Иранские киберпреступники за последнее десятилетие совершили одни из самых разрушительных кибератак, уничтожив целые компьютерные сети по всему Ближнему Востоку и в США.
Наблюдаемое использование хакерских возможностей Ирана свидетельствует о прагматичных кибероперациях, преследующих три стратегические цели, которые совпадают с геополитическими целями Ирана.
Иран был и остается целью многочисленных кибератак. Этот аспект важен для лучшего понимания иранской киберстратегии, поскольку Иран часто проводит операции возмездия. Истоки проведения Ираном наступательных киберопераций связаны с двумя основными событиями:
Иранские лидеры, вероятно, осознали необходимость наблюдения за Интернетом, особенно за социальными сетями, для поддержания стабильности и осознали потенциал наступательных киберопераций как в качестве цели, так и в качестве инициатора.
Иранские хакерские группы в основном сосредоточены на целях, связанных с иностранным правительством, военными, энергетическими, морскими транспортными и исследовательскими организациями, работающие над вопросами Ирана и Ближнего Востока. Кампании хакеров включают фишинг в качестве начального вектора, шпионаж, дестабилизация и кража конфиденциальной информации. Прибыль для иранских хакеров имеет малый приоритет.
Схема разделения иранских хакерских группировок
В основном все кибератаки Ирана управляются двумя главными спецслужбами, Корпусом стражей исламской революции (КСИР, IRCG) и Министерством разведки и безопасности Ирана (MOIS).
IRCG — это ветвь иранских вооруженных сил, основанная после исламской революции 1979 года в качестве идеологически мотивированной милиции, ответственной за защиту политической системы Исламской Республики. КСИР можно рассматривать как элитный военный корпус с конкретными миссиями, включая наземные, космические и морские силы, а также силы в киберпространстве.
Считается, что под руководством КСИР действуют группировки APT35 (TA453, Mint Sandstorm, Yellow Garuda), Iranian Cyber Army, APT42, Nemesis Kitten (Cobalt Mirage, TunnelVision, UNC2448 и Cotton Sandstorm, NEPTUNIUM) – подкластер Mint Sandstorm.
MOIS — это главная иностранная разведывательная служба. MOIS отвечает как за иностранные операции, так и за внутреннее наблюдение. Миссии службы часто пересекаются с КСИР, с которым отношения конкурентные. MOIS отвечает за разведку и сбор информации в киберпространстве. Если обе структуры нацелены на защиту Ирана, то MOIS считается более техничным и менее идеологизированным, чем лидеры КСИР.
Под управлением MOIS работают группировки APT33 (MuddyWater, APT35, Charming Kitten, Phosphorus), APT34 и APT39.
Стоит отметить, что названия иранских группировок часто пересекаются из-за того, как они идентифицируются и классифицируются различными организациями и исследователями кибербезопасности.
Когда обнаруживается новая группа или кампания, эксперты дают ей уникальное имя, которое отражает какие-то особенности группы или ее действий. Это может быть связано с методами атаки, целями, используемым вредоносным ПО или географией. Однако разные исследователи могут независимо обнаружить одну и ту же группу и дать ей разные названия. Это приводит к тому, что одна и та же группа может быть известна под несколькими названиями.
Кроме того, хакерские группы часто меняют свои тактики, техники и процедуры (TTPs), что может привести к тому, что одна и та же группа будет восприниматься как несколько разных групп. Все это создает сложности в идентификации и отслеживании хакерских групп, включая иранские группы.
Иран проводит кибероперации с целью сбора информации для стратегических целей, в основном соседних государств, в частности геополитических соперников Ирана – Израиль, Саудовская Аравия, Албания и страны Персидского Залива. Внутреннее наблюдение также является важным фокусом для иранских группировок.
Хакеры Ирана мотивированы различными факторами, такими как национальная безопасность, региональное влияние, идеология, религия, месть или выгода. Они также имеют разные цели, в зависимости от их принадлежности, миссии и стратегии. Однако, можно выделить несколько общих направлений, которые характеризуют действия Ирана в киберпространстве:
Хакеры Ирана представляют серьезную угрозу для международного сообщества, особенно для стран Ближнего Востока и Запада. Они способны проводить сложные и разнообразные кибероперации, используя различные векторы атаки и инструменты. Они также могут адаптироваться к изменяющейся ситуации и контрмерам своих противников. Хакеры также могут сотрудничать с другими группировками, чтобы усилить свой эффект или обменяться информацией или ресурсами.
Иранские кибергруппы активно проводят кибератаки, и вот несколько примеров, которые были документированы:
8. Iranian Cyber Army: группа действует с 2009 года и связана с иранским правительством, в частности с КСИР. Участники группировки заявляют свою верность верховному лидеру Ирана. В 2010 году группа провела кибератаку на китайскую поисковую систему Baidu, в результате которой в течение нескольких часов поисковик был недоступен по всему миру.
Все эти атаки показывают, что Иран активно использует киберпространство для достижения своих стратегических целей.
Эксперты заявляют, что киберугроза Ирана, вероятно, продолжит расти в ближайшие годы по мере развития технических и операционных возможностей страны, в то время как Иран находится в геополитической конфронтации с Израилем и западными странами.
Геополитическое противостояние, вероятно, продолжится и против членов Совета сотрудничества арабских государств Персидского залива, включая Саудовскую Аравию, несмотря на нормализацию дипломатических отношений между Эр-Риядом и Тегераном.
Нападения на ближневосточных операторов связи и сектор морского транспорта со стороны MOIS и КСИР соответственно продолжится, вероятно, как часть стратегии предварительного позиционирования в случае открытого конфликта, когда судоходство и телекоммуникации в Персидском заливе будут иметь решающее значение для Ирана.
Сбалансированная диета для серого вещества