О противостоянии США и Ирана в кибернетическом пространстве

Еще в конце марта прошлого года  американская компания Microsoft («Майкрософт») получила контроль над 99 сайтами, которые предположительно использовались иранскими хакерами для осуществления кибер-атак. Согласно опубликованной информации, речь идет об иранской хакерской группировке под названиями Phosphorus («Фосфорус») или APT35 («Эй-пи-ти 35»). О каких-либо ее связях с правительством Ирана тогда было не известно. Сообщается, что хакеры занимались кражей информации у активистов и журналистов в странах Ближнего Востока. В Microsoft, согласно распространенной информации, с 2013 года следили за деятельностью данной организации. Компания подала на нее в американский суд, после чего получила право обретения контроля над используемыми хакерами интернет-сайтами. В январе того же года директор Национальной разведки США Дэниел Коутс на слушаниях в спецкомитете по разведке Сената Конгресса США заявил, что угроза проведения кибершпионажа и хакерских атак на американскую инфраструктуру со стороны Ирана сохраняются. В общем и целом американское разведсообщество, даже несмотря на последние по времени эпизоды с атакой танкеров в Ормузском проливе и запусках беспилотников проиранских мятежников в Йемене против уже чисто саудовских целей, полагает, что основными средствами Тегерана в рамках противодействия американскому санкционному давлению, будет именно кибер-атаки. По их данным, Тегеран, действуя на различных военных и дипломатических фронтах, проводит широкомасштабную кампанию кибер-инфильтрации против министерств и служб безопасности своих соседей от Кабула до Анкары. Эти разведданные  подтверждаются недавними выводами исследователей Trend Micro, которые обнаружили новый вариант вредоносных Powerstats, используемых группой кибер-атак MuddyWater. Согласно их выводам, группа этих хакеров использует очень гибкую тактику. Через неделю после первичного отчета это компании в ноябре 2018 года об использовании хакерами кодировки base52, было обнаружено, что хакеры  изменили свой алфавит с 52 символов до 40, 45 и 48. По  мнению аналитиков, это действие является результатом раскрытия их деятельности и оперативного реагирования на это. При этом, согласно этим выводам,  MuddyWater, похоже, не имеет доступа к «нулевым дням» и расширенным вариантам использования вредоносных программ. Несмотря на это, группе  все же удалось успешно скомпрометировать свои цели за последние два года. Это можно объяснить непрерывной эволюцией их схем. Примечательно, что использование группой электронной почты в качестве вектора инфекции успешно сработало для проведения хакерских атак. Электронная почта таким образом становится главным оружием для проникновения в рамках деятельности этой группы.  В этой связи, согласно рекомендациям американских специалистов, в рамках купирования таких угроз в дальнейшем  помимо использования интеллектуальных решений безопасности электронной почты, организации должны информировать своих сотрудников о способах защиты от угроз в рамка использования электронной почты, чтобы удалить любые дыры в безопасности. При этом американские аналитики сумели проследить след этой группы. MuddyWater  была идентифицирована впервые в 2017 году, ее след был прослежен до Ирана несколькими компаниями кибер-безопасности, включая FireEye, Reaqta  и Clearsky Security. При этом основные атаки были совершены этой группой против правительственных целей в Турции и Иордании. Утечки данных, которые были распространены в последние недели в службе обмена сообщениями Telegram и анонимной сети TOR лицами, утверждающими, что они являются противниками иранского правительства, напрямую связывают MuddyWater с Министерством разведки Ирана, Vaja (Vezarat-e Ettela’at Jomhuri-ye Eslami-ye Iran). В этой связи отметим, что доверять таким источникам сложно, а сами американские официальные структуры хранят по этому поводу молчание.

Тем не менее, согласно ряду более достоверных  источников, с осени прошлого года Тегеран сосредоточил в основном свои кибернетические возможности на проникновении в компьютерные сети афганского правительства. С учетом переноса даты  президентских выборов  на сентябрь 2019 года в рамках обеспечения содействия переговорам американцев с движением «Талибан», КСИР Ирана сосредоточил свои усилия именно на взломе почты правительственных чиновников в Кабуле, и по оценке американских экспертов, иранцы на сегодня   уже имеют  доступ к органам, которые занимаются организацией  выборов. Считается, что хакеры из  MuddyWater  контролируют несколько компьютеров Национальной независимой избирательной комиссии (ННИК), включая компьютеры директоров провинциальных избирательных комиссий. Хакеры использовали несколько методов целенаправленного вторжения, таких как создание электронных документов, имитирующих официальную переписку из офиса президента Афганистана, и отправка вредоносного приложения для Android под названием Afghan election app. Но более проблематичным для правительства Ашрафа Гани и  американских военных, является тот факт, что по данным АНБ США,  хакерам удалось проникнуть в компьютерные сети афганского Министерства внутренних дел, включая компьютеры, ежедневно используемые кабульской полицией. Это кибер-вторжение также затрагивает стратегический национальный полицейский командный центр Афганистана (НПКЦ), который был создан западной военной коалицией для централизации и обработки данных разведки из разных  провинций страны.

Иранские кибер-шпионы также проявляют интерес к операторам мобильной связи Афганистана, чьи сети и базы данных идеально подходят для планирования перехватов. MuddyWater удалось закрепиться на сайтах провайдера доступа к сети интернет «Афган Телеком», который является партнером десятка афганских министерств. Хакеры также нацелились на оператора мобильной связи Roshan, контрольный пакет акций которого принадлежит «Фонду экономического развития Ага Хана» (Akfed) во главе с Ага Ханом IV, духовным лидером исмаилитов, который возглавляет множество благотворительных и деловых предприятий в Афганистане и Иране. Афганская беспроводная связь, возглавляемая американо-афганским бизнесменом Эсаноллой Баятом, также стала объектом атак. Сети, которые этот пионер мобильной связи установил в Афганистане в 1999 году, в свое время сыграли важную роль в программах перехвата АНБ США, которые были использованы для борьбы с «Талибаном». До того, как он попал в этот проект Э.Баят, житель Парамуса, штат Нью-Джерси, занимался продовольственным бизнесом. Его компания «Памир Фудс» владела ресторанами быстрого питания и азиатскими ресторанами, а также заводом по переработке кур. Баят является гражданином США, но родился и вырос в Афганистане—в Вазир Акбар Хане, престижном районе Кабула. Некоторые из ведущих деятелей «Талибана» были среди его друзей детства, и это обстоятельство затем было использовано американской разведкой. Среди близких контактов Баята был Вакиль Ахмед Муттавакиль, министр иностранных дел талибов, который был «вторым человеком по влиянию» в правительстве муллы Омара. Через Муттавакиля Байят установил доверительные  отношения и с самим муллой Омаром. Ни фундаменталистские амбиции талибов, ни убежище, которое талибы предоставили «Аль-Каиде» (запрещена в России), не помешали Баяту регулярно посещать Афганистан и поддерживать с ними контакты. На тот момент между Афганистаном и остальным миром существует всего две стационарные линии связи. Внутри страны,  дисфункциональная система полагалась на операторов, подключающих провода в розетки вручную. Личные отношения Баята с талибами означали, что у него были хорошие шансы получить от них необходимые лицензии (то есть, гарантии безопасности), и он основал компанию, зарегистрированную в Нью-Джерси, Telephone Systems International (T. S. I.) для обеспечения Афганистана беспроводной связью. И он получил практически сразу кредитную линию для реализации этого проекта через  банк Barclays в Лондоне. Баят получил эксклюзивную лицензию от талибов в сентябре 1998 года. В соответствии с условиями контракта он согласился создать Afghan Wireless в качестве совместного предприятия с Министерством связи Афганистана, которое должно было владеть 20-процентной долей. Один из центральных аспектов этой сделки был понятен с самого начала: помимо того, что афганская телефонная компания представляла собой прибыльную деловую возможность, она также рассматривалась в качестве источника потенциально важных разведывательных данных. Это становилось вопросом огромной важности, учитывая растущую  активность «Аль-Каиды» и тренировочные лагеря, которые она содержала в Афганистане. В самом начале этих новых деловых отношений партнеры Баята знали, что он стал источником разведывательной информации  и работал с ФБР. Затем он стал конфиденциальным источником информации  совместной целевой группы Бюро по борьбе с терроризмом в Ньюарке, штат Нью-Джерси. К началу осени 1998 года он встречался с двумя агентами ФБР не реже одного раза в неделю, передавая им все, что ему удалось узнать из контактов в Афганистане. Когда проект создания сотовой связи обрел конечную форму к нему присоединилось АНБ США, которые стали использовать эти возможности для прослушивания в рамках операции «Фоксден». Уже существовала технология перехвата сигналов из Афганистана, передаваемых микроволновыми передатчиками в космосе, но это был случайный процесс, на который влияли такие факторы, как погода и солнечная активность. Встроив дополнительные цепи во все оборудование новой сети, можно было бы гарантировать, что в любое время, когда кто-либо пользовался телефоном в Афганистане, вызов можно было бы отслеживать на «дублирующем обмене» на базе АНБ в Форт-Миде. АНБ фиксировало имя абонента и номер вызываемого абонента, и звонок записывался в цифровом виде или, при желании, прослушивался американскими разведчиками в реальном времени. В последующие месяцы компании удалось повторно активировать международный телефонный код Афганистана +93 и установить спутниковые антенны в Кабуле и Кандагаре. Были также создал первые компьютеризированные телефонные станции в этих городах. В июне 1999 года талибы подписали контракт, гарантирующий Афганской беспроводной связи монополию на «все аспекты» мобильного трафика в Афганистане в течение 15 лет. Отметим один нюанс. Операция «Фоксден» неожиданно столкнулась с серьезной проблемой. 4 июля 1999 года президент Клинтон подписал указ 13129, запрещающий гражданам США вести бизнес с талибами и вводящий ряд торговых санкций против режима «Талибана». При поддержке своих кураторов из ФБР Баяту удалось не только добиться тогда особого исключения  из этого закона, но и добиться освобождения от контроля  Управления по контролю за иностранными активами в Вашингтоне, являющегося подразделением Министерства финансов.  Одновременно АНБ добилось права внести прямые американские инвестиции в этот проект  на уровне около  30 млн долларов. Это решение, которое не могло быть принято без одобрения высшего руководства агентства. Интересно, что с помощью этой связи Баят по просьбе АНБ установил секретный телекоммуникационный дипломатический канал связи между администрацией и талибами с целью добиться отмены санкций в обмен на изгнание Усамы бен Ладена из Афганистана. С американской стороны контактором тогда выступал  Дэвид Уолтерс, бывший губернатор-демократ Оклахомы и доверенная связь  советника Клинтона по национальной безопасности Сэнди Бергер. Так что американцы чувствуют себя в Афганистане с точки зрения кибер-разведки, как у себя дома, уже давно.

Что же касается иранцев, то американцы убеждены, что в Тегеране китайские эксперты из спецгруппы по организации  кибер-атак разработали индивидуальные алгоритмы действий  для взлома серверов каждой целевой организации в Афганистане, создавая ложные документы с логотипами министерств или международных организаций. Взяв под контроль компьютеры чиновников или сотрудников, хакеры продолжили свое продвижение в целевых сетях, используя свои законные электронные письма для отправки вредоносных файлов. Этот метод позволил MuddyWater достичь нескольких стратегических целей в Турции, в том числе взломать компьютеры высокопоставленных чиновников из Департамента по европейским делам Министерства иностранных дел Турции. Компания также проникла в Департамент по делам религий Диянет, которое ведет переписку конфиденциального характера  с турецкой диаспорой за рубежом в рамках новой политик неоосманизма Р.Т.Эрдогана. Также были взломаны таким образом  сервера  низкобюджетной авиакомпании Pegasus Airlines, базирующаяся в Стамбуле, и национальная нефтяная компания Botas. В конце прошлого года иранские хакеры  начали проникновение в ключевые сети Ливана,  включая министерства экономики и промышленности, а также мобильные операторы Touch и Alfa.

Еще одной целью иранских хакеров является сервера подразделений ООН. Особенно тех, которые специализируются на отслеживании нарушения прав человека. Тегеран внимательно следит за инстанциями ООН, расследующими эти вопросы. В этой связи американцы указывают, что им удалось взломать компьютеры и получить доступ к переписке  нескольких должностных лиц Управления Верховного комиссара ООН по правам человека (УВКПЧ).   Также был взломан компьютер судьи Международного уголовного суда (МУС), который вынес  вынес решение в пользу Тегерана в прошлом году, когда Вашингтон вновь ввел санкции против Ирана после своего выхода из СВПД.

44.74MB | MySQL:115 | 1,083sec