Госконтракты и наемники: как Иран манипулирует киберпространством Запада

В новом отчёте ИБ-компании Recorded Future представлены доказательства причастности иранских военно-разведывательных структур к кибератакам против западных стран. Данные были получены в результате многолетних утечек и операций доксинга, осуществляемых антиправительственными хакерскими группами и сетями диссидентов.

Отчёт выявил тесные связи между несколькими организациями, связанными с Корпусом стражей исламской революции (КСИР), и компаниями-подрядчиков, занимающимися кибератаками. К основным структурам относятся:

• Организация электронной войны и киберзащиты КСИР (IRGC’s Electronic Warfare and Cyber Defense Organization, IRGC-EWCD);
• Разведывательная организация КСИР (IRGC’s Intelligence Organization, IRGC-IO);
• Организация по защите разведки КСИР (IRGC's Intelligence Protection Organization, IRGC-IPO);
• Группа иностранных операций КСИР или Силы Кудс (RGC's foreign operations group, aka the Quds Force, IRGC-QF).

Согласно отчёту, каждая из указанных организаций тесно связана с определёнными APT-группами. Например, в 2022 году APT-группа Nemesis Kitten (Cobalt Mirage, UNC2448, TunnelVision, Mint Sandstorm) была связана с Разведывательной организацией КСИР.

Анализ утечек показал, что агентства поддерживают длительные отношения с иранскими киберпреступниками. Общественные записи также указывают на постоянно растущую сеть подрядных компаний, связанных через лиц, известных своей работой на различные подразделения КСИР.

В отчёте Recorded Future упоминаются конкретные иранские подрядчики, участвующие в агрессивных кибероперациях, включая компании Ayandeh Sazan Sepehr Aria Company, Sabrin Kish, Soroush Saman Company и другие субъекты, находящиеся под санкциями США. Исследователи также отметили постоянные изменения в структуре иранских подрядчиков, включая частые случаи их расформирования и ребрендинга для сокрытия своих действий.

Кроме того, в отчёте указывается, что через связи с подрядчиками иранские государственные органы принимали прямое или косвенное участие в кибератаках на крупные американские финансовые учреждения, системы промышленного контроля (Industrial Control Systems, ICS) США и других стран, а также в атаках программ-вымогателей против различных отраслей, включая здравоохранение. Отчёт также утверждает, что некоторые из подрядчиков экспортировали свои технологии за рубеж в целях наблюдения и проведения наступательных действий.

На основе анализа утечек исследователи Recorded Future пришли к выводу, что санкции со стороны США, вероятно, являются эффективным средством правового и дипломатического давления, которое затрудняет подрядчикам КСИР уклоняться от обнаружения.