Американские военные эксперты о росте активности Ирана в киберпространстве

Как полагают аналитики Пентагона, поддерживаемые Ираном хакеры будут все чаще осуществлять кибератаки с использованием программ-вымогателей и шифрования, нацеленные на американские и израильские организации, даже,  несмотря на продолжение переговоров по иранской ядерной программе. И если эти переговоры сорвутся, Иран получит стимул для проведения более разрушительных кибератак. Иранский хакер, получивший прозвище DEV-0270, стоял за атакой вымогателей на американскую медиагруппу Cox прошлым летом. Прямые трансляции с теле- и радиостанций Cox прекратились 3 июня, что, как подтвердила компания в октябре, было вызвано атакой вымогателей. Однако об участии Ирана в этом инциденте  до сих пор широко не сообщалось, и это следует за месяцами предупреждений со стороны как Microsoft, так и правительства США о том, что иранские участники угроз все чаще используют вымогателей в своих атаках. «DEV -####» — это временное соглашение об именовании, которое Центр анализа угроз Microsoft (MSTIC) использует для идентификации возникающих кластеров кибер-активности до тех пор, пока не будет достигнута высокая степень уверенности в происхождении или личности субъекта угрозы, прежде чем дать ему постоянное имя, предполагая, что информация о записи DEV-0270 поступила именно от Microsoft. В своем отчете о цифровой защите  за октябрь 2021 года Microsoft сообщила в примечании, что DEV-0270 17 мая скомпрометировал медиагруппу Cox и приписал эту группу Ирану. На CyberWarCon в ноябре исследователи MSTIC заявили, что DEV-0270 был тесно связан с известным иранским исполнителем угроз Phosphorus (также широко известным как APT35 и «Очаровательный котенок»). В последующих публикациях MSTIC сообщил, что с сентября 2020 года он наблюдал за шестью иранскими субъектами угроз, включая Phosphorus, использующими программы-вымогатели в атаках, направленных на дальнейшее достижение стратегических целей Ирана. 17 ноября Агентство по кибербезопасности и инфраструктурной безопасности США (CISA), Федеральное бюро расследований США (ФБР), Австралийский центр кибербезопасности (ACSC) и Национальный центр кибербезопасности Соединенного Королевства (NCSC) опубликовали совместное предупреждение о кибербезопасности, в котором говорится, что неназванный иранский участник угроз развертывал атаки вымогателей против организаций США и Австралии, а также использовал известные уязвимости в ProxyShell Microsoft Exchange и FortiOS американской компании по безопасности Fortinet, чтобы помочь зашифровать файлы с помощью средства шифрования Bitlocker Windows. Хотя в предупреждении не называлась группа, стоящая за этими атаками, инструменты и методы, которые, по словам агентств, использовала группа, согласуются с анализом MSTIC атак с использованием программ-вымогателей.

Вымогатели и другие разрушительные кибератаки, связанные с шифрованием, дают Ирану возможность нанести ответный удар по Соединенным Штатам и Израилю в рамках его асимметричной стратегии национальной безопасности, аналогичной иранским атакам на израильское морское сообщение и ближневосточную энергетическую инфраструктуру. Физические угрозы, которые Иран представляет для интересов США, в основном ограничены локальными атаками, включая удары беспилотников и ракет по силам США в Ираке, а также региональным партнерам США (таким как Израиль, Саудовская Аравия и Бахрейн) и американским организациям на Ближнем Востоке в целом. Способность иранских субъектов киберугрозы нацеливаться на правительственные учреждения и крупные высокопоставленные организации в Соединенных Штатах-это единственный способ, которым Тегеран может напрямую угрожать материковой части США, что делает его привлекательной стратегией. По сравнению с ракетными ударами, которые могут вызвать жертвы среди американских военнослужащих и вызвать ответные силовые ответы, кибератаки на такие организации, как Cox, с меньшей вероятностью приведут к физическому военному ответу США (до тех пор, пока эти кибератаки не разрушат критическую инфраструктуру или не приведут к гибели гражданских лиц). Это дает Ирану большой стимул все чаще проводить вымогательские и фишинговые атаки, а также развертывать вирусы по насильственной очистке баз  данных и краж банковской информации, среди прочих тактик кибервойны. MosesStaff, один из шести иранских участников угроз, которые, по словам MSTIC, осуществляли атаки с использованием программ-вымогателей, даже отказался от требований о выкупе в некоторых своих атаках, направленных против израильских организаций, и использовал шифрование данных, которое происходит при атаке с использованием программ-вымогателей, в качестве разрушительного инструмента. Он открыто заявил, что «разоблачает преступления сионистов на оккупированных территориях». Поскольку разрушение (а не денежная выгода) является конечной целью кибератак Ирана, другие иранские участники угроз могут даже не беспокоиться о выкупах и, если им заплатят выкуп, могут не заботиться о качестве дешифровщиков, которые они предоставляют своим жертвам.

В Пентагоне полагают, что высокий аппетит Ирана к риску при реализации своей асимметричной стратегии национальной безопасности повышает потенциал для разрушительных кибератак против организаций США и союзных  стран Ближнего Востока. Поддерживаемые Ираном атаки БПЛА и ракетные удары по нефтеперерабатывающему заводу Абкайк в Саудовской Аравии — один из важнейших нефтегазовых объектов в мире — в 2019 году продемонстрировал уровень риска, на который Тегеран был готов пойти для достижения своих стратегических целей. Иран также был связан с несколькими нападениями на ближневосточные нефтяные танкеры в последние годы, наряду с несколькими потенциально разрушительными попытками кибератак против Израиля. В апреле 2020 года иранский хакер взломал израильское предприятие по очистке воды и попытался поднять уровень хлора в водоснабжении до опасного уровня, хотя атака была вовремя купирована. Иранские участники угроз также неоднократно применяли в атаках варианты компьютерного вируса Shamoon, нацеленного на организации на Ближнем Востоке, включая атаку 2012 года, в результате которой были стерты данные с более чем 30 000 компьютерных систем, принадлежащих государственному нефтяному гиганту Саудовской Аравии Saudi Aramco.

В Пентагоне делают вывод о том, что если текущие ядерные переговоры провалятся, иранские участники угроз, скорее всего, станут более агрессивными и пойдут на больший риск при проведении разрушительных кибератак. Восьмой раунд ядерных переговоров между Ираном и другими мировыми державами начался 27 декабря, но несколько официальных лиц США уже обвинили Иран в затягивании переговоров при новом консервативном президенте страны Эбрахиме Раиси. Переговоры по-прежнему, скорее всего, приведут к ограниченному соглашению, в котором Соединенные Штаты снимут некоторые санкции с Ирана в обмен на то, что Тегеран свернет свою ядерную деятельность. Но риск срыва переговоров без заключения сделки неуклонно возрастает — особенно если прорывы не будут достигнуты в течение следующих нескольких недель. На фоне активизации деятельности Ирана по ядерному обогащению и установке более совершенных центрифуг официальные лица США и Израиля предупредили, что у переговоров по СВПД могут быть только «недели», а не «месяцы» для достижения прогресса, прежде чем будут предприняты другие действия против Тегерана, которые могут включать усиление скрытой активности против ядерной программы Ирана. Такие действия побудили бы КСИР и Министерство разведки — две организации в Иране, стоящие за его наступательной киберполитикой, — в конечном итоге начать более разрушительные кибератаки, направленные как на Израиль, так и на Соединенные Штаты. Иранские атаки, которые прямо или косвенно нарушают, в частности, важнейшие секторы инфраструктуры США, вполне возможны. Иранские участники угроз вложили значительные средства в разработку возможностей для нацеливания систем промышленного контроля на критически важную инфраструктуру для осуществления своих атак, аналогичных попытке нападения на израильскую станцию очистки воды. Хотя иранские субъекты угрозы, возможно, не столь изощрены, как китайские и российские угрозы национальным государствам, их готовность разрушить критическую инфраструктуру США в настоящее время выше. Китайские и российские хакеры, безусловно, взламывают критическую инфраструктуру США, проводят разведывательную деятельность и готовят вредоносные программы для потенциального использования в будущем. Но по сравнению с Тегераном ни Пекин, ни Москва с такой же вероятностью не разрушат критические части экономики США. Даже атака российских хакеров (которые не были напрямую связаны с Кремлем) в мае 2021 года против базирующейся в Техасе фирмы Colonial Pipeline не имела цель нарушать деятельность трубопровода. Тем не менее, Иран будет рассматривать атаку на Colonial Pipeline как доказательство того, что вымогателям даже не нужно напрямую нацеливаться на промышленные системы управления, чтобы нанести ущерб. Действительно, для Тегерана косвенное принудительное отключение критически важных служб в случае кибератаки, вероятно, будет рассматриваться как положительный внешний эффект, а атаки против правительственных и неправительственных организаций, управляющих критической инфраструктурой, еще более привлекательной опцией действий. Исторически сложилось так, что сети операционных технологий (OT) были отделены от интернета и изолированы от сетей информационных технологий, к которым получают доступ группы вымогателей. Но эта сегментация становится все более размытой, поскольку компании пытаются внедрить автоматизированные системы выставления счетов и использовать интеллектуальные технологии и устройства интернета вещей на производстве и в промышленных приложениях.

Эти выводы американских военных аналитиков выглядят убедительными на фоне продолжения  развития КСИР своих киберподразделений. Поставленный перед необходимостью защиты своих стратегических объектов (израильские атаки через вирус  Stuxnet на ядерный комплекс в Натанзе), КСИР наращивает сейчас свой киберпотенциал. В настоящее время к ним относятся несколько «батальонов» хакеров, в основном набранных из ведущих университетов, включая Университет Имама Хосейна, который находится под прямым контролем КСИР. «Народная киберпространственная сеть Исламской революции»  по сути является электронной армией Ирана. Возглавляемая Резой Саларвандом из киберкомандования КСИР, эта группа теперь выглядит как настоящая третья армия наряду с КСИР и регулярной армией. Она входит в состав Командования киберзащиты Генерального штаба армии, которое само является частью Высшего совета по киберпространству, который возглавляет Голам Реза Солеймани, специалист по ИТ в военизированных добровольческих силах «Басидж». Высший совет по киберпространству (ВСК)  выполняет ряд различных функций, включая саботаж, шпионаж и так называемые психологические операции. Как убеждены американские и французские разведисточники, он получает технологическую помощь непосредственно от Москвы, которая также оказывает помощь формирующейся кибергруппе сирийской армии. В частности, указывается на то, что основанная в Тегеране, компания Lotus Gostar Arya (или Cysec) в настоящее время работает из Казани и продолжает экспортировать через посла РФ в Тегеране Левана Джагаряна свои инструменты кибербезопасности в Иран в интересах «Группы 35» (см. ниже).  Это происходит в период общего расширения сотрудничества между Россией и Ираном по вопросам кибербезопасности  ВСК также активизировал свою поддержку  кибергруппе ливанской «Хизбаллы» которая расширяет  свою деятельность в оплоте организации в южных пригородах Бейрута.

Кибервойска Ирана состоит из небольших специализированных групп, каждая из которых выполняет свою особую роль. «Группа 39» отвечает за взлом компаний, представляющих интерес, особенно в Объединенных Арабских Эмиратах, Саудовской Аравии, Иордании и Израиле. «Группа 35» концентрируется на сборе разведданных об американских личностях и учреждениях, в то время как «Группа 34» работает конкретно по Саудовской Аравии. «Группа 33» нацелена на авиакомпании и региональные и международные органы промышленного регулирования, особенно в Южной Корее. При этом американцы отмечают, что, несмотря на все свои усилия, Иран пока не может купировать в полной мере кибератаки израильского подразделения 8200 которому недавно удалось парализовать 4300 иранских заправочных станций. К тому же вскоре к этой деятельности видимо прибавится и кибергруппа израильской Службы общей безопасности (ШАБАК). Это связывается с недавним назначением на должность главы ШАБАКа Ронена Бара. Ожидается, что новый начальник развернет еще большее количество кибер-разведывательных технологий не только на ЗБРИ и в секторе Газа, но и в рамках купирования иранских кибер-угроз и слежки за арабским населением в самом Израиле.

62.87MB | MySQL:102 | 0,528sec