Іран та його проксі вже відкрили новий цифровий фронт — і першими під прицілом опинилася критична інфраструктура Європи. Про це пише Дмитро Левусь, експерт аналітичного центру «Об’єднана Україна», політолог-міжнародник, у своїй статті для The Gaze. Ця версія публікації є перекладом українською мовою.
Війна на Близькому Сході, яка розпочалася 28 лютого 2026 року спільною американо-ізраїльською операцією проти Ірану, за лічені тижні відкрила цифровий фронт, що тягнеться далеко за межі регіону бойових дій. Європейські наукові установи, енергетичні мережі, судноплавні компанії та навіть хмарна інфраструктура Єврокомісії опинилися під прицілом кібероперацій, пов'язаних з іранськими спецслужбами або тих, хто діє під їхньою вивіскою.
За даними компанії Akamai, загальний рівень кіберзлочинності з початку конфлікту зріс на 245%, причому банківський і фінтех-сектор поглинули 40% шкідливого трафіку, за ними йдуть електронна комерція та технологічні компанії. Це вже не абстрактна загроза, а реальний тиск на критичну інфраструктуру держав, які формально не є стороною конфлікту.
Атака на польський ядерний центр показала, що науковий сектор Європи перебуває в зоні ураження
12 березня 2026 року Національний центр ядерних досліджень Польщі (NCBJ), один із найбільших наукових інститутів Центральної Європи, оголосив про спробу кібератаки на свою ІТ-інфраструктуру. Дослідницький реактор MARIA, єдиний ядерний реактор країни, продовжував працювати у штатному режимі, а системи безпеки заблокували вторгнення до того, як зловмисники отримали доступ до критичних систем. Міністр цифрових справ Кшиштоф Ґавковський повідомив, що первинна ідентифікація точок входу вказує на Іран, водночас застерігши, що ці індикатори можуть бути навмисною дезінформацією для маскування справжнього джерела атаки.
Ця обережність є виправданою. Сучасні кібероперації систематично залишають хибні сліди через мовні налаштування, маршрутизацію інфраструктури та фрагменти коду, спрямовуючи слідчих у хибному напрямку. Жодна група не взяла на себе відповідальність за напад. Однак контекст промовистий. Лише в січні 2026 року російська група APT44, відома як Sandworm, атакувала польську електромережу, вразивши розподілені енергетичні об'єкти, теплоелектростанції, вітрові та сонячні диспетчерські системи. Приблизно 30 об'єктів зазнали впливу, а деякі промислові системи управління отримали незворотні пошкодження.
За даними звіту Міжнародного центру з вивчення радикалізації (ICCT) від лютого 2026 року, з середини 2025-го до початку 2026 року зафіксовано 31 підтверджений інцидент гібридної війни, приписуваний російським акторам і спрямований проти Польщі. Атака на NCBJ поставила питання про те, що Польща тепер може стикатися з тиском одразу від двох державних кіберакторів.
Грецьке судноплавство отримало попередження, яке стосується всієї глобальної логістики
Паралельно з подіями в Польщі розгорталася ще одна кризова лінія. Грецьке Національне управління кібербезпеки на початку березня розіслало «високопріоритетне» попередження офіцерам безпеки судноплавних компаній, банків, транспортних, телекомунікаційних, медичних та енергетичних фірм. За даними Reuters, попередження містило індикатори компрометації, включаючи конкретні IP-адреси, інструменти та шкідливе програмне забезпечення, зокрема троян віддаленого доступу VShell. Щонайменше дві судноплавні компанії підтвердили отримання цього попередження.
Контекст для Греції є особливо чутливим. Країна володіє одним із найбільших торговельних флотів у світі, і будь-яке порушення її судноплавних операцій матиме далекосяжні наслідки для глобальних ланцюжків постачання. Грецькі судновласники контролюють значну частину танкерного флоту, що перевозить нафту через Ормузьку протоку, а відтак стають потенційною мішенню в конфлікті, де енергетична логістика є одним із головних важелів тиску.
Ще 28 лютого грецьке Міністерство судноплавства попередило судна під грецьким прапором уникати Перської затоки, Оманської затоки та Ормузької протоки через загрози від ракет, дронів та електронних перешкод. В останні тижні електронне втручання в навігаційні системи комерційних суден різко зросло саме навколо Ормузької протоки та ширшого регіону Перської затоки, створюючи додатковий вимір загрози на перетині фізичної та цифрової безпеки.
Одне джерело, знайоме із ситуацією, повідомило Reuters, що певна підозріла активність вже була зафіксована в Греції, хоча значних атак поки не підтверджено. Водночас розслідування міжнародного інциденту, згаданого в грецькому попередженні, вказало на невстановленого складного актора загрози, який використовував двошарову інфраструктуру для сканування мереж, спроб несанкціонованого доступу, розміщення шкідливого ПЗ та уникнення виявлення. Частина IP-адрес, зазначених у попередженні, походила з Ірану.
Кібервійна стирає межу між Близьким Сходом та Європою без формального оголошення конфлікту
Польський ядерний інститут і грецькі судновласники є лише фрагментами значно ширшої картини. За оцінкою підрозділу Unit 42 компанії Palo Alto Networks, після початку конфлікту було зафіксовано активність щонайменше 60 окремих хактивістських груп, причому проросійські угруповання приєдналися до хвилі атак вже з 2 березня. Найпомітнішою залишається група Handala, яку Міністерство юстиції США та ФБР офіційно пов'язали з Міністерством розвідки та безпеки Ірану (MOIS). 11 березня Handala здійснила руйнівну атаку на американську медтехнологічну корпорацію Stryker, знищивши дані на понад 200 000 пристроях у 79 країнах.
За даними кібербезпекових експертів та співробітника компанії, які спілкувалися з NBC News, зловмисники отримали доступ до Microsoft Intune, платформи для віддаленого управління корпоративними пристроями, і масово видалили дані з усіх зареєстрованих пристроїв. Атака порушила обробку замовлень, виробництво та логістику компанії з річним доходом понад 25 мільярдів доларів, а продукція Stryker використовується у лікарнях більш ніж 60 країн і щороку торкається 150 мільйонів пацієнтів.
За даними ФБР, інцидент також порушив роботу лікарняних систем у Меріленді, де медичні заклади превентивно зупинили підключення до інструментів аналізу даних пацієнтів. 19 березня ФБР вилучило чотири домени Handala, визначивши їх як платформи для іранських кібернетичних психологічних операцій.
Албанія стала ще однією європейською мішенню. Група Homeland Justice, пов'язана з Іраном, заявила про відповідальність за кібератаку на цифрову інфраструктуру парламенту країни. Албанський парламент у відповідь ухвалив резолюцію, що визнає Іран спонсором тероризму. Ця країна має особливий досвід іранських кібероперацій ще з 2022 року, коли Тирана розірвала дипломатичні відносини з Тегераном після масштабної атаки на державні інституції.
24 березня Єврокомісія підтвердила, що кібератака вразила хмарну інфраструктуру, на якій розміщено платформу Europa.eu. Попередні дані розслідування свідчать, що деякі дані були вилучені з уражених вебсайтів, хоча внутрішні системи Комісії не були скомпрометовані. На платформі X хакерська група оприлюднила скріншоти, стверджуючи про наявність близько 350 гігабайт даних Єврокомісії, включаючи вміст поштових серверів, бази даних та конфіденційні документи. Це вже другий інцидент з безпекою хмарних систем Комісії протягом 2026 року, що ставить під сумнів достатність наявних захисних механізмів навіть на рівні центральних інституцій ЄС.
Іранські проксі розмивають кордон між хактивізмом і державними операціями, що ускладнює будь-яку відповідь
Реакція ЄС поки що залишається в рамках дипломатичного інструментарію. 16 березня Рада ЄС запровадила санкції проти іранської компанії Emennet Pasargad та двох китайських фірм за кібератаки проти держав-членів. Emennet Pasargad, пов'язана з іранськими спецслужбами, раніше зламала базу абонентів французького видання Charlie Hebdo, скомпрометувала рекламні білборди під час Олімпійських ігор 2024 року в Парижі для поширення дезінформації та атакувала шведський SMS-сервіс. Однак експерти визнають, що ці санкції мають обмежений вплив на групи, які фактично діють як підрозділи державних спецслужб.
Аналітики Check Point Software Technologies фіксують тривожну тенденцію. Актори, пов'язані з іранським MOIS, дедалі активніше взаємодіють з кримінальною кіберекосистемою, використовуючи її інфраструктуру, брокерів доступу та партнерські моделі для підтримки державних цілей. Групи на кшталт Handala та MuddyWater демонструють зростаючі перетини з кримінальною інфраструктурою, що дозволяє іранським операторам розширювати свої можливості, водночас маскуючи державну причетність за кримінальною діяльністю.
Для Європи це створює специфічну проблему. Конфлікт на Близькому Сході розширює поле війни до європейської інфраструктури без формального оголошення ворожих дій. Ядерні дослідницькі центри, судноплавні компанії, лікарні, аеропорти та навіть хмарні сервіси Єврокомісії стають мішенями в конфлікті, до якого європейські країни не мають прямого стосунку. За даними компанії Akamai, ботнет-трафік для виявлення вразливостей зріс на 70%, автоматизована розвідка мереж на 65%, а спроби збору облікових даних на 45%.
За оцінками аналітиків CSIS, іранські проксі-структури вже не лише виконують функцію регіонального силового інструменту Тегерана, а й розширюють так звану «поверхню атаки» далеко за межі Близького Сходу, створюючи додаткові ризики для критичної інфраструктури, зокрема в європейських країнах. Використання проксі дозволяє Ірану масштабувати гібридний тиск, ускладнювати атрибуцію атак та переносити загрози на приватно керовані енергетичні, транспортні й телекомунікаційні системи.
Попри ухвалення NIS2 Directive, Cyber Solidarity Act та інших нормативних інструментів, деякі офіційні особи ЄС визнають, що поточні кіберзахисні заходи є недостатніми для протистояння загрозам такого масштабу. Організації, які традиційно не вважають себе геополітичними цілями, дедалі частіше опиняються на передовій державного кіберконфлікту, і ця тенденція, за всіма ознаками, лише набирає оберти.