1% интернета против всего мира. Рассказываем, как иранские хакеры пытаются воевать в условиях почти полной изоляции

Военная операция США и Израиля против Ирана резко обострила ситуацию и в киберпространстве. Через несколько часов после ударов в сети началась волна атак, за которыми стоят десятки хактивистских группировок, а также структуры, связанные с Ираном.

28 февраля США и Израиль начали совместную военную кампанию. Американская сторона назвала операцию Operation Epic Fury, израильская – Operation Roaring Lion. Почти сразу после первых ударов Тегеран запустил ответную кампанию сразу по нескольким направлениям, которая быстро переросла в масштабный региональный конфликт.

Специалисты Unit 42 сообщают о заметном росте кибератак, прежде всего со стороны хактивистов за пределами Ирана. При этом возможности иранских государственных киберподразделений сейчас ограничены. Утром 28 февраля интернет-подключение внутри страны резко сократилось и держится на уровне примерно 1–4% от обычного объёма. Одновременно серьёзно пострадала система управления и командования. В таких условиях сложные и координированные операции проводить гораздо труднее.

Некоторые группы, связанные с иранскими структурами, вероятно, действуют изолированно, без прежней координации. Подразделения за пределами страны получили больше самостоятельности, однако перебои со связью и управлением снижают общий уровень операций.

Группы, поддерживающие Иран, но работающие за пределами региона, сосредоточились на атаках против организаций, которые считают противниками. Основные методы – атаки на отказ в обслуживании, взлом сайтов и публикация похищенных данных. По оценке специалистов, последствия таких операций пока остаются на низком или среднем уровне.

Часть атак направлена против стран, где размещены американские военные базы. Цель – нарушить логистику и создать дополнительное давление. В основном речь идёт о сравнительно простых атаках, включая DDoS и кампании по публикации украденных данных.

Одновременно специалисты зафиксировали активную фишинговую кампанию. Злоумышленники распространяют поддельную версию израильского мобильного приложения RedAlert, которое предупреждает население о ракетных ударах. Жертвы получают SMS-сообщения со ссылкой на загрузку Android-приложения. Вредоносная программа после установки собирает данные и ведёт скрытую слежку за устройством.

Активность хактивистов резко выросла. По состоянию на 2 марта в кампании участвуют около 60 группировок. Одной из наиболее заметных фигур стала хактивистская персона Handala Hack, которую связывают с Министерством разведки и безопасности Ирана. Группа заявила о взломе израильской компании, занимающейся разведкой энергетических ресурсов, а также о вмешательстве в топливные системы Иордании. Перед началом боевых действий Handala Hack также заявляла об атаках на израильскую гражданскую медицинскую инфраструктуру.

Группа APT Iran, известная публикацией украденных данных, сообщила о саботаже объектов критической инфраструктуры в Иордании. Коалиция Cyber Islamic Resistance координирует несколько команд, включая RipperSec и Cyb3rDrag0nzz, и проводит синхронные DDoS-атаки, уничтожение данных и взлом сайтов израильских и западных организаций.

Коллектив Dark Storm Team, известный крупными DDoS-атаками и вымогательскими программами, заявил о нападении на несколько израильских сайтов, включая сайт одного из банков. Группа FAD Team сообщила о несанкционированном доступе к промышленным системам управления SCADA и PLC в Израиле и других странах. Через Telegram-канал участники также заявили о взломе систем управления более чем двух десятков устройств, принадлежащих израильской компании из сферы безопасности.

Группа Evil Markhors занимается кражей учётных данных и поиском неустановленных обновлений безопасности. Участники заявили о попытке атаки на сайт израильского банка. Коллектив Sylhet Gang распространяет пропагандистские сообщения и участвует в DDoS-атаках. Группа утверждает, что атаковала внутренние системы Министерства внутренних дел Саудовской Аравии.

Иракская группа 313 Team заявила о нападениях на сайты вооружённых сил Кувейта, Министерства обороны и правительственного портала страны. Коллектив DieNet сообщил о серии атак на организации Ближнего Востока, включая аэропорты Бахрейна и ОАЭ, а также сайты банков.

Handala Hack также отправила электронные письма с угрозами смерти нескольким иранско-американским и иранско-канадским блогерам. В письмах утверждается, что участники группы передали домашние адреса блогеров «исполнителям» для возможных физических атак. Подобные действия показывают дальнейшее обострение киберкампании против критиков иранского руководства.

Киберпреступники также пытаются заработать на конфликте. В Объединённых Арабских Эмиратах злоумышленники звонят потенциальным жертвам, представляясь сотрудниками Министерства внутренних дел, и просят подтвердить получение национального оповещения. Во время разговора они пытаются выманить номер удостоверения личности Emirates ID.

Группа вымогателей Tarnished Scorpius, также известная как INC Ransomware, добавила в свой сайт с утечками данные израильской компании, выпускающей промышленное оборудование. На странице злоумышленники заменили логотип компании изображением свастики.

Группа хактивистов Cardinal заявила о проникновении в сети Армии обороны Израиля и опубликовала документ, связанный с операцией «Северный щит». В документе указаны перемещения подразделений, согласования командования и контактные данные.

Пострадали также израильские муниципальные структуры, политические организации, телекоммуникационные компании и оборонные объекты. Некоторые группировки сообщали о доступе к системе противоракетной обороны «Железный купол» и заявляли, что получили контроль над радарами и перехватом целей. Подтверждений этому пока нет.

Специалисты Unit 42 считают, что активность иранских государственных кибергрупп может усилиться в ближайшие недели. Такие структуры часто используют кибератаки для политического давления, психологических операций и разрушительных действий. Основные цели – Израиль, региональные государства, а также политики, чиновники и другие значимые фигуры.

По мере развития конфликта атаки могут затронуть цепочки поставок, подрядчиков и критическую инфраструктуру. Ситуация быстро меняется, поэтому организациям рекомендуют уделить внимание базовым мерам безопасности и внимательно отслеживать новые угрозы.