О противостоянии между США-КСА и Ираном в кибер-пространстве

Недавно опубликованный отчет, подготовленный американской фирмой по кибер-безопасности Symantec, выявил иранскую хакерскую группу, которая, как сообщается, нацелена на ряд правительственных организаций и предприятий в регионе  Ближнего Востока. В отчете Symantec говорится, что группа, получившая название Leafminer, работает с начала 2017 года. Однако его анализ не приводит никаких доказательств  того, что группа непосредственно связана с иранским правительством. Также американцы не сумели прояснить, какие цели конкретно преследует  эта группа  (шпионаж, дезорганизация, и т.п.). При этом отмечается, что основные атаки проводились в отношении целей в Саудовской Аравии, однако группа также атаковали цели и объекты в Египте, Израиле, Ливане, Объединенных Арабских Эмиратах, Бахрейне, Кувейте, Катаре, Афганистане и Азербайджане. Symantec удалось идентифицировать группу после того, как она получила доступ к серверу, который группа оставила открытым. Это грубейшее оперативное нарушение элементарной безопасности, что позволяет оправданно предположить, что хакеры могут быть относительно неопытными. И это обстоятельство дает очень серьезный довод для того, чтобы усомниться в правдивости приведенных обвинений.  Лист целей группы состоит из 809 наименований на фарси  и включает в себя ряд отраслей. До настоящего времени Leafminer уделяла основное внимание целям, связанным с органами исполнительной власти, в финансовом и энергетическом секторах, а также судоходству и транспорту, авиалиниям, телекоммуникациям, безопасности, строительству и пищевой промышленности стран региона.

Отметим, что эта информация «подоспела» очень вовремя, поскольку сейчас именно в США усиливается информационная кампания, в основе которой собственно просматривается только один основной тезис: с учетом выхода США из СВПД одной из основной угроз со стороны Ирана в качестве основной ответной меры будут именно кибер-атаки. Причем эта тенденция ярко обозначилась  еще в мае с.г.  Американские эксперты в области кибер-безопасности ожидают, что Иран усилит хакерскую активность против США после объявления президентом Дональдом Трампом о выходе Вашингтона из ядерного соглашения с Тегераном. Об этом тогда сообщила газета «Нью-Йорк таймс». Как отмечало издание, в течение суток после объявления Трампа эксперты американской фирмы CrowdStrike («Краудстрайк»), специализирующейся на компьютерной безопасности, предупредили своих клиентов, что зафиксировали заметные изменения в кибер-активности, исходящей от Ирана. По информации издания, хакеры, которых в CrowdStrike называют иранскими, начали активно посылать электронные письма с вредоносными кодами на почтовые адреса дипломатов, работающих в правительственных учреждениях стран — союзников США. Также фирма обнаружила, что связанные с Ираном злоумышленники усилили атаки на компьютеры работников ряда телекоммуникационных компаний в попытках взломать их системы. Эксперты выявили и то, что связанные с Тегераном хакеры в последнее время начали выбирать в качестве целей интернет-адреса компьютеров, принадлежащих военным объектам США, расположенным в Европе, отмечает газета. «До сегодняшнего дня Иран действовал сдержанно, — приводит газета слова эксперта по кибербезопасности из Центра стратегических и международных исследований в Вашингтоне Джеймса Льюиса, который ранее работал на правительство США. — После провала сделки [по атому] они непременно зададутся вопросом: «Что нам терять?»». Как подчеркивала «Нью-Йорк таймс», схожего мнения придерживаются около десятка частных компьютерных специалистов, работающих по контракту на власти США, а также ряд сотрудников американских и израильских разведслужб, с которыми удалось побеседовать изданию. То есть, если говорить совсем грубо: то лоббистами в сфере кибер-безопасности США создается нужный фон в рамках попыток увеличить кратно ассигнования со стороны государственных и промышленных контрагентов. Причем в данном случае очень грамотно обрабатывается прежде всего Саудовская Аравия. Советник по вопросам обороны наследного принца КСА Мухаммеда бен Сальмана  Ахмед аль-Хатиб в настоящее время возглавляет  всю работу, связанную с системами и технологиями радиоперехвата и кибер-безопасности королевства. Прежде всего с точки зрения приобретения соответствующих технологий у американских фирм.  Начало этой работе было официально положено во время визита саудовского кронпринца  в Вашингтон 19 марта, где он встретился с высшими начальниками служб безопасности США. А.аль-Хатиб, который сейчас возглавляет всю военную промышленность Саудовской Аравии, был заинтересован в привлечении новых технологий перехвата, или SIGINT, и инструментов кибер-разведки в королевстве. И в этой связи во время этого визита саудовцы принципиально договорились с руководством  ЦРУ и АНБ о начале процесса модернизации их соответствующих смежных отраслей. И соответственно резко оживились в этой связи и основные частные субподрядчики ЦРУ и АНБ, в том числе и в рамках соответствующей информационной и лоббистской кампании. И вот собственно первые практические результаты этого мартовского визита и всей сопутствующей активности. Американская компания IronNet Cybersecurity  во главе с бывшим главой АНБ Кейтом Александром заключила в июле с.г. первый серьезный контракт в этой сфере с Эр-Риядом. Компания была нанята для обучения хакеров в Колледже кибер-безопасности имени принца Мухаммеда бен Сальмана с целью развития государственного и частного секторов кибер-безопасности в Саудовской Аравии. Этот институт был образован в апреле с.г. и входит в  «Саудовскую Федерацию по развитию программ кибер-безопасности и беспилотных летательных аппаратов», которую возглавляет еще один доверенный и ближайший помощник Мухаммеда бен Салмана  Сауд аль-Кахтани. С.аль-Кахтани также возглавляет Центр исследований и средств массовой информации при Королевском суде Саудовской Аравии (CSMARC). Этот орган отвечает за организацию и проведение операций в информационной сфере (прежде всего в рамках организации дезинформационных вбросов в социальные сети и блоги) и кибер-пространстве с помощью внешних хакеров. Помимо этого она имеет очень мощную команду лоббистов в США и странах Европы. Из последних операций можно отметить создание хакерами этого центра ложного информационного сайта, который торговал билетами на последний чемпионат мира по футболу от имени официальных катарских агентств. Применительно к Катару вообще надо отметить, что весь упор в проведении такого рода операций CSMARC сейчас сосредоточен на максимальной дискредитации предстоящего чемпионата мира в Катаре. В этой связи эксперты отмечают, что интерес Саудовской Аравии к кибер-безопасности резко возрос с тех пор, как Дональд Трамп пришел к власти, и  сделка с Ironnet Security стала несомненным итогом мартовского визита крон-принца в США в марте с.г.

Также отметим, что вся индустрия кибер-безопасности КСА в настоящее время монополизирована исключительно в руках Мухаммеда бен Сальмана. Кибер-безопасность и кибер-атаки стали сферой деятельности компаний, которые находятся под пристальным контролем людей из его близкого круга. При этом именно эта сфера в рамках государственного финансирования со стороны различных ключевых министерств является главным приоритетом в рамках новой стратегии кронпринца. Одним из основных органов, который курирует и финансирует эту деятельность, является недавно созданный Директорат государственной безопасности (PSS), который объединяет и курирует все  органы внутренней безопасности Саудовской Аравии. Эта структра сейчас выступает в качестве главного бенефициара по укреплению безопасности компьютерных систем Саудовской Аравии. Согласно ряду данных, недавно американская Technology Control Co. (TCC)  заключила контракт на сотни миллионов долларов в рамках  укрепления потенциала Национального информационного центра (NIC), который раньше подчинялся  Министерству внутренних дел, но теперь переподчинен исключительно PSS.  ТСС ранее уже работала в интересах  ряда ключевых саудовских министерств, в том числе внутренних дел, обороны, транспорта,  спецслужб. Но такого рода масштабных контрактов у этой группы еще не было. Такой «взлет» эксперты связывают  с тем, что эта компания теперь имеет теперь прямой доступ к кронпринцу: несколько бывших менеджеров ТСС, в том числе его бывший руководитель специальных проектов, Абдулазиз А.аль-Шурайми, сейчас входят в круг его ближайших советников  по вопросам кибер-безопасности. TCC имеет партнерские отношения с крупными компьютерными компаниями, включая Cisco, Oracle и IBM, а также с более специализированными фирмами, такими как криптографическое агентство InfoSec Global, которое предоставляет услуги по взлому  шифрованной связи и продаже  шпионского программного обеспечения.

Параллельно, через Государственный инвестиционный фонд (ГИФ), который полностью сейчас контролируется кронпринцем, его доверенные люди недавно приобрели полный контроль над кибернетической компанией Al-Elm Information Security Co, которая ранее активно работала с Министерством внутренних дел во времена Мухаммеда бен Найефа (MБН). До своей отставки и опалы  в прошлом году именно MБН  курировал  все вопросы кибер-разведки королевства. Al Elm была основана его близким советником по вопросам кибер-безопасности Халидом аль-Тавилем, который в течение многих лет также возглавлял NIC МВД. MБН незадолго до своей отставки перевел  Х.аль-Тавиля  в правление Саудовского аудиторского бюро (СИМАХ). Схема, по которой клан Сальмана поставил под свой контроль Al Elm, очень напоминает схему перевода под свой контроль основного субподрядчика Министерства обороны КСА по вопросам  кибер-безопасности Advanced Electronics Co (AEC). Сейчас AEC получает все больше и больше контрактов по линии кибер-безопасности с главными министерствами королевства, а его бывший глава Гасан бен Абдулрахман аль-Шибли на сегодня в ходит в пул основных фигур, которые курируют контракты КСА в области обороны. Еще одна группа, которая сейчас занимает значительную нишу в вопросах контрактов в области кибер-безопасности государственных органов КСА является саудовская структура Qwaed Technologies. Ее возглавляет Зеяд аль-Батталом, сын бывшего главы Генерального директората по техническим вопросам (GDTA). Хотя основным владельцем этой структуры является брат нынешнего министра внутренних дел КСА  Абдель Азиза бен Сауда бен Найефа Мухаммед бен Сауд бен Найеф  теперь все контракты этой фирмы распределяются исключительно через РСС.

Если же мы рассмотрим основные обвинения американских и европейских служб в отношении Ирана в связи хакерскими атаками, то их основной чертой является  факт отсутствия ясных доказательств того, что иранские хакерские группы связаны с правительством ИРИ. По данным американцев, Иран уже давно полагается на кибер-войны как часть асимметричной стратегии, направленной на подрыв своих региональных противников. В качестве доказательства этого тезиса приводится атака иранского вируса «Шамун» на Saudi Aramco в 2012 году, и атака этого же вируса против серверов правительства Саудовской Аравии и систем в энергетическом секторе королевства. Пока более никаких ясных свидетельств иранской активности в этой сфере нет. В этой связи ряд экспертов указывает на то, что поскольку Соединенные Штаты, работая в тесном сотрудничестве с Саудовской Аравией и Израилем, будут только усиливать свое  давление на Иран, подобного рода обвинения могут быть частью информационной кампании по оправданию выхода США из СВПД и оправдания необходимости принятия жестких шагов в отношении Тегерана.

52.72MB | MySQL:104 | 0,438sec