2017/10/18 14:45:39

Киберпреступность и киберконфликты : Иран


Содержание

Участие Ирана в недавних кибератаках почти не подвергается сомнению специалистами по безопасности. После того, как Иран подвергся атакам, связанным с попытками остановить его предполагаемую ядерную программу, ответные удары можно считать почти гарантированными. Есть мнение, что источники внутри Ирана стояли за атаками против американских банков, а также массивной кибератаки против Aramco, саудовской нефтяной компании, по мнению иранского правительства, получающей выгоды от экономических санкций против Ирана.

Организации

  • Иранский Корпус стражей Исламской революции (КСИР) - элитная составляющая ВС Ирана. Корпус располагает собственными воздушными, военно-морскими и сухопутными силами, в которых служат около 100 тысяч человек. Тегеран неоднократно отрицал причастность организации к террористической деятельности.

2017

Минюст США связал взлом HBO с Ираном

К концу 2017 году Министерство юстиции США намерено объявить о нескольких уголовных делах против граждан Ирана, среди прочего обвиняемых во взломе телеканала HBO[1].

Как сообщает The Washington Post со ссылкой на осведомленные источники, в прошлом месяце Минюст США поручил прокурорам присмотреться к проводящимся в настоящее время расследованиям против Ирана или его граждан с целью предать дела огласке. По словам источников, указ вызвал обеспокоенность среди сотрудников министерства. Некоторые опасаются, что он может быть связан с новыми санкциями, которые Конгресс США намерен ввести в отношении Ирана. Кроме того, предание дел огласке может существенно затруднить поимку преступников.

Одно из вышеупомянутых расследований касается кибератак на HBO. Американский телеканал подвергся нескольким взломам, и самые серьезные из них были зафиксированы в июле и августе 2017 года. В результате кибератак злоумышленникам удалось похитить у HBO 1,5 ТБ данных, в том числе сценарии еще не вышедших к тому времени эпизодов телесериала «Игра престолов» и электронную переписку руководства телеканала. Целью хакеров был шантаж – они требовали денег, угрожая в противном случае опубликовать похищенные материалы.

Выполнил ли телеканал условия преступников, неизвестно. Однако один из хакеров предоставил свидетельства того, что компания пыталась предложить им деньги в качестве «bug bounty».

Иранские хакеры причастны к кибератаке на британский парламент

Атака на почтовые ящики членов парламента Великобритании, в том числе Терезы Мэй, в июне 2017 года – дело рук иранских хакеров. Об этом сообщает издание The Telegraph со ссылкой на осведомленные источники[2].

Напомним, в конце июня парламент Великобритании подвергся продолжительной кибератаке, длившейся более 12 часов, в ходе которой злоумышленники скомпрометировали порядка 90 учетных записей электронной почты парламентариев. Изначально в атаке были заподозрены «русские» хакеры, однако сейчас британские разведслужбы заключили, что за инцидентом стоит Иран. Это первая значительная кибератака Тегерана на Великобританию, отмечает издание.

В рамках атаки хакеры неоднократно предпринимали попытки определить «слабые» пароли для электронной почты политиков и их помощников. В качестве меры предосторожности IT-специалисты парламента заблокировали внешний доступ к системе, в результате чего британские парламентарии не смогли получить доступ к своим электронным ящикам. В общей сложности злоумышленники скомпрометировали 9 тыс. учетных записей.

Мотивы атакующих неизвестны, но, как полагают эксперты, к кибератаке может быть причастен иранский Корпус стражей Исламской революции (КСИР), использовавший кибероружие для подрыва ядерного договора Ирана с Западом.

2015: Иран ведет скрытую кибервойну против Европы и Израиля

Эксперты из Trend Micro сообщили весной 2015 года о вредоносной кампании Woolen-GoldFish против израильских и европейских организаций, проводимой «государственными» хакерами из группировки Rocket Kitten[3].

По сравнению с предыдущими атаками, в ходе которых злоумышленники распространяли вредоносное ПО GHOLE с помощью вложений Office в фишинговых электронных письмах, нынешняя кампания — гораздо более продумана.

Во-первых, фишинговые письма теперь убедительнее и вызывают меньше подозрений. Во-вторых, вместо вредоносного вложения злоумышленники стали использовать ссылку на файл в Microsoft OneDrive с именем Iran’s Missiles Program.ppt.exe. По словам экспертов, подобная тактика позволяет обойти систему безопасности электронной почты. Исполняемый файл загружает на систему жертвы вариант клавиатурного шпиона CWoolger, «не настолько сложного, как его современники», сообщают эксперты.

В Trend Micro предполагают, что автор кейлоггера, называющий себя Wool3n.H4t, связан с Ираном. Исследователи обнаружили, что пользователю с этим псевдонимом принадлежит неактивный блог в бесплатном иранском сервисе. Кроме того, Wool3n.H4t оказался зарегистрированным на нескольких иранских подпольных хакерских форумах. В блоге опубликованы всего две записи, подписанные Masoud_pk. Эксперты предполагают, что Масуд (одно из 50 наиболее распространенных в Иране имен) может быть настоящим именем разработчика CWoolger.В последнее время многие страны стали уделять особое внимание скрытой войне в Сети. Настораживает только то, что обвиняют в этом друг друга в основном страны, враждующие между собой или имеющие какую-либо напряженность. Неисключено, что это делается для подливания масла в огонь.

Смотрите также