rots varningar om förödande iranska cyberattacker efter Israels militära angrepp har det digitala svaret varit betydligt mer begränsat än experter förutade. Samtidigt har pro-israeliska hackare genomfört mer påtagliga attacker mot iranska mål.
Bakgrund: Från fysisk konflikt till digital krigföring
Den 13 juni 2025 inledde Israel ”Operation Rising Lion”, en storskalig militär operation mot iranska kärnkraftsanläggningar och militära mål. Efter israeliska och amerikanska styrkor slog till mot iranska kärntekniska mål, slog tjänstemän i båda länderna larm om potentiellt störande cyberattacker utförda av den islamiska republikens hackare.
Radware, ett USA-baserat cybersäkerhetsföretag, uppskattade att det skett en 700% ökning av iranska cyberattacker mot israeliska mål sedan Israel genomförde sin första robotattack mot Teheran den 12 juni. Amerikanska Department of Homeland Security och israeliska myndigheter utfärdade akuta varningar om förhöjd cybersäkerhetsrisk för både offentlig verksamhet och företag.
Den förväntat stora iranska cyberoffensiven uteblev
Men när en bräcklig vapenvila råder, säger cyberförsvarare i USA och Israel att de hittills sett lite utöver det vanliga – ett potentiellt tecken på att hotet från Irans cyberkapaciteter, liksom dess sönderbombade militär, har överskattats.
Expertbedömningar av den iranska aktiviteten
”Volymen av attacker verkar vara relativt låg,” säger Nicole Fishbein, senior säkerhetsforskare på det israeliska företaget Intezer. ”Teknikerna som används är inte särskilt sofistikerade”.
Rafe Pilling, ledande hotintelligensforskare på det brittiska cybersäkerhetsföretaget Sophos, säger att effekten från hackaktiviteten verkar vara blygsam. ”Såvitt vi kan se är det den vanliga blandningen av ineffektiv kaos från genuina hackaktivistgrupper och riktade attacker från Iran-kopplade personas som troligen har viss framgång men också överskattar sin påverkan,” säger han.
Typer av iranska cyberattacker
Den iranska cyberaktiviteten har främst bestått av:
- Phishing-kampanjer: Check Point observerade en ny våg av attacker från mitten av juni 2025 efter utbrottet av Iran-Israel-kriget som riktade sig mot israeliska individer med falska möteslockor, antingen via e-post eller WhatsApp-meddelanden skräddarsydda för målen.
- DDoS-attacker: Från den 4 till 12 juni spårade forskare från Radware tre eller fyra distribuerade överbelastningsattacker (DDoS) per dag riktade mot Israel. Enligt data de delade sköt den siffran upp till 21 den 13 juni och 34 dagen efter.
- Desinformationskampanjer: Gil Messing, stabschef på Israel-baserade Check Point Software Technologies, berättade för Axios att han observerat flera desinformationskampanjer som verkar härstamma från Iran-kopplade aktörer under dagarna efter attackerna.
Den pro-israeliska cyberoffensiven: Mer påtagliga resultat
En intressant asymmetri har uppstått där pro-israeliska hackare verkar ha genomfört mer påtagliga attacker:
Predatory Sparrow-gruppens operationer
Predatory Sparrow, en israelisk hackergrupp, säger idag att den ligger bakom en serie cyberattacker mot Irans Bank Sepah. Gruppen – som offentligt går under den farsiska översättningen av sitt namn, Gonjeshke Darande – tillade att den också raderat det statligt ägda banksystemets data.
I en separat hack på tisdag sa Predatory Sparrow att de förstört data hos Irans statligt ägda Bank Sepah, och hävdade att IRGC-medlemmar använde bankens tjänster som motivering för åtgärden.
Kryptovaluta-angrepp
En pro-israelisk hackergrupp känd som ”Predatory Sparrow” tog åt sig äran för cyberattacken, som verkade syfta till att ytterligare försvaga Iran mitt i Israels militära angrepp på Teheran. I ett inlägg på farsi på X sa hackarna att de hade träffat den iranska kryptobörsen Nobitex och hävdade att Iran använde börsen för att kringgå internationella sanktioner.
Enligt rapporter förstördes kryptovaluta värda över 90 miljoner dollar i attacken mot Nobitex.
Amerikanska och globala implikationer
Varningar kring USA:s kritiska infrastruktur
Den pågående Iran-konflikten orsakar en förhöjd hotmiljö i USA. Cyberattacker på låg nivå mot amerikanska nätverk av pro-iranska hackaktivister är sannolika, och cyberaktörer kopplade till den iranska regeringen kan genomföra attacker mot amerikanska nätverk.
Kritiska infrastrukturorganisationer behöver härda sina nätverk, utbilda sig om Iran-anknutna hotgrupper och börja förhöjd övervakning av misstänkt aktivitet, enligt ett gemensamt uttalande från Food and Ag-ISAC och IT-ISAC.
Europeiska implikationer
För svenska och europeiska organisationer innebär utvecklingen flera risker:
- Indirekt påverkan: Störningar i globala system kan påverka europeiska företag
- Kollateral skada: Organisationer med verksamhet i konfliktområdena kan drabbas
- Opportunistiska attacker: Ökad cyberaktivitet från båda sidor kan leda till bredare målsättning
Expertanalys och framtida perspektiv
Yelisey Bohuslavskiy, medgrundare av underrättelseföretaget Red Sense, jämförde Irans cyberoperationer med dess robotprogram. De iranska vapnen som regnade ner över Israel under konflikten dödade 28 personer och förstörde tusentals hem, men de flesta avlyssnades och ingen skadade den israeliska militären avsevärt. Bohuslavskiy sa att iranska hackeroperationer verkade fungera på liknande sätt. ”Det finns mycket hett prat, det finns mycket urskillningslös civil målsättning, och – realistiskt – det finns inte så många resultat,” sa han.
Lärdomar för cybersäkerhet
- Realistisk hotbedömning: Irans cyberhot är reellt men kanske inte lika förödande som ofta framställs
- Förberedelse på både sidor: Både defensiva och offensiva cyberkapaciteter används aktivt av stater
- Hybridkrigsföring: Cyberattacker är nu en integrerad del av konventionella konflikter
Slutsats: Medan cyberkrigsföring mellan Iran och Israel är en realitet, visar juni 2025-konflikten att förväntningarna på Irans cyberkapaciteter kanske varit överdrivna. Samtidigt demonstrerar pro-israeliska cyberoperationer en förmåga att genomföra betydande sabotageaktioner. För globala organisationer understryker detta behovet av balanserad riskbedömning och robust cybersäkerhetsförberedelse.
Källor och metodologi
Denna artikel har tagits fram med deep search i ChatGPT och därefter modererats i Claude. De är baserad på rapportering från:
- Reuters (juni 2025)
- Axios (juni 2025)
- CNN (juni 2025)
- The Washington Post (juni 2025)
- Dark Reading (juni 2025)
- Cybersecurity Dive (juni 2025)
- Department of Homeland Security bulletiner
- Branschanalytiker från Intezer, Sophos, Check Point, Radware och Red Sense