В каждом конфликте кибератаки становятся важным инструментом, оказывая воздействие на тех, кто непосредственно является частью военных действий, а также даже на тех, кто далек от них. Представленные операции служат примером того, как киберпространство может быть использовано для воздействия на регион, даже когда они не используются в качестве поддержки для армии в случае реального физического столкновения.
Кибервозможности могут быть мгновенно задействованы с минимальными затратами группировками, стремящимися избегать прямых военных действий. Эти инструменты предоставляют соперникам на Ближнем Востоке возможность оперативно собирать информацию и нарушать повседневную жизнь, не прибегая к прямым боевым столкновениям. Они также могут использовать атаки в киберпространстве для передачи своих намерений и сообщений и для прямого воздействия на восприятие конфликта, не при этом участвуя в боевых столкновениях. Такой подход ограничивает возможные негативные последствия и предоставляет региональным акторами средство демонстрации власти через киберпространство. Отмечено, что извлеченные уроки из подобных ситуаций могут быть полезными в периоды глобальной неопределенности, когда требуются совместные усилия для обеспечения безопасности и надежности.
Хакерские группировки, поддерживаемые Ираном, обычно быстро адаптируются и находят новые лазейки в ответ на защитные меры. Стоит полагать, что они продолжат свои попытки разработки и распространения вредоносного ПО на мобильные телефоны в будущем.
Перспективы развития
С высокой степенью уверенности можно прогнозировать, что группы, связанные с Ираном, вряд ли прекратят проведение разрушительных кибератак, особенно при обострении конфликта, что может включать живую активность против иранских прокси-групп в различных странах, таких как Ливан и Йемен.
Можно утверждать, что hack-and-leak (взламывай и сливай) и иные формы информационных кибератак остаются ключевым компонентом усилий этих и смежных им группировок, которые представляют серьезную угрозу. Они стремятся продемонстрировать свои намерения, и способности в течение текущего военного конфликта, как своим противникам, так и другим аудиториям, на которые они стремятся повлиять.
ХАМАС осознанно отказался от использования киберопераций в тактической поддержке атаки 7 октября. Не произошло никаких изменений и в формате кибератак перед началом конфликта, вообще большинство выявленных киберопераций в предшествующие месяцы были в первую очередь нацелены на палестинскую аудиторию, а также на реализацию различных региональных задач на Ближнем Востоке, все это соответствует обычной активности данных группировок. Вероятно, это обусловлено тем, что риски операционной безопасности от кибероперации превышали оцененные потенциальные выгоды.
Хотя перспективы будущих киберопераций, проводимых акторами, которые напрямую связаны с ХАМАСом остаются неопределёнными, в ближайшей перспективе, предполагается, что киберактивность ХАМАСа, в конечном итоге, возобновится с акцентом на сбор информации по внутренним делам Палестины, Израиля, США и других региональных участников на Ближнем Востоке.
Конфликт между Израилем и ХАМАСом значительно отличается от других конфликтов. В Израиле не было всплеска киберактивности против израильских учреждений и общественности перед началом военного конфликта. Кроме того, не выявлено признаков того, что киберактивность изначально рассматривалась, как компонент боевых операций ХАМАСа.
Выводы
Таким образом, анализ киберактивности до и после начала войны между Израилем и ХАМАСом 7 октября 2023 года и рассмотрение конкретных примеров применения враждующими сторонами инструментов IT позволяет сделать следующие выводы:
- Иран активно использовал кибератаки для сбора информации и создания помех в информационном пространстве еще до военного конфликта, однако после начала войны ничего не изменилось и Иран продолжает данную вредоносную деятельность. Подрывные операции были направлены на Израиль, Иран уже давно проводит кибератаки против чрезвычайно важных израильских организаций, но в последнее время также участились атаки и на американские жизненно важные объекты инфраструктуры. Шпионские операции Ирана были направлены на Израиль и США, но также, аналогичным образом, затрагивали и другие страны региона.
- Связанные с ХАМАСом группировки были активны до сентября 2023 года, с заметным ростом активности лишь к 7 октября. Активность до начала конфликта включала массовые фишинговые кампании в Палестине и соседних странах, а также атаки на израильские организации при помощи различных технологических «кибер возможностей».
- Иранские жизненно важные объекты инфраструктуры стали целью разрушительных атак, которые позднее были приписаны хакерам «Гонжешке даранде» («Хищный воробей»). Атака на заправочные станции последовала за публичными предупреждениями от этого же актора, которые Иран приписал Израилю. «Гонжешке даранде» был связан с предыдущими кибернападениями на Иран.
Приложение:
История Иранских кибератак
2012
– атака вредоносного ПО SHAMOON на саудовские нефтяные предприятия.
2014
– атака вируса-стиральщика на казино Las Vegas Sands.
2016
– атаки с использованием SHAMOON 2 против промышленных организаций в Саудовской Аравии, ОАЭ, (возможно) Европе (2016–2018).
2019
– Вирусы-стиральщики ZEROCLEAR и DUSTMAN, нацеленные на организации и учреждения многих стран Ближнего Востока.
2020
– вирусы-вымогатели THANOS и APOSTEL, цель — учреждения и организации стран Ближнего Востока и в Северной Африки (2020–2021).
2022
– разрушительная атака ROADSWEEP / ZEROCLEAR против албанских учреждений (август).
2023
– вирус-вымогатель DARKBIT, цель — один из израильских университетов (февраль);
– атака вируса-стиральщика BiBi против израильских учреждений (октябрь);
– разрушительная кибер атака вируса-стиральщика COOLWIPE / CHILLWIPE против израильских учреждений (декабрь);
– деятельность вируса LOWERASER, нарушающая работу компьютера, цель – албанские учреждения (декабрь).