Целенаправленный фишинг для сбора разведывательной информации против точечных целей

В течение полугода до атак 7 октября, Иран занял около 80% всех поддерживаемых правительством активностей по фишингу, направленных на пользователей в Израиле. Группы APT42 (или CALANQUE) и DUSTYCAVE (или UNC4444) играли ключевую роль в этих действиях, нацеленных на национальные, муниципальные и дипломатические структуры, академии, НПО, медиа, технологические компании, аэрокосмическую и оборонную промышленность, а также судоходный сектор. После 7 октября уровень активности по фишингу оставался стабильным, и его цели охватывали учреждения национальной безопасности, дипломатов, бывших военных и НПО, специализирующихся на решении кризисных ситуаций, что является стандартной практикой для иранских хакеров из группировки APT. Эти действия, вероятно, проводились в разведывательных целях в свете текущего конфликта.

Геополитическая активность Ирана: фишинговые атаки APT42 в США и Израиле

В конце октября и ноябре 2023 года наблюдалась активность по фишингу от группы APT42. Эта группировка проявляет интерес к процессам принятия решений в Израиле и США, связанным с текущим конфликтом. В октябре APT42 зарегистрировала новые домены, предположительно, для использования в сборе учетных данных и кампаниях по фишингу. Отдельная операция UNC2448 распространяла POWERPUG, бэкдор (программу закладку) PowerShell, через кампанию по фишингу, выбирая отдельные цели. Атаки направлены на медиа, неправительственные организации (НПО) и политическую деятельность, связанную с высшими инстанциями в США. Домены и исполняемый файл, использованные в операции UNC2448, маскировались под НПО с местонахождением в Саудовской Аравии, специализирующегося на исследованиях иранистики. В ноябре 2023 года APT42 провела активность по фишингу против нескольких пользователей высокого профиля в Израиле и США, включая нынешних и бывших чиновников, дипломатов и лиц, работающих в области отношений между США и Израилем. Эта деятельность, хотя и соответствует обычным операциям группы, привлекает внимание своим фокусом на лиц, вероятно, обладающих информацией о внутреннем мышлении и принятии решений правительств США и Израиля.

Возможное использование ливанской «Хизбаллой» ложных тем конфликта для фишинговых атак

Сразу после серии атак 7 октября, «Хизбалла» (иранская прокси-группировка) начала активные кибероперации напротив Израиля. Группа GREATRIFT, базирующаяся в Ливане и, вероятно, связанная с «Хизбаллой», проявила интерес к израильским аварийно-спасательным службам, эффективно подражая настоящим службам, используя фишинговые уловки. Это свидетельствует о способности группы быстро адаптироваться к текущим событиям. Действуя под видом экстренных служб с целью внедрения вредоносного программного обеспечения, группа может направлять свои усилия на подрыв доверия к общественным учреждениям.

Например, «Хизбалла» создала поддельный веб-сайт поиска пропавших людей, побуждая тем самым посетителей загружать вредоносное приложение, предположительно, предоставляющее уведомления о местонахождении похищенных или пропавших без вести израильтян. Также они создали и использовали другой веб-сайт, он имитировал Медицинский центр Шева в Израиле, с помощью его им удалось распространить вредоносное ПО, злоумышленники манипулировали пользователями тематикой донорства крови. Обе попытки атаки были оперативно пресечены, а веб-платформы добавлены в список заблокированных сайтов, под названием Safe Browsing. В условиях возможного расширения военных действий с участием Ливана, хакерские группировки, связанные с «Хизбаллой», могут вести как заранее спланированные кибератаки, так и резкие, импульсивные.

Кибератаки на Иран, проведенные группой Gonjeshke Darande

10 октября 2023 года в своем Telegram-канале пользователь Gonjeshke Darande («Хищный воробей») разместил сообщение на персидском языке, объявив о своем возвращении, при этом добавив: «Думаете, это страшно? Мы вернулись. Надеемся, вы следите за событиями в секторе Газа». Ранее «Хищный воробей» утверждала свою причастность к нескольким атакам в Иране с октября 2021 года по январь 2023 года через платформы Telegram и X (бывший Twitter).

В декабре 2023 года «Хищный воробей» заявил о новой значительной атаке, сообщив о выключении большинства заправок в Иране. Министр нефти Ирана обвинил Израиль и США в этих атаках, прилагая факты их содействия. В своих сообщениях, признавая ответственность за атаки, «Хищный воробей» заявил: «Эта кибератака — ответ на агрессию Исламской Республики и ее прокси-группировок в регионе». Группа хакеров подчеркнула свою сдержанность, отметив, что их операции направлены на демонстрацию их сил и возможностей, а не на причинение долгосрочного вреда.

Иран предполагает, что за атаками «Хищного воробья» стоят представители Израиля. Однако мы не обладаем достаточными доказательствами для подтверждения этих утверждений, чтобы можно было однозначно сказать, что деятельности «Хищного воробья» связана с правительством Израиля.

Иран столкнулся с серьезными проблемами в функционировании своей критической инфраструктуры в результате действий группировки, которая оправдывала свои действия конфликтом между Израилем и ХАМАСом. Группировка, известная под именем Gonjeshke Darande («Хищный воробей»), взяла на себя всю ответственность за сбои в работе заправочных станций, а также связанных с ними платежных систем по всей территории Ирана. Правительство Ирана же обвиняет во всем Израиль, поскольку считает, что группировка связана с ним.