Посмотреть на взрывы в прямом эфире. Иранские спецслужбы взломали израильские уличные камеры

Иранская хакерская группировка Seedworm проникла в сети нескольких американских организаций и закрепилась там ещё до начала военного обострения на Ближнем Востоке. В последние недели подозрительную активность специалисты Symantec заметили в инфраструктуре банка США, аэропорта, некоммерческих организаций и израильского подразделения американской компании-разработчика программного обеспечения.

Атаки начались в феврале 2026 года и продолжаются до сих пор. По данным специалистов по анализу угроз, в инфраструктуре некоторых компаний обнаружили ранее неизвестный бэкдор, получивший название Dindoor. Вредоносная программа использует среду выполнения Deno для запуска кода на JavaScript и TypeScript. Подпись файла оформлена цифровым сертификатом на имя Amy Cherne.

Dindoor нашли в сети израильского подразделения американского разработчика программного обеспечения, который работает с оборонной и аэрокосмической отраслью. Тот же бэкдор обнаружили в сети банка США и канадской некоммерческой организации. В инфраструктуре компании также зафиксировали попытку вывода данных через программу Rclone в облачное хранилище Wasabi. Удалось ли злоумышленникам вывести информацию, пока неизвестно.

В сетях аэропорта США и одной из некоммерческих организаций обнаружили другой бэкдор под названием Fakeset, написанный на Python. Вредоносная программа подписана сертификатами Amy Cherne и Donald Gay. Сертификат Donald Gay ранее использовали для подписи вредоносного кода, связанного с Seedworm. Загрузка бэкдора происходила с серверов облачного сервиса Backblaze.

Тот же сертификат Donald Gay встречается и в образцах вредоносной программы Stagecomp. Данный загрузчик устанавливает другой бэкдор, известный как Darkcomp. Разработчики средств защиты ранее связывали обе программы с группировкой Seedworm. Совпадение сертификатов указывает на участие той же группировки и в нынешних атаках.

Seedworm действует как минимум с 2017 года. Агентство по кибербезопасности и защите инфраструктуры США считает группировку подразделением Министерства разведки и национальной безопасности Ирана. Ранние операции Seedworm были сосредоточены на странах Ближнего Востока, однако позже атаки затронули телекоммуникационные компании, оборонную отрасль, органы местной власти и энергетический сектор в Азии, Африке, Европе и Северной Америке. Группировка разрабатывает собственные вредоносные программы и активно использует легальные административные инструменты, уже присутствующие в системах жертв.

Ситуация вызывает особую тревогу на фоне резкого обострения конфликта на Ближнем Востоке. В конце февраля США и Израиль провели совместную воздушную операцию против Ирана. В результате ударов погиб верховный лидер страны аятолла Али Хаменеи и несколько высокопоставленных чиновников. После этого Иран нанёс ответные удары беспилотниками и баллистическими ракетами по целям в регионе.

На фоне военного противостояния повышается риск кибератак. Британский Национальный центр кибербезопасности предупредил, что иранские государственные структуры и связанные с ними хакеры сохраняют возможности для проведения киберопераций. Активность могут проявить и группы, позиционирующие себя как «хактивисты».

Одной из таких групп считается Handala, действующая как минимум с 2024 года. Участники атакуют израильские организации и компании, поддерживающие Израиль. В арсенале Handala фишинговые атаки, вымогательское программное обеспечение, кража данных и разрушительные вредоносные программы. Похищенные данные группировка публикует на собственном сайте утечек. В марте 2026 года Handala заявила о взломе энергетических компаний Sharjah National Oil Corporation и Israel Opportunity Energy и похищении более 1,3 ТБ документов. Часть заявлений может оказаться преувеличением и служить инструментом давления и информационной войны.

Seedworm также активно применяет фишинг для разведывательных операций. Осенью 2025 года участники группировки рассылали вредоносные письма от имени аналитика Suzanne Maloney из вашингтонского аналитического центра Brookings Institution. Письма содержали ссылку на загрузку инструмента удалённого доступа. Целью атак стала кража учётных данных и длительное присутствие в инфраструктуре международных организаций.

Другие иранские группировки действуют не менее активно. Например, Marshtreader сканировала в Израиле уязвимые сетевые камеры, вероятно пытаясь получить изображение стратегических объектов в реальном времени. Такой доступ помогает оценивать последствия ракетных и авиационных ударов.

Параллельно появляются новые «хактивистские» проекты. Группа DieNet, возникшая в 2025 году, проводит массовые DDoS-атаки на сайты и инфраструктуру США. Под удары уже попадали организации энергетического, финансового, медицинского и транспортного сектора.

По оценкам специалистов, ближайшие месяцы могут принести новую волну кибератак. Наиболее вероятные сценарии включают мощные DDoS-атаки, взлом сайтов, публикацию украденных данных и операции по краже учётных данных. Под ударом могут оказаться государственные структуры, транспорт, энергетика, телекоммуникации, банки и оборонные подрядчики.

Отдельную угрозу представляют разрушительные атаки. Иран уже демонстрировал подобные возможности. Один из самых известных примеров – вредоносная программа Shamoon, которая уничтожила тысячи компьютеров в нефтяной отрасли Саудовской Аравии.

История киберконфликта в регионе насчитывает более десяти лет. Одним из первых крупных инцидентов стал червь Stuxnet, обнаруженный в 2010 году. Вредоносная программа вывела из строя центрифуги на ядерном объекте в Натанзе, где Иран обогащал уран. Тогда впервые стало ясно, что кибератака способна физически разрушать промышленное оборудование.

Нынешнее противостояние может привести к новым подобным операциям. Часть атак происходит незаметно и становится известной лишь спустя месяцы или годы. Поэтому реальный масштаб киберопераций вокруг текущего конфликта может оказаться гораздо больше того, что известно сегодня.