Excel-таблицы, тикеты и сплошная рутина. Как на самом деле устроена «бухгалтерия вторжения» иранских хакеров

Утечка четвёртого эпизода, связанного с хакерской группировкой APT35, также известной как Charming Kitten, резко меняет представление об этой структуре. Ранее в трёх выпусках, подробно разобранных исследователем Нариманом Гарибом, внимание сосредотачивалось на внутренней организации группы, включая мужские и женские хакерские команды, а так же примерные зарплаты исполнителей. В последней порции опубликованных данных продолжается эта тенденция: речь идёт о бухгалтерии, управлении инфраструктурой и логистике киберопераций.

Обнародованные файлы демонстрируют, как государственная структура маскируется под неформальную хакерскую группу. Вместо эксплойтов — таблицы Excel с перечнями серверов, учётных данных, платёжных транзакций в криптовалюте и заказов на аренду VPS. В центре этого цикла не креатив, а отчётность. Каждое действие подтверждается тикетом, ценой, датой и номером заказа. Вся система построена по принципу внутренней аудируемости — всё как в обычной государственной организации, только вместо товаров и услуг — инфраструктура для кибершпионажа.

Саморазоблачение APT35 стало результатом собственной небрежности. После утечки операторы не удосужились закрыть доступ к своим серверам, паролям и аккаунтам — в течение недель части инфраструктуры оставались активными. Эта халатность подчёркивает странную двойственность Charming Kitten: на уровне процессов — строгая исполнительность, на уровне безопасности — полное пренебрежение базовыми правилами.

Среди наиболее интересных находок — таблица с платёжными операциями через платформу Cryptomus. Она содержит десятки транзакций с суммами от €12 до €18, проведённых под фиктивными именами через псевдоевропейские аккаунты. Каждому платежу соответствует внутренняя заявка, а вся схема рассчитана на то, чтобы остаться незамеченной для финансового надзора. Отсутствие крупных переводов и однотипность операций создают иллюзию обычных покупок частных пользователей.

Особую ценность представляет связка Charming Kitten и другой иранской киберструктуры — Moses Staff. Долгое время её считали независимым хактивистским объединением, действующим от имени идеологии. Однако данные из четвёртого эпизода показывают, что за организацией стоит всё та же административная машина APT35. В списках доменов и учётных записей всплывает адрес moses-staff.io, а одни и те же ProtonMail-аккаунты фигурируют как в записях Charming Kitten, так и в инфраструктуре Moses Staff.

Оказалось, что утечки израильских компаний, разрушительные атаки и пропагандистские манифесты — результат не радикальной самодеятельности, а спланированных действий, оформленных как рутинные проекты. Отдельные персоны, домены, платежи и серверы ведутся в едином реестре, и каждый шаг фиксируется по стандартному шаблону. Даже такие детали, как единый диапазон цен или повторяющиеся хостинг-провайдеры в Европе, указывают на тщательно отлаженную схему снабжения.

Файлы не только приоткрывают занавес над внутренним устройством операций APT35, но и позволяют проследить, как киберпротивостояние выстраивается по принципу абонентской модели: каждый взлом, фишинг-страница или командный сервер — это результат очередного платежа, заказа, продления услуги. Именно эта «бухгалтерия вторжения» и становится главным открытием четвёртого эпизода.