Бывший руководитель Управления по персоналу администрации США Кэтрин Арчулета отмечает, что сложно вести борьбу против деятелей, которые формально не связаны друг с другом. А иранская система кибербезопасности большей частью состоит именно из таких частных лиц. По ее мнению, логика иранской «киберэкосистемы» соответствует принципу «оркестровки», описанному Кеннетом Эбботтом, когда внутренние субъекты участвуют в достижении государственных целей. В Иране похожий подход объявили «доктриной мозаики», которая действует с 1990 года. За 32 года многие иранские государственные учреждения прошли децентрализацию и от этого стали гибкими и устойчивыми к внешним воздействиям. Тегерану важно, чтобы инструменты кибервойны не были сосредоточены в одних руках, иначе их держатель сможет направить оружие против самого Ирана. «Доктрина мозаики» выглядит более эффективной, чем политика арабских стран Персидского залива. В них власть не допускает распространения киберинструментов среди населения (такой путь может дестабилизировать обстановку), а вместо того создает мощную государственную организацию. Иран в вопросе распространения технологий больше полагается на граждан и бизнес[i].

Неоднородное иранское интернет-сообщество, тем не менее, имеет вполне определенную иерархию. В 2012 году верховный лидер ИРИ аятолла Али Хаменеи создал Верховный совет киберпространства – орган, призванный объединить задачи внутренней и внешней киберстратегии. Совет возглавляет президент Ирана, в организацию входят также главы различных агентств, парламента, КСИР, министерства культуры, коммуникации и информации, полиции, судебных учреждений. Совет формирует общее направление деятельности для всех киберсоединений. Исполнителей можно разделить на две категории: тех, кто отвечает за безопасность страны, и тех, кто осуществляет кибератаки[ii].

Оборонительные структуры главным образом находятся под контролем Организации пассивной обороны (ОПО) (National Passive Defense organization, NPDO) Ирана, созданной в 2003 году. Ведомство напрямую подчиняется Генштабу ВС ИРИ и отвечает за гражданскую оборону, элементы ПВО и борьбу против иностранной пропаганды в интернете. С 2018 года в ОПО действует компьютерная группа быстрого реагирования на чрезвычайные ситуации. А в 2011 году было сформировано специальное подразделение – киберполиция FATA. В ее обязанности входят борьба с интернет-мошенничеством и кражей данных, противодействие распространению порнографии, мониторинг социальных сетей, интернет-трафика и контента пользователей[iii].

Атакующие структуры Ирана состоят из государственных учреждений, иностранных прокси-соединений и частых лиц. У всех субъектов разный уровень подготовки, и каждый играет свою конкретную роль в сообществе хакеров. Самым мощным исполнителем называют киберотделение КСИР, организацию «Джангал» (Тhe Jangal organization). По данным Национального совета сопротивления Ирана, штаб-квартира подразделения находится в Аммаре, других официальных сведений нет. Но западные исследователи утверждают, что именно «Джангал» курирует наиболее известные группы хакеров, в том числе Электронную армию Ирана. Доказательств этой связи никто не приводит, зато цитируют свидетельство бывшего члена КСИР Мохсена Сазегары о том, что Корпус платит хакерам до 10 тыс. долл. США в месяц[iv].

Свою роль в информационной войне играет Силы сопротивления «Басидж» (Basij). Они отвечают за социальные сети: мониторинг и распространение информации. «Басидж» редко связывают с серьезными кибератаками, зато организация массово обучает иранцев базовым приемам ведения сетевой войны. Специализированные центры находятся в 31 провинции Ирана[v].

Вторая категория атакующих субъектов в иранском киберпространстве – это объединение «Расширенные постоянные угрозы» (Advanced Permanent Threats, APT), в которое входит неопределенное число хакеров разного уровня. Отследить связь негосударственных объединений хакеров с правительством или спецслужбами практически невозможно. Обычно ее констатируют, когда кибератака приводит к хищению данных или причиняет урон противнику, но не приносит прямой выгоды хакеру. Предполагается, что тот, кто взламывает чужие сервера, не пытаясь украсть деньги, получает их от государства. Так же сложно определить состав хакерских групп. Они часто создаются ради одной операции, а потом навсегда исчезают. Мир знает эти атаки и объединения по кодовым именам, присвоенным им западными спецслужбами. Но иногда специалисты из США и Израиля отслеживают перемещения одних и тех же хакеров из групп в группы. Исполнителями кибератак часто оказываются сотрудники иранских IТ компаний или студенты технических вузов. Группы имеют специализацию: одни проводят внешние операции, наносят ущерб другим странам, другие решают внутренние задачи ИРИ[vi].

Самым известным объединением считается Иранская киберармия (Iranian Cyber Army). На западе предполагают, что она сформирована в период между 2005 и 2009 годами и работает под руководством КСИР. Главные удары Иранской киберармии были нанесены по американской социальной сети Twitter, китайской компании Baidu и радиостанции «Голос Америки»[vii].

[i] https://cyber.gc.ca/en/news-events/joint-cyber-security-advisory-iranian-islamic-revolutionary-guard-corps-affiliated-cyber-actors-exploiting-vulnerabilities-data-extortion-and-ransom-operations

[ii] https://twitter.com/irancybernews

[iii] https://www.bbc.com/news/technology-62072480

[iv] https://theconversation.com/following-the-developing-iranian-cyberthreat-85162

[v] https://www.haaretz.com/israel-news/security-aviation/2022-12-08/ty-article/.premium/snake-shaped-fingerprints-how-to-detect-irans-cyberattacks/00000184-ed15-d4c7-a786-edf74cbe0000

[vi] https://www.lifars.com/2020/01/iran-is-one-of-the-big-four-cyber-threat-countries-to-the-united-states/

[vii] https://www.cnbc.com/2018/02/18/iran-most-dangerous-nation-for-cyber-attacks-says-saudi-foreign-minister.html