2023/12/21 10:12:42

Киберпреступность и киберконфликты : Иран


Содержание

Основная статья: Киберпреступность в мире

Участие Ирана в недавних кибератаках почти не подвергается сомнению специалистами по безопасности. После того, как Иран подвергся атакам, связанным с попытками остановить его предполагаемую ядерную программу, ответные удары можно считать почти гарантированными. Есть мнение, что источники внутри Ирана стояли за атаками против американских банков, а также массивной кибератаки против Aramco, саудовской нефтяной компании, по мнению иранского правительства, получающей выгоды от экономических санкций против Ирана.

Организации

  • Иранский Корпус стражей Исламской революции (КСИР) - элитная составляющая ВС Ирана. Корпус располагает собственными воздушными, военно-морскими и сухопутными силами, в которых служат около 100 тысяч человек. Тегеран неоднократно отрицал причастность организации к террористической деятельности.

2023: 70% АЗС в Иране перестали работать из-за массированной кибератаки

18 декабря 2023 года власти Ирана сообщили о массированной кибератаке на сеть автомобильных заправочных станций. Из-за хакерского вторжения приблизительно 70% таких площадок по всей стране перестали работать.

Кибератака нарушила функционирование ИТ-систем, вследствие чего считывание топливных карт оказалось невозможно. Операторы АЗС вынуждены переходить на ручной режим продажи топлива, что создает определенные сложности. Специалисты предпринимают оперативные меры по восстановлению штатной работы объектов.

Иран сообщил о массированной кибератаке на сеть автомобильных заправочных станций

Ответственность за взлом иранской сети АЗС взяла на себя киберпреступная группировка Predatory Sparrow, которая, предположительно, имеет отношение к Израилю. Хакеры заявили, что им удалось взломать центральные серверы заправочных станций, получить доступ к закрытой информации, платежным сервисам и системам управления. В результате, работа многих АЗС оказалась практически парализована.

Отмечается, что участники Predatory Sparrow могут быть связаны с израильской военной разведкой. Хакеры ранее взяли на себя ответственность за кибератаки на иранскую государственную сталелитейную компанию и систему распределения топлива: оба эти вторжения оказались успешными. В заявлении группировки в Telegram говорится, что, как и в случае с ее предыдущими операциями, атака на сеть АЗС «была проведена контролируемым образом» — с тем, чтобы ограничить возможное влияние на деятельность служб экстренной помощи.

«
Мы предупредили службы экстренной помощи по всей стране о готовящейся атаке еще до начала операции и сделали так, чтобы часть заправочных станций осталась работоспособной — несмотря на нашу возможность полностью вывести из строя все эти площадки. Кибератака проведена в ответ на агрессию Исламской Республики и ее доверенных лиц в регионе, — отмечается в заявлении Predatory Sparrow.[1]
»

2022

Иранская группировка оставляет «закладки» в GitHub

Группировка Cobalt Mirage, связанная с правительством Ирана, использует вредоносное ПО Drokb для атак на различные организации США, используя GitHub в качестве тайника Dead Drop. Об этом стало известно 12 декабря 2022 года. Подробнее здесь.

Log4Shell остается грозным оружием в руках иранских киберпреступников

Иранская APT-группировка получила доступ к серверу федерального агентства США, используя печально известную Log4Shell. Об этом стало известно 17 ноября 2022 года. Подробнее здесь.

Anonymous объявили кибервойну Ирану из-за протестов

21 сентября 2022 года хакеры Anonymous запустили кампанию OpIran (Operation Iran) против Ирана из-за продолжающихся протестов в стране. Во время протестов в стране несколько раз наблюдались нарушение работы интернета и полное отключение мобильной сети. Об этом стало известно 26 сентября 2022 года.

Anonymous объявили войну иранскому правительству и начали проводить кибератаки на правительственные веб-сайты, в том числе принадлежащие иранской разведке и полиции. На конец сентября 2022 года сайты ведомств уже закрыты.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга 2.1 т

«Уважаемое правительство Ирана! Вы отключили интернет – мы отключим вас!» - написали хакеры в Twitter, обращаясь к правительству.

Группа призвала хактивистов к запуску DDoS-атак на иранские веб-сайты, краже их данных и утечке их в сеть. Хакеры также предлагают гражданам Ирана обходить государственную цензуру с помощью браузера Tor.

Image:Content-img(498).png

Anonymous также взломали Центр судебно-медицинских исследований, иранскую Ассамблею и опубликовали украденные данные в Интернете, а также своими атаками привели к закрытию государственного СМИ Ирана Fars News Agency. Также Anonymous заявили, что взломали 140 камер видеонаблюдения в Иране.

Image:Content-img(499).png

Ранее хакеры Anonymous в ходе кампании OpRussia опубликовали более 1ТБ переписок нескольких крупных российских компаний[2].

2021

Иранские APT-группировки стали чаще атаковать ИТ-сектор

Иранские APT-группировки стали чаще атаковать ИТ-сектор. Об этом стало известно 19 ноября 2021 года. Подробнее здесь.

ИБ-агентства предупредили о растущем количестве кибератак со стороны группировок, связанных с Ираном

Киберконфликт между США и Ираном продолжает накаляться. Об этом стало известно 18 ноября 2021 года.

Федеральное бюро расследований США, Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США, Австралийский центр кибербезопасности (ACSC) и Национальный центр кибербезопасности Великобритании (NCSC) в совместном сообщении предупредили о растущем числе атак иранских группировок с использованием уязвимостей в Fortinet FortiOS ( CVE-2018-13379 , CVE-2020-12812 и CVE-2019-5591 ) и Microsoft Exchange. По словам экспертов, злоумышленники часто запускают вредоносное ПО BitLocker на скомпрометированных компьютерах под управлением Windows для шифрования данных с целью получения выкупа или нарушения работы.

Спецслужбы опубликовали предупреждение менее чем через три недели после того, как глава Организации гражданской обороны Ирана Голамреза Джалили, курирующий сферу кибербезопасности страны, обвинил США и Израиль в осуществлении кибератаки, которая привела к нарушению работы иранских АЗС.

По крайней мере с марта 2021 года три уязвимости в продуктах Fortinet были использованы против целей в США, в то время как в США и Австралии были зафиксированы атаки с использованием уязвимостей ProxyShell в Microsoft Exchange.

«
Спонсируемые правительством Ирана APT-группировки нацелены на большой круг компаний в различных секторах критически важной инфраструктуры США, включая транспортный сектор и сферу здравоохранения, а также австралийские организации, — пояснили специалисты.

»

Официальные лица ФБР также разослали частным отраслевым компаниям предупреждения о том, что иранские злоумышленники пытаются купить их украденные данные электронной почты и сетевой информации на подпольных форумах.

С сентября 2020 года Microsoft отслеживает шесть иранских хакерских групп — Thanos (DEV-0146), Moses Staff (DEV-0500), Phosphorus, Rubidium (pay2key), Vice Leaker (DEV-0198) и Agrius (DEV-0227). Преступники устанавливают программы-вымогатели и похищают данные с целью вызвать сбои в работе систем жертв. Со временем данные группировки превратились в компетентных злоумышленников, способных вести кибершпионаж, использовать многоплатформенное вредоносное ПО, проводить операции с использованием программ-вымогателей и вайперов, проводить фишинговые атаки и даже осуществлять атаки на цепочки поставок[3].

В работе АЗС в Иране произошел сбой после масштабной кибератаки

В конце октября 2021 года власти Ирана обвинили хакеров в нарушении работы автозаправочных станций по всей стране. В какой форме была осуществлена кибератака, не уточняется, и ни одна группа не взяла на себя ответственность.

Атака сделала бесполезными выданные правительством электронные карты, которые иранцы используют для покупки субсидированного топлива на заправках Ирана. Associated Press сообщает, что в результате кибератаки в столице страны, Тегеране, образовались длинные пробки из автомобилей, ожидающих заправки, при этом многие насосы были отключены, а станции закрыты. Люди, кто пытался воспользоваться насосами на АЗС, при оплате через карту, получали сообщение, кибератака 64411 (cyberattack 64411).

В работе АЗС в Иране зафиксирован сбой после серьезной кибератаки
«
Высший совет национальной безопасности Ирана подтвердил, что произошла кибератака на компьютерную систему распределения бензина. Подробности атаки и ее источник расследуются, - сообщило государственное телевидение Abadan TV.
»

Источники выяснили, что указанный номер в сообщениях 64411 связан с офисом верховного лидера Ирана аятоллы Али Хаменеи, который занимается вопросами исламского права, что позволяет предположить, что за атакой могла стоять политическая подоплека.

«
Будет интересно посмотреть, кто возьмет на себя ответственность за эту атаку. Похоже, что это политически мотивированная атака, и для меня она подчеркивает необходимость эффективного управления безопасностью критической национальной инфраструктуры. В последние месяцы много шума вокруг организаций, выступающих против изменения климата, блокирующих транспортные пути и нацеленных на правительственную инфраструктуру, - сказал глава компании Cyvatar Стив Дэниелс (Steve Daniels).
»

Председатель руководящего комитета по Северной Америке в организации Shared Assessments Насер Фаттах, занимающейся управлением рисками в информационных системах, отметил иронию в том, что атаке подверглась страна, входящая в топ 5 государств с высоким риском атак на другие. Он отметил, что такие кибератаки на целые государства могут иметь эффект пульсации в обществе, что может привести к беспорядкам и хаосу внутри стран.[4]

По мере роста своей киберсилы Иран стал проводить учения для своих союзников

Правительство Ирана усилило свои операции в киберпространстве и даже проводит киберучения для своих союзников, в частности, для «Хезболлы» в Ливане. Об этом сообщается в отчете Международного института стратегических исследований[5][6].

Согласно отчету , Иран считает себя находящимся в состоянии «разведывательной и кибернетической войны» со своими противниками. Со времен атак вредоносного ПО Stuxnet на ядерную программу страны более десяти лет назад Тегеран существенно расширил свои возможности в киберпространстве. Стремление Ирана подавить внутреннюю оппозицию привело к активизации использования инструментов для киберслежения. Тем не менее, страна не в состоянии осуществлять мощные кибератаки «боевого уровня», говорится в отчете.

По словам специалистов, усилия Тегерана на Западе подрываются тем фактом, что их легко обнаружить и приписать Ирану. Тем не менее, страна была охарактеризована как значительная региональная киберсила, осуществляющая разрушительные атаки на инфраструктуру. Иран также терпимее, чем многие страны, относится к так называемым «патриотическим хакерам», проводящим кибероперации без официального указания властей.

Авария на ядерном объекте в Натанзе может быть делом рук спецслужб Израиля

Представители агентства по атомной энергетике Ирана сообщили в апреле 2021 года об аварии в энергосети на ядерном объекте в Натанзе, где на минувших выходных заработали новые центрифуги для обогащения урана. Иранские власти назвали произошедшее «терактом», а СМИ Израиля связывают инцидент с кибератакой израильских спецслужб[7].

Источники в разведке Израиля сообщили телерадиокомпании «Кан», что за предположительной кибератакой на объект в Натанзе якобы стоит национальная разведывательная служба Израиля «Моссад».

Как сообщил официальный представитель МИД Ирана Саид Хатибзаде, диверсия на ядерном объекте в Натанзе была организована с целью помешать переговорам по ядерной программ. По словам представителя иранского МИД, в результате происшествия были повреждены центрифуги класса iR1. Авария в сети распределения электричества на заводе по обогащению урана произошла вскоре после запуска новых центрифуг. Пострадавших нет, загрязнения окружающей среды также не выявлено.

«
«Если цель атаки на объект в Натанзе — затормозить наше ядерное производство, то цель не была достигнута», — отметил Хатибзаде.
»

Однако источники в разведке сообщили, что объекту в Натанзе нанесен значительный ущерб. Авария подорвала возможности Ирана по обогащению урана, и власти страны потеряли значительный потенциал.

2020

Иранские хакеры отправили американским избирателям письма с угрозами

Иранские хакеры отправили американским избирателям письма с угрозами. Об этом стало известно 22 октября 2020 года.

Письма якобы были отправлены от имени ультраправой группы сторонников Дональда Трампа под названием Proud Boys.

Письма были с угрожающими требованиями проголосовать за президента США Дональда Трампа. Об этом сообщило издание The Washington Post.

Официальные лица США заявили, что за рассылку писем ответственен Иран.

Директор Национальной разведки США Джон Ли Рэтклифф (John Ratcliffe) обвинил Иран в использовании данных об избирателях для отправки «поддельных электронных писем с целью запугивания, разжигания общественных беспорядков и нанесения ущерба президенту Трампу».

В своих сообщениях злоумышленники утверждали, что «располагают всей информацией о получателе», и предлагали отдать свой голос за Трампа на предстоящих выборах в США. Некоторые из сообщений с угрозами содержали видеоролик с подробной инструкцией того, как голосовать более одного раза. В других письмах утверждалось о компрометации «всей инфраструктуры голосования» в США[8].

ФБР отключило 92 поддельных новостных ресурса

ФБР США арестовало 92 доменных имени, незаконно использовавшихся иранской организацией Корпус стражей исламской революции (КСИР) в кампаниях по распространению дезинформации. Об этом стало известно 9 октября 2020 года.

Как сообщает Министерство юстиции США, четыре домена принадлежали легальным новостным агентствам, но в действительности контролировались КСИР и предназначались для распространения иранской пропаганды среди граждан США. Остальные 88 доменов были ориентированы на пользователей в странах Западной Европы, Среднего Востока и Юго-Восточной Азии. Сайты выдавались за настоящие новостные ресурсы, но на самом деле использовались КСИР для распространения дезинформации в интересах правительства Ирана.

Все 92 домена использовались в нарушение санкций в отношении правительства Ирана и КСИР.

Расследование, инициированное на основе данных, полученных от Google, стало общей работой ФБР и коммерческих компаний, в частности Google, Facebook и Twitter[9].

Иранские хакеры заявили о взломе израильской железной дороги

Группа иранских хакеров, именующая себя Cyber ​​Avengers, разместила в Telegram-канале, ассоциированном с "Корпусом стражей исламской революции", заявление об ответственности за атаки против системы железнодорожного сообщения в Израиле. Об этом стало известно 31 июля 2020 года. Подробнее здесь.

Израиль заподозрен в кибератаке на атомный объект Ирана

3 июля 2020 года стало известно, что власти Израиля заподозрены в осуществлении кибератаки на один из ядерных объектов Ирана. Инцидент произошел 2 июля и повлек за собой пожар и затем взрыв на подземном объекте по обогащению урана в Натанзе.

По словам официального представителя Организации по атомной энергии Ирана (ОАЭИ) Бехруза Камальванди, было повреждено здание, строящееся рядом с ядерным объектом в Натанзе. Как сообщили власти, жертв и серьезных разрушений не было, а производственный объект продолжает функционировать в штатном режиме.

До того, как стало известно о пожаре в Натанзе, на электронную почту персидской службы BBC пришло электронное письмо, в котором группировка под названием «Гепарды родины» (Cheetahs of the Homeland) взяла на себя ответственность за нападение.

Как утверждали «Гепарды родины», они выбрали завод по обогащению урана в Натанзе, поскольку там есть наземные объекты, ущерб по которым иранским властям скрыть сложнее, чем ущерб по подземным объектам. Группировка якобы состоит из «бывших сотрудников иранских сил безопасности, решивших бороться против властей».

Кибератака последовала за предполагаемой попыткой Ирана взломать компьютерные системы израильской водной инфраструктуры в апреле 2020 года, которая в случае успеха могла привести к повышению уровню хлора в водоснабжении страны и навредить здоровью жителей[10].

Масштабная DDoS-атака отключила четверть интернета в Иране

Инфраструктура Ирана подверглась масштабной DDoS-атаке, в результате которой без доступа к Сети оказалось 25% иранских интернет-пользователей[11].

Как сообщает неправительственная организация NetBlocks, осуществляющая мониторинг безопасности и свободы интернета, сбои в работе Сети начались в субботу, 8 февраля, в 11:45 по местному времени (11:15 МСК).

«
«Как показывают данные сети в режиме реального времени, подключение к интернету в стране сократилось до 75% после того, как власти предположительно активировали механизм изоляции "Digital Fortress" (национальный киберщит – ред.)», – сообщила NetBlocks в Twitter.
»

Проблемы с доступом к интернету продолжались несколько часов и затрагивали крупнейших иранских операторов связи. Частично возобновить подключение удалось в течение одного часа после отключения, однако некоторые сети не могли восстановить связь на протяжении семи часов.

2019

Иран отразил вторую кибератаку за неделю

Не прошло и недели с предыдущей кибератаки на Иран, как преступники попытали свои силы снова. Об этом в воскресенье, 15 декабря, сообщил министр информационных и телекоммуникационных технологий Ирана Мохаммад Джавад Азари Джахроми, пишет The New York Times[12].

По словам министра, целью атаки был «шпионаж за правительственной разведкой», однако она была «выявлена и отражена щитом кибербезопасности». Джахроми также добавил, что властям удалось выявить использовавшиеся в атаке серверы и отследить атакующих, но не вдавался в подробности. Кто стоит за атакой, каковы ее масштабы и есть ли пострадавшие, министр не сообщил.

Группировка APT33 создала собственную VPN-сеть

14 ноября 2019 года стало известно, что спонсируемая иранским правительством киберпреступная группировка APT33, также известная как Elfin, MAGNALLIUM или Refined Kitten, создала собственную частную VPN-сеть для подключения к своим C&C-серверам, проведения разведки в сетях будущих целей и просмотра web-страниц. Как сообщают исследователи из компании Trend Micro, группировка APT33 на ноябрь 2019 года является самым технически продвинутым киберпреступным подразделением Ирана.

Группировка считается разработчиком вредоносного ПО для удаления данных с жестких дисков, известного как Shamoon (DistTrack), которое вывело из строя более 35 тыс. рабочих станций компании Saudi Aramco в Саудовской Аравии в 2012 году.

По словам исследователей, инфраструктура группировки является многослойной и изолированной, позволяя APT33 избегать обнаружения. Эксперты выделили четыре уровня инфраструктуры группировки. Уровень VPN представляет собой специально построенную сеть VPN-узлов для маскировки реального IP-адреса и местоположения оператора. Уровень Bot Controller является промежуточным. Уровень C&C Backend — фактические внутренние серверы, через которые группа управляет своими вредоносными ботнетами. Уровень прокси является набором облачных прокси-серверов, маскирующих C&C-серверы от зараженных хостов.

«
Частную VPN-сеть можно легко настроить, арендовав пару серверов у центров обработки данных по всему миру и используя программное обеспечение с открытым исходным кодом, такое как OpenVPN, — отмечают исследователи.
»

Однако на самом деле собственная VPN-сеть, наоборот, облегчает ее отслеживание. Поскольку APT33 использует исключительно свои выходные узлы VPN, специалистам удалось в течение года отслеживать некоторые узлы (список IP-адресов доступен в таблице ниже).

Помимо подключения к управляющему C&C-серверу, группа использовала VPN-сеть «для разведки в сетях, имеющих отношение к цепочке поставок нефтяной промышленности», а также для доступа к web-сайтам компаний, занимающихся проведением тестирования на проникновение, почтовым сервисам, сайтам, связанными с уязвимостями, и подпольным ресурсам, посвященным криптовалюте. Кроме того, группировка интересовалась сайтами, специализирующимся на подборе сотрудников в нефтегазовой отрасли[13].

США нанесли киберудар по Ирану за пожар на Saudi Aramco

США провели секретную кибероперацию против Ирана в ответ на атаки на нефтяную компанию в Саудовской Аравии, имевшие место в сентябре. Как сообщили в октябре информагентству Reuters два осведомленных источника, Вашингтон и Эль-Рияд обвиняют в атаках 14 сентября иранское правительство[14][15].

По словам источников, пожелавших остаться анонимными, операция проводилась в конце сентября с целью заблокировать Тегерану возможность распространять «пропаганду». Один из источников сообщил, что удар был нанесен по аппаратному обеспечению, но не стал вдаваться в подробности.

Данная операция является более компактной по сравнению с другими кибероперациями, проводимыми в 2019 году правительством США в ответ на сбитый дрон в июне и атаку на нефтяной танкер в мае.

Официальным ответом на атаку дронов была отправка Министерством обороны США в Саудовскую Аравию нескольких тысяч солдат и дополнительного вооружения для укрепления обороны. Комментировать секретную кибероперацию Пентагон отказывается.

Нефтегазовый сектор Ирана готовится к любым видам атак

Министр нефти Ирана Биджан Намдар Зангане приказал энергетическому сектору страны перейти в режим повышенной готовности к угрозам «физических и кибератак», сообщает в сентябре 2019 года информационное агентство Agence France-Presse.

«
«Все компании и предприятия нефтяной промышленности должны быть в полной боевой готовности против физических и киберугроз», — говорится в заявлении.
»

По словам министра, меры предосторожности необходимы из-за американских санкций и «полномасштабной экономической войны», в проведении которой Иран обвиняет США.

Нидерландская разведка помогала американо-израильской кибератаке Stuxnet по Ирану

В течение многих лет загадочная тайна окружала кибератаку Stuxnet, нацеленную на ядерную программу Ирана. Оставалось загадкой, как вредоносная программа Stuxnet смогла попасть на компьютерные системы хорошо защищенного завода по обогащению урана в городе Нетенз[16].

Как сообщили источники в разговоре с Yahoo News, главную роль в этой схеме сыграл шпион, завербованный агентами нидерладской разведки по поручению ЦРУ и израильского разведывательного агентства Моссад. Согласно источникам, иранский инженер подставной компании, завербованный нидерладским разведывательным агентством AIVD, предоставил критически важные данные, которые помогли разработчикам из США внедрить свой код на системы завода. Затем шпион предоставил внутренний доступ для подключения Stuxnet к системам с помощью USB-накопителя.

Тайная операция, известная как Olympic Games («Олимпийские Игры»), была разработана для того, чтобы замедлить развитие ядерной программы Ирана и выиграть время для введения санкций и привлечения страны к переговорам. Операция представляла собой в основном совместную миссию стран США и Израиля, в которой участвовали АНБ, ЦРУ, Моссад, министерство обороны Израиля и израильское национальное подразделение SIGINT (эквивалент израильского АНБ). Согласно источникам, США и Израиль получили помощь от трех других стран, две из которых были Нидерланды и Германия. Третьей, как полагают, могла быть Франция.

США атаковали компьютерные системы Ирана по указу Трампа

Президент США Дональд Трамп одобрил проведение Минобороны страны кибератаки на компьютерные системы Ирана, используемые для управления запуском ракет. В результате система была отключена. Об этом сообщило издание The Washington Post со ссылкой на осведомленные источники в разведслужбах. Подробнее здесь.

Власти Ирана заявили о ликвидации шпионской киберсети ЦРУ

Иранские силы безопасности раскрыли обширную кибершпионскую сеть, которая, предположительно была развернута Центральным разведывательным управлением США, сообщает в июне 2019 года Reuters.

«
«Иранские разведслужбы обнаружили и нейтрализовали одну из наиболее сложных кибершпионских сетей ЦРУ, играющую важную роль в операциях управления в различных странах», - сообщил секретарь Высшего совета национальной безопасности Ирана Али Шамхани[17].
»

Он также добавил, что Тегеран поделился информацией о выявленной структуре с рядом партнеров. В результате были арестованы несколько агентов ЦРУ. Шамхани не раскрыл данные о том, сколько сотрудников ведомства были арестованы и в каких странах.

Иранские кибершпионы атакуют компании в США и Саудовской Аравии

В течение последних трех лет кибершпионская группировка Elfin (другое название APT33), предположительно финансируемая правительством Ирана, активно атакует организации в США и Саудовской Аравии[18].

Как сообщают в марте 2019 года [19] специалисты компании Symantec, жертвами группировки стали представители разных сфер. Помимо правительственного сектора, Elfin также интересуют производственные, инженерные и химические предприятия, исследовательские организации, консалтинговые фирмы, финансовые и телекоммуникационные компании и пр.

За последние три года жертвами Elfin стали 18 организаций в США, в том числе компании из списка Fortune 500. Некоторые из них были атакованы с целью осуществления дальнейших атак на цепочку поставок. В одном случае крупная американская компания и принадлежащая ей фирма на Среднем Востоке стали жертвой Elfin в один и тот же месяц.

Последняя волна атак была зафиксирована в феврале 2019 года. Для их осуществления злоумышленники пытались эксплуатировать известную уязвимость в утилите WinRAR (CVE-2018-20250), позволяющую устанавливать файлы и выполнять код на системе.

Эксплоит попал на компьютеры двух сотрудников атакуемой организации через фишинговое письмо со вложенным вредоносным файлом JobDetails.rar. После его открытия на систему загружался эксплоит для CVE-2018-20250.

Elfin была замечена исследователями в декабре 2018 года в связи с новыми атаками Shamoon. Незадолго до атаки Shamoon одна из компани Саудовской Аравии была заражена вредоносным ПО Stonedrill из арсенала Elfin. Поскольку атаки последовали сразу одна за другой, эксперты предположили, что между ними может быть связь. Тем не менее, на сегодняшний день никаких других свидетельств причастности Elfin к атакам Shamoon обнаружено не было.

Помимо бэкдора Stonedrill, группировка также использует бэкдор Notestuk, открывающий доступ к файлам на атакуемой системе, и кастомизированный бэкдор на языке AutoIt. Наряду с инструментами собственного производства злоумышленники также применяют ПО, купленное на черном рынке, в том числе трояны Remcos, DarkComet, Quasar RAT и пр.

2018

Иран подготовил фундамент для масштабных кибератак на Европу и США

Иранские хакеры подготовили фундамент для осуществления масштабных кибератак на государственную инфраструктуру США и стран Европы, сообщает в июле 2018 года телеканал NBC со ссылкой на ряд американских чиновников[20].

Речь идет о DoS-атаках на электросети, гидроэлектростанции, организации в области здравоохранения и технологические предприятия США, Германии, Великобритании, а также других стран Европы и Ближнего Востока.

По словам собеседников ресурса, хотя Иран и готовится к проведению хакерских атак, в настоящее время нет свидетельств, что они будут осуществлены в ближайшем будущем. Тем не менее, в связи с риском США предпринимают меры по усилению кибербезопасности, а также предупреждают союзников и изучают методы реагирования на киберугрозы. В настоящее время неясно, включают ли рассматриваемые варианты упреждающие кибератаки на Иран.

В свою очередь, пресс-секретарь иранского постоянного представительства при ООН Алиреза Мирусефи заявил, что «Иран не намерен вступать в какую-либо кибервойну с США».

«Честно говоря, с нашей точки зрения, США может использовать собственные подозрения в качестве возможного оправдания кибератаки против Ирана», - подчеркнул пресс-секретарь.

Иранские власти заявили о планах США атаковать Иран в киберпространстве

Как сообщил глава Организации гражданской обороны Ирана генерал-майор Голям Реза Джалали, после заключения ядерного соглашения (так называемого Совместного всеобъемлющего плана действий) США запустили в киберпространстве проекты наподобие Nitro Zeus. Это свидетельствуют о переключении США с реальных атак на кибератаки, подчеркнул генерал-майор[21].

«
«Судя по недавним замечаниям госсекретаря США, они (американские власти – ред.) сохранили свои киберинструменты и в случае необходимости используют их против нас», – приводит слова Джалали иранское издание Mehr.
»

По словам Джалали, из-за компьютеризации страны Иран стал подвержен кибератакам. Наиболее уязвимым является энергетический сектор, отметил генерал-майор.

В марте 2018 года правительство США ввело санкции в отношении девяти граждан Ирана и организации «Институт Мабна». Причиной послужили хакерские атаки, приписываемые им американскими властями. По мнению Вашингтона, киберпреступники осуществляли свою деятельность с 2013 года в интересах «Корпуса стражей исламской революции»[22].

2017

Минюст США связал взлом HBO с Ираном

К концу 2017 году Министерство юстиции США намерено объявить о нескольких уголовных делах против граждан Ирана, среди прочего обвиняемых во взломе телеканала HBO[23].

Как сообщает The Washington Post со ссылкой на осведомленные источники, в прошлом месяце Минюст США поручил прокурорам присмотреться к проводящимся в настоящее время расследованиям против Ирана или его граждан с целью предать дела огласке. По словам источников, указ вызвал обеспокоенность среди сотрудников министерства. Некоторые опасаются, что он может быть связан с новыми санкциями, которые Конгресс США намерен ввести в отношении Ирана. Кроме того, предание дел огласке может существенно затруднить поимку преступников.

Одно из вышеупомянутых расследований касается кибератак на HBO. Американский телеканал подвергся нескольким взломам, и самые серьезные из них были зафиксированы в июле и августе 2017 года. В результате кибератак злоумышленникам удалось похитить у HBO 1,5 ТБ данных, в том числе сценарии еще не вышедших к тому времени эпизодов телесериала «Игра престолов» и электронную переписку руководства телеканала. Целью хакеров был шантаж – они требовали денег, угрожая в противном случае опубликовать похищенные материалы.

Выполнил ли телеканал условия преступников, неизвестно. Однако один из хакеров предоставил свидетельства того, что компания пыталась предложить им деньги в качестве «bug bounty».

Иранские хакеры причастны к кибератаке на британский парламент

Атака на почтовые ящики членов парламента Великобритании, в том числе Терезы Мэй, в июне 2017 года – дело рук иранских хакеров. Об этом сообщает издание The Telegraph со ссылкой на осведомленные источники[24].

Напомним, в конце июня парламент Великобритании подвергся продолжительной кибератаке, длившейся более 12 часов, в ходе которой злоумышленники скомпрометировали порядка 90 учетных записей электронной почты парламентариев. Изначально в атаке были заподозрены «русские» хакеры, однако сейчас британские разведслужбы заключили, что за инцидентом стоит Иран. Это первая значительная кибератака Тегерана на Великобританию, отмечает издание.

В рамках атаки хакеры неоднократно предпринимали попытки определить «слабые» пароли для электронной почты политиков и их помощников. В качестве меры предосторожности IT-специалисты парламента заблокировали внешний доступ к системе, в результате чего британские парламентарии не смогли получить доступ к своим электронным ящикам. В общей сложности злоумышленники скомпрометировали 9 тыс. учетных записей.

Мотивы атакующих неизвестны, но, как полагают эксперты, к кибератаке может быть причастен иранский Корпус стражей Исламской революции (КСИР), использовавший кибероружие для подрыва ядерного договора Ирана с Западом.

2015: Иран ведет скрытую кибервойну против Европы и Израиля

Эксперты из Trend Micro сообщили весной 2015 года о вредоносной кампании Woolen-GoldFish против израильских и европейских организаций, проводимой «государственными» хакерами из группировки Rocket Kitten[25].

По сравнению с предыдущими атаками, в ходе которых злоумышленники распространяли вредоносное ПО GHOLE с помощью вложений Office в фишинговых электронных письмах, нынешняя кампания — гораздо более продумана.

Во-первых, фишинговые письма теперь убедительнее и вызывают меньше подозрений. Во-вторых, вместо вредоносного вложения злоумышленники стали использовать ссылку на файл в Microsoft OneDrive с именем Iran’s Missiles Program.ppt.exe. По словам экспертов, подобная тактика позволяет обойти систему безопасности электронной почты. Исполняемый файл загружает на систему жертвы вариант клавиатурного шпиона CWoolger, «не настолько сложного, как его современники», сообщают эксперты.

В Trend Micro предполагают, что автор кейлоггера, называющий себя Wool3n.H4t, связан с Ираном. Исследователи обнаружили, что пользователю с этим псевдонимом принадлежит неактивный блог в бесплатном иранском сервисе. Кроме того, Wool3n.H4t оказался зарегистрированным на нескольких иранских подпольных хакерских форумах. В блоге опубликованы всего две записи, подписанные Masoud_pk. Эксперты предполагают, что Масуд (одно из 50 наиболее распространенных в Иране имен) может быть настоящим именем разработчика CWoolger.В последнее время многие страны стали уделять особое внимание скрытой войне в Сети. Настораживает только то, что обвиняют в этом друг друга в основном страны, враждующие между собой или имеющие какую-либо напряженность. Неисключено, что это делается для подливания масла в огонь.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




  1. Iran confirms nationwide cyberattack on gas stations
  2. Anonymous объявили кибервойну Ирану из-за протестов
  3. Киберконфликт между США и Ираном продолжает накаляться
  4. Gas stations in Iran disrupted by cyberattack
  5. Cyber Capabilities and National Power: A Net Assessment
  6. По мере роста своей киберсилы Иран стал проводить учения для своих союзников
  7. Авария на ядерном объекте в Натанзе может быть делом рук спецслужб Израиля
  8. Иранские хакеры отправили американским избирателям письма с угрозами
  9. ФБР отключило 92 поддельных новостных ресурса
  10. Израиль заподозрен в кибератаке на атомный объект Ирана
  11. Масштабная DDoS-атака отключила четверть интернета в Иране
  12. Иран отразил вторую кибератаку за неделю
  13. Иранская группировка APT33 создала собственную VPN-сеть
  14. 14 сентября в результате атаки дронов на двух заводах национальной нефтяной компании Саудовской Аравии Saudi Aramco вспыхнул пожар. Саудовская Аравия, США, Великобритания, Германия и Франция обвинили в случившемся Иран. Ответственность за инцидент взяли на себя дружественные Ирану повстанцы-хуситы.
  15. США нанесли киберудар по Ирану за пожар на Saudi Aramco
  16. Нидерландская разведка помогала американо-израильской кибератаке Stuxnet по Ирану
  17. Власти Ирана заявили о ликвидации шпионской киберсети ЦРУ
  18. Иранские кибершпионы атакуют компании в США и Саудовской Аравии
  19. Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S.
  20. Иран подготовил фундамент для масштабных кибератак на Европу и США
  21. Иранские власти заявили о планах США атаковать Иран в киберпространстве
  22. «Корпус стражей исламской революции» – созданное в 1979 году иранское элитное военно-политическое формирование. Принимало активное участие в ирано-иракской войне и в создании организации «Хезболла». Официально является частью вооруженных сил Ирана.
  23. Минюст США связал взлом HBO с Ираном
  24. Иранские хакеры причастны к кибератаке на британский парламент
  25. Иран ведет скрытую кибервойну против Европы и Израиля