2019/11/17 12:05:46

Киберпреступность и киберконфликты : Иран


Содержание

Участие Ирана в недавних кибератаках почти не подвергается сомнению специалистами по безопасности. После того, как Иран подвергся атакам, связанным с попытками остановить его предполагаемую ядерную программу, ответные удары можно считать почти гарантированными. Есть мнение, что источники внутри Ирана стояли за атаками против американских банков, а также массивной кибератаки против Aramco, саудовской нефтяной компании, по мнению иранского правительства, получающей выгоды от экономических санкций против Ирана.

Организации

  • Иранский Корпус стражей Исламской революции (КСИР) - элитная составляющая ВС Ирана. Корпус располагает собственными воздушными, военно-морскими и сухопутными силами, в которых служат около 100 тысяч человек. Тегеран неоднократно отрицал причастность организации к террористической деятельности.

2020

Масштабная DDoS-атака отключила четверть интернета в Иране

Инфраструктура Ирана подверглась масштабной DDoS-атаке, в результате которой без доступа к Сети оказалось 25% иранских интернет-пользователей[1].

Как сообщает неправительственная организация NetBlocks, осуществляющая мониторинг безопасности и свободы интернета, сбои в работе Сети начались в субботу, 8 февраля, в 11:45 по местному времени (11:15 МСК).

«
«Как показывают данные сети в режиме реального времени, подключение к интернету в стране сократилось до 75% после того, как власти предположительно активировали механизм изоляции "Digital Fortress" (национальный киберщит – ред.)», – сообщила NetBlocks в Twitter.
»

Проблемы с доступом к интернету продолжались несколько часов и затрагивали крупнейших иранских операторов связи. Частично возобновить подключение удалось в течение одного часа после отключения, однако некоторые сети не могли восстановить связь на протяжении семи часов.

2019

Иран отразил вторую кибератаку за неделю

Не прошло и недели с предыдущей кибератаки на Иран, как преступники попытали свои силы снова. Об этом в воскресенье, 15 декабря, сообщил министр информационных и телекоммуникационных технологий Ирана Мохаммад Джавад Азари Джахроми, пишет The New York Times[2].

По словам министра, целью атаки был «шпионаж за правительственной разведкой», однако она была «выявлена и отражена щитом кибербезопасности». Джахроми также добавил, что властям удалось выявить использовавшиеся в атаке серверы и отследить атакующих, но не вдавался в подробности. Кто стоит за атакой, каковы ее масштабы и есть ли пострадавшие, министр не сообщил.

Группировка APT33 создала собственную VPN-сеть

14 ноября 2019 года стало известно, что спонсируемая иранским правительством киберпреступная группировка APT33, также известная как Elfin, MAGNALLIUM или Refined Kitten, создала собственную частную VPN-сеть для подключения к своим C&C-серверам, проведения разведки в сетях будущих целей и просмотра web-страниц. Как сообщают исследователи из компании Trend Micro, группировка APT33 на ноябрь 2019 года является самым технически продвинутым киберпреступным подразделением Ирана.

Группировка считается разработчиком вредоносного ПО для удаления данных с жестких дисков, известного как Shamoon (DistTrack), которое вывело из строя более 35 тыс. рабочих станций компании Saudi Aramco в Саудовской Аравии в 2012 году.

Реклама
Ультралегкие Fujitsu LIFEBOOK для вашего бизнеса

Производительные устройства с высокой степенью защиты данных для комфортной работы как в офисе, так и дома. Ваше рабочее место всегда с вами вместе с мобильными Fujitsu LIFEBOOK

Узнать больше

По словам исследователей, инфраструктура группировки является многослойной и изолированной, позволяя APT33 избегать обнаружения. Эксперты выделили четыре уровня инфраструктуры группировки. Уровень VPN представляет собой специально построенную сеть VPN-узлов для маскировки реального IP-адреса и местоположения оператора. Уровень Bot Controller является промежуточным. Уровень C&C Backend — фактические внутренние серверы, через которые группа управляет своими вредоносными ботнетами. Уровень прокси является набором облачных прокси-серверов, маскирующих C&C-серверы от зараженных хостов.

«
Частную VPN-сеть можно легко настроить, арендовав пару серверов у центров обработки данных по всему миру и используя программное обеспечение с открытым исходным кодом, такое как OpenVPN, — отмечают исследователи.
»

Однако на самом деле собственная VPN-сеть, наоборот, облегчает ее отслеживание. Поскольку APT33 использует исключительно свои выходные узлы VPN, специалистам удалось в течение года отслеживать некоторые узлы (список IP-адресов доступен в таблице ниже).

Помимо подключения к управляющему C&C-серверу, группа использовала VPN-сеть «для разведки в сетях, имеющих отношение к цепочке поставок нефтяной промышленности», а также для доступа к web-сайтам компаний, занимающихся проведением тестирования на проникновение, почтовым сервисам, сайтам, связанными с уязвимостями, и подпольным ресурсам, посвященным криптовалюте. Кроме того, группировка интересовалась сайтами, специализирующимся на подборе сотрудников в нефтегазовой отрасли[3].

США нанесли киберудар по Ирану за пожар на Saudi Aramco

США провели секретную кибероперацию против Ирана в ответ на атаки на нефтяную компанию в Саудовской Аравии, имевшие место в сентябре. Как сообщили в октябре информагентству Reuters два осведомленных источника, Вашингтон и Эль-Рияд обвиняют в атаках 14 сентября иранское правительство[4][5].

По словам источников, пожелавших остаться анонимными, операция проводилась в конце сентября с целью заблокировать Тегерану возможность распространять «пропаганду». Один из источников сообщил, что удар был нанесен по аппаратному обеспечению, но не стал вдаваться в подробности.

Данная операция является более компактной по сравнению с другими кибероперациями, проводимыми в 2019 году правительством США в ответ на сбитый дрон в июне и атаку на нефтяной танкер в мае.

Официальным ответом на атаку дронов была отправка Министерством обороны США в Саудовскую Аравию нескольких тысяч солдат и дополнительного вооружения для укрепления обороны. Комментировать секретную кибероперацию Пентагон отказывается.

Нефтегазовый сектор Ирана готовится к любым видам атак

Министр нефти Ирана Биджан Намдар Зангане приказал энергетическому сектору страны перейти в режим повышенной готовности к угрозам «физических и кибератак», сообщает в сентябре 2019 года информационное агентство Agence France-Presse.

«
«Все компании и предприятия нефтяной промышленности должны быть в полной боевой готовности против физических и киберугроз», — говорится в заявлении.
»

По словам министра, меры предосторожности необходимы из-за американских санкций и «полномасштабной экономической войны», в проведении которой Иран обвиняет США.

Нидерландская разведка помогала американо-израильской кибератаке Stuxnet по Ирану

В течение многих лет загадочная тайна окружала кибератаку Stuxnet, нацеленную на ядерную программу Ирана. Оставалось загадкой, как вредоносная программа Stuxnet смогла попасть на компьютерные системы хорошо защищенного завода по обогащению урана в городе Нетенз[6].

Как сообщили источники в разговоре с Yahoo News, главную роль в этой схеме сыграл шпион, завербованный агентами нидерладской разведки по поручению ЦРУ и израильского разведывательного агентства Моссад. Согласно источникам, иранский инженер подставной компании, завербованный нидерладским разведывательным агентством AIVD, предоставил критически важные данные, которые помогли разработчикам из США внедрить свой код на системы завода. Затем шпион предоставил внутренний доступ для подключения Stuxnet к системам с помощью USB-накопителя.

Тайная операция, известная как Olympic Games («Олимпийские Игры»), была разработана для того, чтобы замедлить развитие ядерной программы Ирана и выиграть время для введения санкций и привлечения страны к переговорам. Операция представляла собой в основном совместную миссию стран США и Израиля, в которой участвовали АНБ, ЦРУ, Моссад, министерство обороны Израиля и израильское национальное подразделение SIGINT (эквивалент израильского АНБ). Согласно источникам, США и Израиль получили помощь от трех других стран, две из которых были Нидерланды и Германия. Третьей, как полагают, могла быть Франция.

США атаковали компьютерные системы Ирана по указу Трампа

Президент США Дональд Трамп одобрил проведение Минобороны страны кибератаки на компьютерные системы Ирана, используемые для управления запуском ракет. В результате система была отключена. Об этом сообщило издание The Washington Post со ссылкой на осведомленные источники в разведслужбах. Подробнее здесь.

Власти Ирана заявили о ликвидации шпионской киберсети ЦРУ

Иранские силы безопасности раскрыли обширную кибершпионскую сеть, которая, предположительно была развернута Центральным разведывательным управлением США, сообщает в июне 2019 года Reuters.

«
«Иранские разведслужбы обнаружили и нейтрализовали одну из наиболее сложных кибершпионских сетей ЦРУ, играющую важную роль в операциях управления в различных странах», - сообщил секретарь Высшего совета национальной безопасности Ирана Али Шамхани[7].
»

Он также добавил, что Тегеран поделился информацией о выявленной структуре с рядом партнеров. В результате были арестованы несколько агентов ЦРУ. Шамхани не раскрыл данные о том, сколько сотрудников ведомства были арестованы и в каких странах.

Иранские кибершпионы атакуют компании в США и Саудовской Аравии

В течение последних трех лет кибершпионская группировка Elfin (другое название APT33), предположительно финансируемая правительством Ирана, активно атакует организации в США и Саудовской Аравии[8].

Как сообщают в марте 2019 года [9] специалисты компании Symantec, жертвами группировки стали представители разных сфер. Помимо правительственного сектора, Elfin также интересуют производственные, инженерные и химические предприятия, исследовательские организации, консалтинговые фирмы, финансовые и телекоммуникационные компании и пр.

За последние три года жертвами Elfin стали 18 организаций в США, в том числе компании из списка Fortune 500. Некоторые из них были атакованы с целью осуществления дальнейших атак на цепочку поставок. В одном случае крупная американская компания и принадлежащая ей фирма на Среднем Востоке стали жертвой Elfin в один и тот же месяц.

Последняя волна атак была зафиксирована в феврале 2019 года. Для их осуществления злоумышленники пытались эксплуатировать известную уязвимость в утилите WinRAR (CVE-2018-20250), позволяющую устанавливать файлы и выполнять код на системе.

Эксплоит попал на компьютеры двух сотрудников атакуемой организации через фишинговое письмо со вложенным вредоносным файлом JobDetails.rar. После его открытия на систему загружался эксплоит для CVE-2018-20250.

Elfin была замечена исследователями в декабре 2018 года в связи с новыми атаками Shamoon. Незадолго до атаки Shamoon одна из компани Саудовской Аравии была заражена вредоносным ПО Stonedrill из арсенала Elfin. Поскольку атаки последовали сразу одна за другой, эксперты предположили, что между ними может быть связь. Тем не менее, на сегодняшний день никаких других свидетельств причастности Elfin к атакам Shamoon обнаружено не было.

Помимо бэкдора Stonedrill, группировка также использует бэкдор Notestuk, открывающий доступ к файлам на атакуемой системе, и кастомизированный бэкдор на языке AutoIt. Наряду с инструментами собственного производства злоумышленники также применяют ПО, купленное на черном рынке, в том числе трояны Remcos, DarkComet, Quasar RAT и пр.

2018

Иран подготовил фундамент для масштабных кибератак на Европу и США

Иранские хакеры подготовили фундамент для осуществления масштабных кибератак на государственную инфраструктуру США и стран Европы, сообщает в июле 2018 года телеканал NBC со ссылкой на ряд американских чиновников[10].

Речь идет о DoS-атаках на электросети, гидроэлектростанции, организации в области здравоохранения и технологические предприятия США, Германии, Великобритании, а также других стран Европы и Ближнего Востока.

По словам собеседников ресурса, хотя Иран и готовится к проведению хакерских атак, в настоящее время нет свидетельств, что они будут осуществлены в ближайшем будущем. Тем не менее, в связи с риском США предпринимают меры по усилению кибербезопасности, а также предупреждают союзников и изучают методы реагирования на киберугрозы. В настоящее время неясно, включают ли рассматриваемые варианты упреждающие кибератаки на Иран.

В свою очередь, пресс-секретарь иранского постоянного представительства при ООН Алиреза Мирусефи заявил, что «Иран не намерен вступать в какую-либо кибервойну с США».

«Честно говоря, с нашей точки зрения, США может использовать собственные подозрения в качестве возможного оправдания кибератаки против Ирана», - подчеркнул пресс-секретарь.

Иранские власти заявили о планах США атаковать Иран в киберпространстве

Как сообщил глава Организации гражданской обороны Ирана генерал-майор Голям Реза Джалали, после заключения ядерного соглашения (так называемого Совместного всеобъемлющего плана действий) США запустили в киберпространстве проекты наподобие Nitro Zeus. Это свидетельствуют о переключении США с реальных атак на кибератаки, подчеркнул генерал-майор[11].

«
«Судя по недавним замечаниям госсекретаря США, они (американские власти – ред.) сохранили свои киберинструменты и в случае необходимости используют их против нас», – приводит слова Джалали иранское издание Mehr.
»

По словам Джалали, из-за компьютеризации страны Иран стал подвержен кибератакам. Наиболее уязвимым является энергетический сектор, отметил генерал-майор.

В марте 2018 года правительство США ввело санкции в отношении девяти граждан Ирана и организации «Институт Мабна». Причиной послужили хакерские атаки, приписываемые им американскими властями. По мнению Вашингтона, киберпреступники осуществляли свою деятельность с 2013 года в интересах «Корпуса стражей исламской революции»[12].

2017

Минюст США связал взлом HBO с Ираном

К концу 2017 году Министерство юстиции США намерено объявить о нескольких уголовных делах против граждан Ирана, среди прочего обвиняемых во взломе телеканала HBO[13].

Как сообщает The Washington Post со ссылкой на осведомленные источники, в прошлом месяце Минюст США поручил прокурорам присмотреться к проводящимся в настоящее время расследованиям против Ирана или его граждан с целью предать дела огласке. По словам источников, указ вызвал обеспокоенность среди сотрудников министерства. Некоторые опасаются, что он может быть связан с новыми санкциями, которые Конгресс США намерен ввести в отношении Ирана. Кроме того, предание дел огласке может существенно затруднить поимку преступников.

Одно из вышеупомянутых расследований касается кибератак на HBO. Американский телеканал подвергся нескольким взломам, и самые серьезные из них были зафиксированы в июле и августе 2017 года. В результате кибератак злоумышленникам удалось похитить у HBO 1,5 ТБ данных, в том числе сценарии еще не вышедших к тому времени эпизодов телесериала «Игра престолов» и электронную переписку руководства телеканала. Целью хакеров был шантаж – они требовали денег, угрожая в противном случае опубликовать похищенные материалы.

Выполнил ли телеканал условия преступников, неизвестно. Однако один из хакеров предоставил свидетельства того, что компания пыталась предложить им деньги в качестве «bug bounty».

Иранские хакеры причастны к кибератаке на британский парламент

Атака на почтовые ящики членов парламента Великобритании, в том числе Терезы Мэй, в июне 2017 года – дело рук иранских хакеров. Об этом сообщает издание The Telegraph со ссылкой на осведомленные источники[14].

Напомним, в конце июня парламент Великобритании подвергся продолжительной кибератаке, длившейся более 12 часов, в ходе которой злоумышленники скомпрометировали порядка 90 учетных записей электронной почты парламентариев. Изначально в атаке были заподозрены «русские» хакеры, однако сейчас британские разведслужбы заключили, что за инцидентом стоит Иран. Это первая значительная кибератака Тегерана на Великобританию, отмечает издание.

В рамках атаки хакеры неоднократно предпринимали попытки определить «слабые» пароли для электронной почты политиков и их помощников. В качестве меры предосторожности IT-специалисты парламента заблокировали внешний доступ к системе, в результате чего британские парламентарии не смогли получить доступ к своим электронным ящикам. В общей сложности злоумышленники скомпрометировали 9 тыс. учетных записей.

Мотивы атакующих неизвестны, но, как полагают эксперты, к кибератаке может быть причастен иранский Корпус стражей Исламской революции (КСИР), использовавший кибероружие для подрыва ядерного договора Ирана с Западом.

2015: Иран ведет скрытую кибервойну против Европы и Израиля

Эксперты из Trend Micro сообщили весной 2015 года о вредоносной кампании Woolen-GoldFish против израильских и европейских организаций, проводимой «государственными» хакерами из группировки Rocket Kitten[15].

По сравнению с предыдущими атаками, в ходе которых злоумышленники распространяли вредоносное ПО GHOLE с помощью вложений Office в фишинговых электронных письмах, нынешняя кампания — гораздо более продумана.

Во-первых, фишинговые письма теперь убедительнее и вызывают меньше подозрений. Во-вторых, вместо вредоносного вложения злоумышленники стали использовать ссылку на файл в Microsoft OneDrive с именем Iran’s Missiles Program.ppt.exe. По словам экспертов, подобная тактика позволяет обойти систему безопасности электронной почты. Исполняемый файл загружает на систему жертвы вариант клавиатурного шпиона CWoolger, «не настолько сложного, как его современники», сообщают эксперты.

В Trend Micro предполагают, что автор кейлоггера, называющий себя Wool3n.H4t, связан с Ираном. Исследователи обнаружили, что пользователю с этим псевдонимом принадлежит неактивный блог в бесплатном иранском сервисе. Кроме того, Wool3n.H4t оказался зарегистрированным на нескольких иранских подпольных хакерских форумах. В блоге опубликованы всего две записи, подписанные Masoud_pk. Эксперты предполагают, что Масуд (одно из 50 наиболее распространенных в Иране имен) может быть настоящим именем разработчика CWoolger.В последнее время многие страны стали уделять особое внимание скрытой войне в Сети. Настораживает только то, что обвиняют в этом друг друга в основном страны, враждующие между собой или имеющие какую-либо напряженность. Неисключено, что это делается для подливания масла в огонь.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




  1. Масштабная DDoS-атака отключила четверть интернета в Иране
  2. Иран отразил вторую кибератаку за неделю
  3. Иранская группировка APT33 создала собственную VPN-сеть
  4. 14 сентября в результате атаки дронов на двух заводах национальной нефтяной компании Саудовской Аравии Saudi Aramco вспыхнул пожар. Саудовская Аравия, США, Великобритания, Германия и Франция обвинили в случившемся Иран. Ответственность за инцидент взяли на себя дружественные Ирану повстанцы-хуситы.
  5. США нанесли киберудар по Ирану за пожар на Saudi Aramco
  6. Нидерландская разведка помогала американо-израильской кибератаке Stuxnet по Ирану
  7. Власти Ирана заявили о ликвидации шпионской киберсети ЦРУ
  8. Иранские кибершпионы атакуют компании в США и Саудовской Аравии
  9. Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S.
  10. Иран подготовил фундамент для масштабных кибератак на Европу и США
  11. Иранские власти заявили о планах США атаковать Иран в киберпространстве
  12. «Корпус стражей исламской революции» – созданное в 1979 году иранское элитное военно-политическое формирование. Принимало активное участие в ирано-иракской войне и в создании организации «Хезболла». Официально является частью вооруженных сил Ирана.
  13. Минюст США связал взлом HBO с Ираном
  14. Иранские хакеры причастны к кибератаке на британский парламент
  15. Иран ведет скрытую кибервойну против Европы и Израиля