Спустя пять дней войны США и Израиля против Ирана самые мрачные прогнозы относительно кибернетического ответа пока не сбылись. Однако Иран создал одну из самых активных в мире киберопераций, что, по мнению экспертов, означает, что это, вероятно, временная передышка.
На выходных Национальный центр кибербезопасности Великобритании (NCSC) и Канадский центр кибербезопасности (CCCS) выпустили общие предупреждения об угрозе, исходящей от иранских киберкампаний. Тем временем Агентство по кибербезопасности и защите инфраструктуры США (CISA) еще не обновило свое последнее предупреждение, датированное октябрем.
«Риск косвенной киберугрозы для тех организаций и структур, которые присутствуют на Ближнем Востоке или имеют там цепочки поставок, почти наверняка возрос», — заявил NCSC, констатируя очевидное.
Канадский CCCS был, по крайней мере, готов изложить некоторые из возможных сценариев: «Иран, скорее всего, использует свою киберпрограмму для ответа на совместные боевые операции США и Израиля против Ирана», — сообщило агентство. Ведомство призвало организации искать за фоновым шумом оппортунистических DDoS-атак и другой низкоуровневой киберактивности более зловещие угрозы, такие как программы-вымогатели и разрушительные атаки типа «вайпер».
Общий характер предупреждений подчеркивает проблему усталости от оповещений: если атаки являются постоянной угрозой, на что организациям следует обращать внимание? Меняет ли начало кинетической войны эту ситуацию или просто изменяет ее временные рамки?
APT-группы и вредоносное ПО типа «вайпер»
Компании, занимающиеся безопасностью, редко умалчивают об иранских угрозах. Несмотря на это, консенсус заключается в том, что иранский киберответ до сих пор был на удивление мягким. Эксперты предостерегают, что это может быть просто период адаптации, вызванный нарушением работы энергетической и интернет-инфраструктуры Ирана.
На сегодняшний день активные группы делятся на три пересекающиеся категории: те, которые нацелены в первую очередь на инфраструктуру Ближнего Востока, те, которые ориентированы на цели на Западе — включая специализированные группы постоянных угроз (APT) — и более мелкие прокси, базирующиеся за пределами Ирана, цели которых непредсказуемы.
2 марта Unit 42 компании Palo Alto заявила: «Киберподразделения, связанные с государством, могут действовать в операционной изоляции, что может привести к отклонениям от ранее установленных шаблонов. Кроме того, деградация иранских систем командно-контрольных пунктов может также привести к тактической автономии ячеек за пределами Ирана».
DDoS представляет собой самую большую непосредственную угрозу. Пока что это не проявилось в каком-либо масштабе: генеральный директор Cloudflare Мэтью Принс написал в X в воскресенье, что DDoS-атаки, связанные с Ираном, на самом деле снизились. Это произошло, несмотря на сообщения CrowdStrike о том, что группа Hydro Kitten угрожала DDoS-атаками на банковский сектор США, что привело к краткосрочным сбоям.
Компания по обеспечению безопасности Radware зафиксировала 149 DDoS-атак, предположительно связанных с Ираном, в период с 28 февраля по 2 марта, большинство из которых были нацелены на государственные структуры на Ближнем Востоке. По данным компании, все атаки, за ничтожным исключением, были инициированы всего тремя группами хактивистов: Keymous+, DieNet и Conquerors Electronic Army.
Большую озабоченность вызывают разрушительные атаки типа «вайпер». Прецедентом для этого является печально известный иранский вредоносный код Shamoon 2012 года, который стер данные с 30 000 рабочих станций в нефтяной компании Saudi Aramco. Хотя попытки последующих атак также были нацелены на энергетический сектор, опасность заключается в том, что во время войны подойдет любая цель, в США или где-либо еще.
Поставщик решений в области безопасности Anomali предупредил: «Арсенал иранских «вайперов» включает более 15 семейств (ZeroCleare, Meteor, Dustman, DEADWOOD, Apostle, BFG Agonizer, MultiLayer, PartialWasher)».
Наибольшую озабоченность вызывают известные APT-группы, связанные с Корпусом стражей исламской революции (КСИР) и Министерством разведки и безопасности (MOIS), которые имеют подтвержденный опыт атак. К ним относятся APT35/APT42 (Charming Kitten, Phosphorous) и APT 33 (Elfin Team). Любопытно, что одна из самых активных иранских APT-групп, APT34 (OilRig), по-видимому, затихла, не обнаруживаясь в течение недели. «Это, вероятно, указывает на скрытое предварительное позиционирование, а не на бездействие», — отметили в Anomali.
Компания Tenable опубликовала полезную сводку о наиболее важных иранских группах угроз, в которой обсуждаются инструменты, методы и процедуры каждой из них.
Целеполагание и ответные меры
По словам Адриана Чика, старшего исследователя киберпреступности в канадской компании по анализу угроз Flare, наиболее уязвимыми секторами являются критическая инфраструктура, включая оборонную и государственную цепочки поставок, финансовые услуги, энергетику и здравоохранение.
«Секторы водоснабжения, энергетики и здравоохранения в настоящее время наиболее подвержены риску. Эти секторы сочетают высокий приоритет целей со слабой базовой безопасностью, особенно в средах операционных технологий. Финансовые услуги сталкиваются с высоким приоритетом целей, но, как правило, имеют более надежную защиту», — сказал Чик.
Иранские группы в первую очередь будут искать известные уязвимости в операционных технологиях и системах промышленного контроля. «Каждая американская транснациональная компания, работающая в регионе Персидского залива, должна проинформировать региональный персонал о повышенных физических и киберугрозах. По возможности внедрите устойчивую к фишингу многофакторную аутентификацию (FIDO2/WebAuthn). Удалите неуправляемые инструменты удаленного мониторинга и управления (RMM)», — рекомендовал он.
Организациям также следует срочно отслеживать вредоносное ПО типа «вайпер», одновременно обеспечивая готовность конечных систем к обнаружению вариантов Shamoon и устанавливая исправления для VPN и других периферийных устройств, которые также являются излюбленными целями Ирана, добавил Чик.
Большой неизвестной остается влияние, которое ИИ может оказать на этот тип конфликта, предположил Дин Валентайн, генеральный директор компании ZeroPath, занимающейся безопасностью приложений. «Появление передовых моделей с мощными возможностями кибербезопасности снижает порог для участия в разрушительных кибератаках. До этого года лишь немногие страны были очень активны в киберпространстве. Теперь любая страна или преступная организация может собрать команду из 5–10 не слишком квалифицированных инженеров и нанести серьезный ущерб», — сказал он.
Хотя наступательные кибервозможности Ирана были значительно ослаблены атаками США и Израиля, ИИ незаметно предоставляет мощные средства для подрыва контроля в руки более географически распределенных групп, предупредил он.
«Все это означает, что в ближайшем будущем бедные страны, такие как Иран, вероятно, смогут гораздо активнее наносить удары, выводя из строя большие части нашей интернет-инфраструктуры».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn
