Еще одна группа иранских хакеров «Ашиян» (Ashiyane) известна, потому что сопровождала кибератаки официальными заявлениями. Объединение существует с 2002 года, ведет в интернете образовательную деятельность, даже выдает сертификаты «этичного взлома». Обычно эту группу связывают с киберполицией FATA. Чаще всего «Ашиян» находит цели внутри страны, однако известны ее нападения на систему НАСА, а также деятельность в сетях Украины[i].
Считается, что первые DDOS-атаки против финансовых организаций США провели в 2012 году хакеры из бригад «Изз ад-Дин аль-Кассам» (the Izz Ad-Din al Qassam) и «Армия Солнца» (the Sun Army). Список можно продолжить такими группами, как Ajax Security Team, Rocket Kitten, Flying Kitten, Oilrig и Copy Kitten, Magic Kitten, Muddy Water. Но важно помнить, что мы знаем только их названия, да и те присвоены спецслужбами Израиля и США[ii].
Последняя категория атакующих субъектов – это союзники, предположительно поддерживаемые иранским режимом, такие как киберармия «Хизбаллы», киберармии Сирии и Йемена. Их уровни независимости различаются, но действиям свойствен довольно низкий уровень изощренности. Киберармия «Хизбаллы» кажется наиболее автономным и развитым игроком, извлекающим выгоду от обучения в Иране. Нацелена он в основном на Израиль[iii].
Эти наступательные субъекты обучаются в основном в иранских университетах, входящих в состав КСИР. Западные исследователи называют важными киберцентрами Университет Шарифа, Университет шахида Бехешти, «ниверситет Малека Аштара и «ниверситет Имама Хосейна. Уровень подготовки в перечисленных вузах весьма высок, что компенсирует недостаток технической оснащенности[iv].
Глава отдела разведки аналитической компании Treadstone 71 Джефф Бардин утверждает, что среди иранских студентов проходят соревнования, кто найдет больше уязвимостей в сетях ИРИ. Победители, при поддержке учебных заведений, проходят стажировку у известных хакеров, чтобы позже занять место в новых сетевых группировках. Обучение информационным технологиям обретает все более комплексный характер. В «ниверситете Хосейна готовят специалистов по кибербезопасности и электронной борьбе, регулярно проводят профильные конференции. Иногда учебные заведения напрямую участвуют в кибератаках. Например, сотрудникам института Мабна удалось похитить в иностранных вузах и компаниях 31 терабайт научной информации[v].
Выбирая цели в Европе и США, Иран, как правило, решает две задачи. Первая – ответ на кибератаки Запада. Нанося ответный удар, Тегеран руководствуется принципом «око за око». Вторая, не менее важная задача связана с получением информации. Режим санкций осложняет Ирану доступ к новейшим технологиям[vi]. Поэтому целями сетевых нападений становятся предприятия аэрокосмической и оборонной промышленности, добывающие и телекоммуникационные компании. Чаще всего разведывательные операции проходят в Европе, она хуже, чем США, защищена от кибератак[vii].
Крупнейшим в истории вторжением в цифровое пространство Соединенных Штатов называют операцию «Абабиль» (Ababil). DDOS-атака на финансовый сектор началась в 2012 году и продолжалась почти 10 месяцев. Для взлома сайтов использовались фишинговые адреса, добычей хакеров стали секретные базы данных. По сведениям Министерства юстиции США, нападению подверглись 46 банков. Эксперты назвали технический уровень операции «Абабиль» низким. Но это не помешало ей увенчаться успехом. Газета «Нью-Йорк Таймс» объявила масштаб и эффективность атаки беспрецедентными. Но то, чтобы восстановить защиту банков и возместить потери, ушло 10 млн долларов. Ответственность за нападение взяла на себя группа хакеров «Изз ад-Дин аль-Кассам». Атака стала ответом на отказ правительства США удалить с YouTube ролик «Невинность мусульман», высмеивающий ценности ислама[viii].
В 2016 году Министерство юстиции США предъявило обвинения семи иранским хакерам, причастным к группировке «Армия Солнца», а также нескольким IТ компаниям из Ирана, в том числе компании «Мерсад» (Mersad). Но главным обвиняемым стало иранское правительство: по мнению американских юристов, именно оно инициировало кибератаку. Причиной, по версии обвинения, стали санкции США, ухудшившие экономическую обстановку в ИРИ.
В 2012 году операция Madi затронула интересы сразу нескольких стран – Америки, Европы и некоторых стран Ближнего Востока. Под ударом оказались предприятия добывающего сектора, аналитические и финансовые компании. Троянская программа позволила похитить данные из баз 800 организаций.
Также Министерство юстиции США обвинило иранских хакеров в атаке на систему SCADA, отвечающую за работу небольшой плотины в 25 километрах от Нью-Йорка. Спецслужбы предотвратили сбой, но инцидент продемонстрировал уязвимость критически важного объекта. «Таким образом Иран показал, что способен нанести удар по важным инфраструктурам и стать угрозой для жизни и имущества граждан США», – объявил сенатор Чарльз Шумер. Майкл Айзенштадт, научный сотрудник Кан (Kahn) и директор программы Вашингтонского института по исследованиям в области безопасности считает, что киберпространство предоставляет Тегерану ряд возможностей, не предусмотренных другими ветвями его нынешней триады сдерживания и ведения войны и с меньшими рисками. Киберпространство можно использовать в мирное время, поскольку не установлены нормы, определяющие кибершпионаж или кибератаки как военные действия, оправдывающие ответные меры[ix].
[i] https://www.nbcnews.com/news/us-news/iran-has-laid-groundwork-extensive-cyberattacks-u-s-say-officials-n893081
[ii] https://www.aha.org/news/headline/2022-11-16-agencies-alert-organizations-iranian-sponsored-cyber-threat
[iii] https://www.forbes.com/sites/zakdoffman/2019/07/06/iranian-cyber-threat-heightened-by-chinas-support-for-its-cyber-war-on-u-s/?sh=130f446642eb
[iv] https://www.washingtonpost.com/politics/2022/11/17/iranian-hackers-breached-agency-that-hears-federal-worker-grievances/
[v] https://ctc.usma.edu/cyber-threat-iran-death-soleimani/
[vi] https://www.justsecurity.org/72181/iran-joins-discussions-of-sovereignty-and-non-intervention-in-cyberspace/
[vii] https://www.justsecurity.org/72181/iran-joins-discussions-of-sovereignty-and-non-intervention-in-cyberspace/
[viii] https://www.tv7israelnews.com/israel-iran-cyber-attacks-target-intl-community/
[ix] https://www.darkreading.com/threat-intelligence/cyber-conflict-between-us-and-iran-heats-up