Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Тройная порция шантажа под соусом анонимности. Как одна банда притворяется сразу тремя разными группировками

leer en español

DomainTools Handala Homeland Justice Karma Иран кибератаки Telegram
Тройная порция шантажа под соусом анонимности. Как одна банда притворяется сразу тремя разными группировками
DomainTools Handala Homeland Justice Karma Иран кибератаки Telegram

Идеальный рецепт, как превратить даже мелкую кражу в событие мирового масштаба.

image

Кибератаки всё чаще выходят за пределы привычного сценария, где главную роль играют вредоносные программы и уязвимости. Новое исследование показывает, что сегодня эффект от взлома нередко создаётся не столько техническими средствами, сколько грамотной работой с информационной повесткой и общественным вниманием.

Аналитики DomainTools пришли к выводу, что группы Homeland Justice, Karma и Handala не являются разрозненными объединениями. Речь идёт о единой экосистеме, связанной с Министерством разведки и безопасности Ирана. Разные названия выступают лишь как маски, которые позволяют гибко менять риторику, цели и уровень ответственности, сохраняя при этом общую инфраструктуру и методы работы.

Кампания начала проявляться в 2022 году на фоне атак против Албании. Уже тогда сформировалась модель, в которой взлом служил лишь первым этапом. После получения доступа злоумышленники выгружали данные, нарушали работу систем и почти сразу публиковали информацию в открытых источниках, усиливая эффект через медиа и социальные сети. Со временем подход усложнился: к базовым методам добавились инструменты наблюдения и каналы управления через Telegram.

Отдельное внимание специалисты уделяют тому, как меняется сама логика атак. В новых операциях взлом, слежка, утечка и информационное давление происходят одновременно. Примером стала атака на Stryker, где злоумышленники совмещали доступ к данным с управлением корпоративной инфраструктурой и параллельным распространением заявлений в публичном пространстве.

Telegram занял центральное место в этой схеме. Платформа используется как для управления заражёнными системами, так и для распространения сообщений и публикации украденных данных. За счёт этого снижается зависимость от собственной инфраструктуры и повышается устойчивость операций.

При этом реальные технические результаты атак часто уступают тому эффекту, который создаётся вокруг них. Многие заявления остаются частично подтверждёнными или вовсе не подтверждаются, однако уже сам факт публикации заставляет организации реагировать, а медиа — активно освещать инциденты. В результате даже ограниченный доступ к аккаунту или небольшой объём данных превращается в событие с серьёзными репутационными последствиями.

Авторы отчёта подчёркивают, что злоумышленники редко используют сложные уязвимости. Чаще применяются подбор паролей, фишинг или эксплуатация слабых настроек доступа. Ключевое отличие заключается не в способе проникновения, а в том, как полученные данные превращаются в информационный инструмент давления.

Такая модель показывает сдвиг в развитии киберопераций. Техническая часть остаётся важной, но решающую роль играет умение управлять вниманием и формировать восприятие происходящего. В новых условиях даже небольшая утечка способна стать масштабным инцидентом, если её грамотно встроить в информационную повестку.