Хакерская группа, подозреваемая в связах с Ираном, провела серию кибератак против израильских предприятий оборонной промышленности и гражданской авиации. По утверждению исследователей Mandiant, дочерней компании Google, специализирующейся на кибербезопасности, эта группа ассоциирована с другой, имеющей прямые связи с КСИР в Иране. Отмечено также, что эти хакеры похищают личные данные израильтян с помощью фейковых сайтов.
По данным Mandiant, эта группа хакеров активна как минимум с июня 2022 года и ведет кампанию кибератак до сих пор. В рамках атаки был использован контент, прямо связанный с войной в секторе Газы, например, хакеры имитировали публикации движения за освобождение израильских заложников Bring Them Home Now.
Помимо этого, исследователи выявили десятки фальшивых объявлений о найме на сайтах поиска работы, что использовалось для получения личных и контактных данных работников. Ставилась цель выдавать себя за них в компьютерных системах атакуемых компаний. Трудно оценить степень успешности кибератак и количества информации, которую хакерам удалось похитить. Группа, использовавшая фальшивый сайт движения Bring Them Home Now, распространяла вредоносное программное обеспечение (ПО) Minibus. При его установке пользователь получал фальсифицированный контент (фотографии акций за возвращение заложников), что придавало сайту легитимность в глазах пользователей и маскировало деятельность хакеров.
2 Еще фото
Фальшивый сайт за освобождение заложников, созданный хакерами
(Снимок с экрана: Google Mediant)
Группа также использовала фальшивый сайт авиастроительной компании Boeing для распространения другого вредоносного ПО Minibike и для кражи паролей при помощи поддельных страниц соединения (login) с сайтом. В число методов маскировки, используемых иранскими хакерами, входили: социальная инженерия, включая рассылку фишинговых сообщений через мессенджеры и по электронной почте, и создание фальсифицированных сайтов для установки вредоносного ПО; использование облачной инфраструктуры Azure компании Microsoft - связь с ней выглядит легитимной процедурой; использование инфраструктуры, расположенной в Израиле и ОАЭ (в этих странах находятся организации, подвергающиеся хакерским атакам), что затрудняло идентификацию вредоносной деятельности группы в отношении указанных выше организаций.
Последний из перечисленных методов вызывает особые опасения, ибо указывает на то, что хакеры могут, не вызывая подозрений, действовать как клиенты израильской облачной инфраструктуры. У исследователей создалось впечатление, что эта группа использовала методы, применения которых не ожидали от иранских хакеров. Речь идет о более продвинутой группе, нежели те, с которыми сталкивались ранее. Они также отметили, что применение местной инфраструктуры затрудняет выявление деятельности группы. Разработка вредоносного ПО, которым пользуется группа, указывает на то, что ее возможности выше средних.
Иранская киберактивность возросла в последние годы, особенно в 2023 году, как в связи с войной в секторе Газы, так и в связи с попытками Ирана воспрепятствовать вмешательству США и Израиля в его деятельность на Ближнем Востоке при участии России и Китая. Но и Иран подвергался множеству кибератак со стороны организаций, ассоциирующихся с Израилем, и иностранных организаций, действующих от его имени. Была парализована работа портов и АЗС, произошел таинственный взрыв на важном для страны газопроводе. Но очень трудно связать эти происшествия с конкретными участниками, обычно речь идет о косвенных свидетельствах.
Прежнее исследование Mandiant показало, что Иран и ХАМАС не координировали действия при атаке 7 октября. Microsoft, со своей стороны, полагает, что связанные с Ираном хакеры действовали в интересах ХАМАСа и использовали продвинутые технологии, такие как искусственный интеллект и кампании по усилению влияния. Национальная система киберзащиты полагает, что уровень изощренности кибератак на Израиль вырос. Им удалось выделить 15 групп хакеров, чьи атаки ассоциировались с ХАМАСом, Хизбаллой и Ираном. Отмечались несколько эпизодов сотрудничества этих групп между собой. Иран также причастен к распространению антиизраильского и антисемитского контента в социальных сетях.
Перевод: Даниэль Штайсслингер