Пока все внимание мира приковано к тому, чтобы не дать Ирану обрести атомную бомбу, выяснилось, что Тегеран уже обладает не менее опасным оружием для кибервойн. Причем эти возможности заблокировать не удастся. Мансур Пироти, курдский аналитик из Ирака, в недавнем обзоре Центра Бегина – Садата при Бар-Иланском университете исследует, каким образом Тегеран стал одним из центров мирового кибертерроризма.
Процесс начался в 2012 году, когда по указу верховного лидера ИРИ Али Хаменеи был учрежден Высший совет по киберпространству, которому было поручено разработать стратегию в этой сфере деятельности. За три года бюджет Ирана на развитие киберопераций увеличился на 1200%.
За почти десять лет с момента создания Высшего совета по киберпространству Иран провел широкий спектр киберопераций по всему миру. Первоначальной целью атак стали нефтяные компании его соперников в Персидском заливе: саудовская Aramco и катарская RasGas. Уже в 2013 году иранские хакеры двинулись на Запад, в США. Они проникли в систему борьбы с наводнениями в штате Нью-Йорк, потом провели ряд атак на финансовые компании. В 2014 году прокси-серверы, связываемые с иранским режимом, заразили казино Sands в Лас-Вегасе разрушительным программным обеспечением. Но эти атаки были разработаны больше для сбора информации, а не для воздействия на соперников.
Однако уже в 2016 году разрушительный вирус под названием Shamoon поразил несколько саудовских нефтяных организаций и министерств. Shamoon – модифицированная версия известного вируса Stuxnet, который в свое время был направлен против самого Ирана, уничтожала жесткие диски, стирала данные и предотвращала работу компьютеров. В 2017 году вирус атаковал итальянскую нефтяную компанию Saipem, что привело к отключению сотни серверов и персональных компьютеров компании в ОАЭ, Саудовской Аравии, Шотландии и Индии. Аналогичная атака была проведена против национальной нефтяной компании Бахрейна Bapco в 2019 году.
Израиль является ярким примером ситуации, при которой чем более развита страна, тем больше она зависит от технологий – и, как следствие, тем больше потенциал нанесения ей вреда. Возможности Израиля в области высоких технологий и кибербезопасности намного выше, чем у Ирана, но это не предотвратит ответную реакцию Ирана. Иран понимает, что ему трудно атаковать оборонные организации, такие как «Моссад», ШАБАК и военная разведка. Он также знает, что сети критической инфраструктуры Израиля (электричество, водоснабжение, банки и другие) хорошо защищены.
Так выступая на конференции по кибертехнологиям руководитель национального бюро кибербезопасности Игаль Уна, открыл подробности кибератаки на системы водоснабжения Израиля, которая произошла месяц назад. Он не обвинил непосредственно Иран, но сообщил, что за этим стояла «не группа киберпреступников, а государство».
Игаль Уна сказал, что если бы нападение не заметили вовремя и оно оказалось успешным, в разгар пандемии коронавируса в Израиле произошла бы катастрофа, которая задела бы гражданское население. Взлом системы мог привести к нехватке воды. Кроме этого, компьютеры могли бы быть настроены так, что в водопроводную воду попало бы избыточное количество химикатов, которые используются для обеззараживания, например, хлора. Атака была направлена на большое количество компьютеров системы управления, но ее сумели подавить специалисты-кибернетики. Уна назвал произошедшее «знаком новой эры», эры компьютерного терроризма, когда под угрозой находятся системы жизнеобеспечения. В ответ на эту атаку израильские хакеры (хотя Израиль не взял на себя ответственность), парализовали работу иранского порта в Ормузском проливе.
Однако не достигнув здесь успеха Иран атакует уязвимые цели израильской кибербезопасности – гражданское общество. Цель кибератак – расстроить израильтян, напугать их, поколебать их веру в информационные системы и навредить им как потребителям, будь то пациенты «Хиллель Яффе» или пользователи сайта знакомств ЛГБТ.
Так в прошлом году хакеры, отправленные на миссию киберкомандованием КСИР и Министерства разведки Ирана, проникли на серверы израильских компаний, таких как Cyberserve, которая обслуживает веб-сайты. Кибератака произошла на серверы компании Pionet Technologies — разработчика веб-сайтов и информационных систем, что привело к прекращению работы сайтов таких ее клиентов, как крупнейшие больницы Израиля, включая «Рамбам», «Адаса» и «Асута». Помимо больниц, пострадали сайты компаний Budget, Sonol и Apple Idigital.
Как сообщает Уnet, его источники сообщили, что предположение о целенаправленной атаке хакеров подтверждено и, что злоумышленники требуют выкуп в размере около полумиллиона шекелей. Также сообщается, что с ними ведутся переговоры о выплате выкупа за возвращение контроля над компьютерными системами.
Официальные представители больниц, чьи сайты были обрушены, утверждают, что пострадали исключительно их коммерческие сайты по продаже услуг, а утечки баз данных пациентов и их личной информации не было. Также сообщается, что такие крупные клиенты Pionet, как «Хеврат хашмаль» и «Ракевет Исраэль», не пострадали.
Был атакован сайт знакомств ЛГБТ «Атраф», раскрыта информация о десятках тысяч клиентов страховой компании «Ширбит» и туристического агентства «Пегас», а также атакована компьютерная система медицинского центра «Хиллель Яффе» в Хадере.
Национальное управление кибербезопасности не выявляет никаких особенно улучшенных возможностей тех, кто стоит за недавней волной атак. В некоторых случаях даже трудно с уверенностью сказать, что за этими инцидентами действительно стоит Иран.
В то же время группа хакеров Black Shadow начала вбрасывать в интернет информацию с личными данными израильтян, похищенную с сервера компании Cyberserve. Первыми жертвами хакерской атаки стали клиенты автобусной компании «Кавим». Сетевые пираты (связанные, как утверждают, с Ираном) выполнили обещание и опубликовали часть базы данных «Кавим», включая имена, адреса проживания, электронные адреса и номера телефонов. Есть опасность, что за первой порцией частной информации с сайта «Кавим» последует и база данных «Атраф», что будет иметь неприятные последствия для посетителей сайта, часть из которых не афишировала до сих пор свои сексуальные предпочтения.
«Black Shadow – это прозвище группы иранских хакеров, действующих под личиной криминальных преступников. Они пытаются вызвать страх и беспокойство у пострадавших, предлагая выкупить похищенные данные. Они действуют при поддержке Корпуса стражей исламской революции и Министерства разведки Ирана и ставят перед собой цель дезорганизации финансовых структур и сбор разведывательной информации», — прокомментировал происходящее один из создателей Управления по кибербезопасности д-р Харель Менашри.
После многолетней борьбы за власть Нетаньяху удалось вывести команду кибербезопасности из состава ШАБАКа. Национальное управление кибербезопасности в его нынешнем виде было создано в 2018 году и находится в подчинении Министерства главы правительства. Именно эта организация отвечает за защиту гражданского общества, в то время как оборонные и разведывательные организации отвечают за собственную кибербезопасность сами.
Управление возглавляет Игаль Уна, ранее возглавлявший киберподразделение особой группы разведки в ШАБАКе. С момента своего создания управление страдало большой текучестью кадров. Это не его вина, а произошло потому, что госоргану нелегко нанимать экспертов на ежемесячную зарплату в 25 тысяч шекелей, когда частный сектор предлагает им вдвое или втрое большую сумму.
По рекомендации ШАБАКа было решено, что 30 организациям гражданского общества и веб-сайтам будет присвоен статус «критической инфраструктуры». С тех пор их число увеличилось до 40. Для сравнения, в США с населением в 330 млн человек только 70 организаций и сайтов определены как «критическая инфраструктура». Если почти все определяется как критическая инфраструктура, то определение теряет ценность.
Ранее предлагалось определить три уровня важности и оценки риска, ниже высшего уровня «критической инфраструктуры». Согласно этому предложению, во главе рейтинга стояли бы финансовые учреждения и банки, больницы и крупные жизненно важные для экономики компании с десятками тысяч сотрудников в каждой. Второй уровень включал бы важные, но отраслевые компании (например, производителей микросхем), а третий – все остальные компании, вплоть до продуктового магазина на углу и человека на улице.
Это предложение не было принято. Однако в свете нынешней, все еще развивающейся ситуации, его стоит пересмотреть. Хотя Израиль может похвастаться тем, что является страной стартапов, на деле гражданское общество испытывает трудности с принятием и внедрением стандартов, касающихся кибербезопасности.
Национальному управлению кибербезопасности трудно заставить гражданские компании улучшить свои возможности защиты, несмотря на неоднократные предупреждения. Есть компании, которые принимают руководящие принципы, но есть и немало случаев, когда компании не прислушиваются к предупреждениям. Так произошло, например, с сервером «Атраф». Руководство управления утверждает, что сотрудничество с общественностью налажено, и что 73% его советов и предупреждений компаниям принимаются. В то же время Уна считает, что когда речь идет о принятии рекомендаций, необходимо законодательство.
Таким образом, похоже, что настало Израилю время решить, нужна ли ему по-настоящему эффективная защита всего гражданского пространства, или его устраивает гораздо меньшее. Стоит подумать, стоит ли вернуть ответственность за сбор информации о критической и некритической инфраструктуре ШАБАКу. В качестве альтернативы Израиль может принять американскую модель, сократить количество объектов критической инфраструктуры и решить, что в свободном и капиталистической стране ответственность несет частный сектор.
В то же время государственный контролер Матаньяху Энгельман выступил на пресс-конференции в Эйлате и выразил сомнение в том, что Израиль готов к кибератакам хакеров, которых становится все больше. В ответ на вопрос он привел данные Центрального статистического бюро, из которых следует, что только в 2019 году в Израиле было совершено 245 тысяч киберпреступлений. Это не только внешние атаки, но сексуальные домогательства, кражи средств со счетов и тому подобное. При этом, 87% пострадавших вообще не жалуются в полицию.
Он упомянул атаку на израильские сайты 29 октября и появление в сети чувствительной информации, а также взлом компьютерной системы больницы «Гилель Яфе». По его мнению, все это свидетельствует о том, что Израиль к кибератакам не готов.
По материалам израильских СМИ