Иранские хакеры предприняли разведывательные экспедиции, цифровые зондирования и атаки типа «отказ в обслуживании» (DDoS) после ракетных ударов США и Израиля, нанесенных на выходных. Специалисты по безопасности призывают организации ожидать дальнейших кибервторжений по мере продолжения войны.
Большая часть киберактивиности на данный момент была направлена против Израиля и стран Персидского залива — и часть этого началась задолго до военных кампаний, — однако аналитики по угрозам сообщают The Register, что цифровые атаки на американские организации неизбежны.
Фирма по безопасности мобильных приложений Approov отметила «значительный всплеск высокотехнологичных зондирующих атак на API и мобильные приложения, обеспечивающие критически важные каналы связи для региональных правительств», по словам генерального директора компании Теда Миракко. «У нас есть аналитические признаки того, что предполагаемые иранские субъекты вели разведку и оценивали уязвимости региональной инфраструктуры».
Эти зондирования начались в начале февраля, сообщил он The Register, и хотя Approov не может комментировать конкретные цели атак или страны, «мы можем заявить, что это находится в непосредственной зоне конфликта», — сказал Миракко. Зондирования прекратились 27 февраля, добавил он, что может быть связано с отключением интернета на всей территории Ирана в начале войны.
Иран также, по словам директора по анализу угроз Binary Defense Джей Пи Кастелланоса, «находился в процессе подготовки вредоносного ПО для атаки на объекты в Израиле и на Ближнем Востоке» до воздушных и морских ударов. «Для злоумышленников, представляющих угрозу, это довольно обычное дело — готовить свои инструменты перед выполнением».
DDoS, дезинформация и программы-вымогатели
Исследователи Check Point заявили, что в месяцы, предшествовавшие конфликту, они наблюдали цифровые вторжения с развертыванием вредоносного ПО, связанного с иранской группой угроз, которую они отслеживают как Cotton Sandstorm (также известную как Haywire Kitten), аффилированной с Корпусом стражей исламской революции (КСИР).
«Злоумышленники регулярно используют WezRat — настраиваемый модульный инфостилер, доставляемый через кампании целенаправленного фишинга, маскирующиеся под срочные обновления программного обеспечения», — написали исследователи в воскресном предупреждении. «В некоторых случаях за вторжениями следовало развертывание программ-вымогателей WhiteLock, нацеленных конкретно на израильские объекты, хотя ничто не мешает им расширить эту деятельность на другие страны».
Государственные группировки Ирана имеют историю сотрудничества с бандами, занимающимися программами-вымогателями, и мы видели, как попытки программ-вымогателей, спонсируемые государством, вновь активизировались во время конфликта летом 2025 года, предлагая большие деньги за заражения американских и израильских организаций.
Также на выходных, по данным Check Point, Cotton Sandstorm возродила свой кибернетический псевдоним Altoufan Team после года молчания, чтобы заявить о новых предполагаемых целях в Бахрейне. «Это отражает реактивный характер кампаний этой группировки и высокую вероятность их дальнейшего участия во вторжениях на Ближнем Востоке на фоне конфликта», — написала служба безопасности.
Помимо Cotton Sandworm, несколько проиранских групп угроз заявили о компрометации промышленных систем управления в Израиле, Польше, Турции, Иордании и других странах Залива.
«Например, APT IRAN заявила о киберсаботажной операции против критической инфраструктуры Иордании», — сказал Кастелланос. «Cyber Islamic Resistance также заявила о доступе к израильским интернет-маршрутизаторам».
И хотя Binary Defense не подтвердила независимо заявления злоумышленников, «такой тип активности соответствует хорошо задокументированному использованию Ираном информационных операций и кампаний влияния», — добавил он. «Это важный контекст, поскольку многие из этих групп участвуют в значительной дезинформации».
Будьте особенно осторожны с заявлениями об атаках, циркулирующими в социальных сетях, поскольку значительная часть того, что вы увидите, является дезинформацией, призванной усилить страх и неопределенность, что само по себе является частью сценария Ирана
Иран имеет историю распространения дезинформации и фейковых новостей через посты в социальных сетях для манипулирования общественным мнением, и такая деятельность имеет тенденцию усиливаться во времена конфликтов, таких как воздушные удары, нанесенные США и Израилем в прошлом году с целью уничтожения ядерного потенциала Ирана.
«Будьте особенно осторожны с заявлениями об атаках, циркулирующими в социальных сетях, поскольку значительная часть того, что вы увидите, является дезинформацией, призванной усилить страх и неопределенность, что само по себе является частью сценария Ирана», — сказал Кастелланос.
Хотя Binary Defense пока не видела подтвержденного нацеливания на американские организации на данном этапе конфликта, «поза угроз настоятельно предполагает, что организациям, связанным с США, следует рассматривать это как вопрос “когда”, а не “если”», — отметил Кастелланос.
«Организации, которые мы считаем наиболее рискованными, — это те, которые имеют прямые связи с вооруженными силами США, такие как оборонные подрядчики и государственные поставщики», — сказал он. «Аналогичным образом, организации, имеющие связи с Израилем через партнерства, дочерние компании или общую инфраструктуру, должны быть в состоянии повышенной готовности».
Он также призывает критическую инфраструктуру и другие высокоценные цели внимательно следить за своими цепочками поставок. «Компании, использующие израильские операционные технологии или промышленное оборудование, могут стать косвенными целями», — сказал Кастелланос. «Мы уже видели этот сценарий, когда происхождение оборудования становилось фактором в решениях о выборе целей, например, кампания CyberAv3ngers в 2023 году, нацеленная на ПЛК и HMI Unitronics, поскольку они были израильского производства».
В 2023 году CyberAv3ngers Ирана осуществили вторжения в системы водоснабжения нескольких штатов США, используя пароли по умолчанию для программируемых логических контроллеров, доступных через интернет.
Во втором раунде атак в 2024 году группировка, связанная с КСИР, использовала настраиваемое вредоносное ПО для удаленного управления системами водо- и топливоснабжения в США и Израиле.
Но помимо публикации видео с хвастовством о вторжениях на своих Telegram-каналах, злоумышленники фактически ничего не предприняли с полученным доступом к этим критическим системам.
«Исторически Иран добивался неоднозначных результатов с помощью деструктивных кибератак, и они часто фабрикуют и преувеличивают их последствия, чтобы усилить психологическое воздействие», — сообщил The Register Джон Халтквист, главный аналитик группы Google Threat Intelligence. «Хотя они могут иметь серьезные последствия для отдельных предприятий, важно относиться к их заявлениям с долей скептицизма».
Тем не менее, Халтквист ожидает, что Иран будет нацеливаться на США, Израиль и страны Совета сотрудничества стран Залива, используя «деструктивные кибератаки, сосредоточенные на целях, предоставляющих возможность, и критической инфраструктуре».
Эти атаки, вероятно, будут напоминать кибероперации Ирана во время войны между Израилем и ХАМАС, с разведкой, ограниченным нарушением работы и массовыми фишинговыми кампаниями, продолжавшимися до начала бомбардировок, с последующим использованием вредоносного ПО для уничтожения данных и других деструктивных атак в поддержку наземных сил. «Во многих случаях их операции будут функционально схожи с программами-вымогателями», — сказал Халтквист.
И хотя Google зафиксировала «краткий спад» в иранском кибершпионаже во время первоначальных военных ударов, цифровые шпионы уже возобновили свою деятельность, добавил он. Кроме того, «хактивистские фронты, связанные с КСИР, делают заявления и угрозы о деструктивных атаках в регионе», — сказал Халтквист.
По мере продолжения войны, как на земле, так и в киберпространстве, организации могут «ожидать повышенной активности в обозримом будущем», — сказал Кастелланос. «Организациям следует убедиться, что все критические системы полностью пропатчены, и использовать этот момент для усиления обучения персонала по вопросам безопасности». ®
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
