Реклама. 16+, ООО «ФИШМАН», ИНН 9715266823
Image

Форум SocioTech 2026

Камерное пространство для честного и культурного диалога ИБ и бизнеса — без типовых докладов, рекламы и воды.
1 апреля 2026, 13:00, «Куб», Москва
Регистрация

Друг прислал странную ссылку в Telegram? Увы, это больше не ваш друг

leer en español

ФБР Telegram Handala Homeland Justice MOIS Иран разведка вредоносное ПО кибершпионаж
Друг прислал странную ссылку в Telegram? Увы, это больше не ваш друг
ФБР Telegram Handala Homeland Justice MOIS Иран разведка вредоносное ПО кибершпионаж

Иранские спецслужбы научились тайно читать чужие переписки и слушать звонки.

image

Федеральное бюро расследований США раскрыло подробности киберкампании, за которой стоят структуры иранского Министерства разведки и безопасности (MOIS). Атаки ведутся не напрямую, а через привычные инструменты — злоумышленники превратили Telegram в канал управления вредоносным ПО и используют его для слежки и кражи данных у выбранных целей по всему миру.

По данным ФБР, операции начались как минимум осенью 2023 года и в первую очередь затронули иранских диссидентов, журналистов и участников организаций, чьи взгляды расходятся с позицией властей Ирана. При этом инструменты позволяют атаковать практически любого человека, попавшего в поле зрения спецслужб. Основой кампании стал многоступенчатый вредоносный код для Windows, который после заражения даёт удалённый доступ к устройству.

Злоумышленники действуют через социальную инженерию. Они выходят на контакт в мессенджерах, выдают себя за знакомых или сотрудников техподдержки и убеждают скачать и запустить файл. Вредоносные программы маскируются под популярные сервисы вроде KeePass, WhatsApp или Telegram. После запуска система незаметно подключается к управляющему боту в Telegram, через который идёт дальнейшее управление и сбор информации.

Вторая стадия закрепляется в системе и обеспечивает постоянный доступ. С её помощью операторы могут записывать экран и звук, копировать файлы, архивировать данные с паролем и передавать их операторам через Telegram. В отдельных случаях вредоносные модули активировались во время звонков в Zoom, фиксируя разговоры и происходящее на экране.

Отдельное внимание ФБР уделяет группе Handala, которая летом 2025 года заявила о серии атак с публикацией украденных данных. Часть этих материалов, по оценке ведомства, добыли с помощью описанного вредоносного ПО. Группу связывают с другим проектом — Homeland Justice, который также действует в интересах иранских спецслужб.

Тактика сочетает технические атаки и информационное давление. Украденные данные могут изменять или публиковать выборочно через подконтрольные каналы, усиливая репутационный ущерб для жертв. Использование вредоносного ПО на базе Telegram в качестве управляющей инфраструктуры позволяет скрывать активность среди легитимного трафика и усложняет обнаружение.

ФБР призывает внимательнее относиться к файлам и сообщениям даже от знакомых контактов, регулярно обновлять системы и использовать антивирусную защиту. Дополнительный уровень безопасности дают уникальные пароли и двухфакторная аутентификация.