После принятия соглашения о ядерной программе Тегеран увеличил расходы на кибербезопасность: теперь защиту компьютерных систем и критически важных объектов обеспечивает большее количество квалифицированных специалистов. Поэтому главным инструментом США в регионе остается информационное воздействие. На Ближнем Востоке и в Северной Африке целью иранских хакеров чаще всего становятся две страны, региональные противники Ирана и ближайшие союзники США: Саудовская Аравия и Израиль[i].
На территории Саудовской Аравии хакеры, как правило, атакуют объекты, связанные с добычей нефти и энергетикой. Уязвимость саудовских компьютерных сетей выросла с возникновением концепции умных городов. При этом власти этой страны так и не выработали эффективной стратегии кибербезопасности, действующей и на оперативном, и на стратегическом уровнях. Концепция защиты была сформулирована в 2013 году, но в ней не нашлось четких указаний для исполнителей[ii].
Незащищенность информационного поля саудитов стала заметной в ходе кризиса 2017 года, когда участники Союза сотрудничества арабских государств персидского залива (ССАГПЗ) разорвали отношения с Катаром. Технологически Саудовская Аравия отстает от ОАЭ, это делает ее «мягким подбрюшьем» региона, полигоном для испытания новых видов кибероружия. По сообщению Лаборатории Касперского, в 2021 году Саудовская Аравия заняла 28 место среди самых подверженных кибератакам стран. Часто удары по королевству становятся косвенным ответом на действия США[iii].
В ходе операции 2012 года «Шамун» (Shamoun), самой известной кибератаки в регионе, Иран вывел из строя 30 000 компьютеров саудовской нефтяной компании Aramco и катарской газовой компании RasGAs. Сотрудники Aramco смогли получить доступ к собственным базам данных только через 10 дней после инцидента. Ответственность за нападение взяла на себя ранее почти неизвестная группировка «Карающий меч правосудия». Атака не остановила добычу и транспортировку нефти, но нанесла компаниям серьезный экономический ущерб. Предполагается, что действия «Карающего меча» стали ответом на санкции США. По другим версиям, Иран пытался ослабить финансовое могущество регионального конкурента или реагировал на подавление шиитских выступлений в Саудовской Аравии. Пик противостояния государств был достигнут в 2015 году. Саудовская Аравия усилила военное присутствие в Сирии и развернула операцию против иранских союзников в Йемене. В январе 2016 года в Эр-Рияде был казнен шиитский проповедник шейх Нимр ан-Нимр, в ответ протестующие взяли штурмом посольство Саудовской Аравии в Тегеране. Вскоре стороны разорвали дипломатические отношения[iv].
В 2016 году иранские кибератаки против Саудовской Аравии участились. Операция «Шамун-2» стала ответом на вторжение КСА в Сирию и Йемен. Целью были правительственные учреждения Эр-Рияда: Министерство труда, Центральный банк, Национальная добывающая компания. А 25 мая 2016 года саудовский хакер Da3s взломал ресурсы иранского статистического центра. Ответ последовал мгновенно: 26 мая кибератакам подверглись главное статистическое управление Саудовской Аравии и университет короля Абдель Азиза. Через несколько дней иранская подпольная группа Digital Boys взломала веб-сайт Министерства связи Саудовской Аравии[v].
Необходимость в защите киберпространства арабских государств вынуждает их выстраивать совместную систему обороны с Израилем. Особенно этому способствует общий враг – Иран. Службы кибербезопасности Израиля оказали техническую помощь Саудовской Аравии и Катару после операции «Шамун» 2012 года. Еще одной точкой технологического сотрудничества стал Неом – футуристический город на берегу Красного моря. Его возведение – план на следующее десятилетие. Но уже сейчас в проекте участвует израильская компания Checkpoint, крупный игрок в сегменте IT-безопасности.
Другой партнер КСА – Israeli Cybersecurity Company, специализирующаяся на производстве шпионского программного обеспечения (ПО). В Эр-Рияде рассчитывают, что сотрудничество с Израилем в скором времени позволит отражать иранские кибератаки и наносить по противнику собственные удары. Действительно, израильские высокие технологии и огромные финансовые ресурсы Саудовской Аравии способны стать вызовом для Ирана[vi].
Главной мишенью иранских хакеров вот уже много лет остается Израиль. Чаще всего исполнителями операций против него становятся группировки из киберармии «Хизбаллы». Представляется, что «Хизбалла» никогда не прекращает кибератаки. Сначала их уровень был невысоким, но с годами ее хакеры многому научились. Тем не менее, Израиль терпит от них меньше урона, чем Саудовская Аравия. Израиль обладает лучшим технологическим потенциалом и способен нанести более мощный ответный удар. В 2010 году израильский премьер-министр Биньямин Нетаньяху заявил о необходимости разработки израильских кибертехнологий. В 2011 году правительство учредило бюро координации национальной киберстратегии. В ее разработке участвуют частные предприятия и специализированные военные соединения. Подразделение радиоэлектронной разведки 8200 считается одним из самых больших в мире, именно в его недрах родилась операция «Олимпийские игры», направленная на иранский завод по обогащению урана в Натанзе[vii].
Эскалация борьбы в интернете соответствует росту напряженности в регионе. Израильская военная операция «Нерушимая скала» в секторе Газа и начало сирийской гражданской войны увеличили интенсивность кибератак. Это заметно, даже если анализировать израильские источники, а они, как правило, скрывают часть инцидентов. Целями иранских и палестинских хакеров в Израиле часто становятся плохо защищенные объекты: университеты, почтовые сервисы, частные компании. Однако, нападающим, как правило, не удается нанести удар по критически важной инфраструктуре[viii].
В 2012 году иранская группа APT Ashiyane Group применила вредоносное ПО Flame, его жертвами стали 500 израильских пользователей. Другая кибератака того же года была ответом на убийство иранского ядерного физика Дариуша Резаи Неджада. В 2015 году иранские хакеры нанесли удар по израильским телекоммуникационным компаниям, СМИ и Совету национальной безопасности. Программное обеспечение Madi было внедрено в сети 54 организаций. В мае 2017 года иранской группировке APT Oilrig удалось взломать несколько серверов, в результате вирус поразил более 120 учреждений Израиля[ix].
В апреле 2019 года целью кибератаки стала система безопасности израильского управления водных ресурсов. Вирус мог бы разрушить систему водоснабжения[x]. Но, по утверждению Национального управления кибербезопасности Израиля, атака была сорвана. В мае 2020 года Израиль нанес киберудар по порту иранского города Бандар-Аббас. В ответ хакеры попытались заразить вирусом 300 сайтов в доменной зоне «.il». И снова израильские спецслужбы отчитались, что нападение отражено[xi].
В завершение отметим, что сегодня безопасность не только в Ближневосточном регионе, но и в мире напрямую зависит от защищенности критической инфраструктуры, возможности отражать хакерские атаки или не допускать их. Политика сдерживания в киберпространстве не работает, скорее, наоборот, наблюдается эскалация и наращивание кибератак, за которыми стоят разные по принадлежности и технической оснащенности группировки.
[i] https://www.mandiant.com/resources/blog/apt33-insights-into-iranian-cyber-espionage
[ii] https://www.nytimes.com/2020/01/06/us/iran-hack-federal-depository-library.html
[iii] https://www.hhs.gov/sites/default/files/iranian-threat-actors-and-healthcare.pdf
[iv] https://research.checkpoint.com/2021/indra-hackers-behind-recent-attacks-on-iran/
[v] https://www.reuters.com/article/us-cybersecurity-iran-idUSKCN0SY1G920151109
[vi] https://dispel.io/blog/in-the-wake-of-an-imminent-iranian-cyber-attack-what-can-you-do/
[vii] https://www.timesofisrael.com/iran-denies-successful-cyber-attack-on-oil-sector/
[viii] https://thehill.com/policy/cybersecurity/583697-hackers-targeting-and-stealing-billions-from-iranian-citizens-in-texting/
[ix] https://www.brookings.edu/blog/order-from-chaos/2020/01/06/iran-spent-years-building-a-cyber-arsenal-will-it-unleash-that-arsenal-now/
[x] https://www.otorio.com/blog/why-we-need-to-prepare-for-an-iranian-attack-on-ics/
[xi] https://www.motherjones.com/politics/2020/01/heres-what-a-cyber-attack-by-iran-might-look-like/