликта, и эта тенденция, по всем признакам, только набирает обороты.
