В последние недели была раскрыта иранская киберструктура, называемая "Отдел № 40". Она действует в интересах разведывательного управления Корпуса стражей исламской революции (КСИР) и его "Подразделения 1500". Оппозиционный иранский телеканал Iran International опубликовал 20 ноября расследование об "Отделе № 40", который в последние годы действовал против израильтян и евреев в Израиле и по всему миру под названиями Charming Kitten (Очаровательный котенок), Moses Staff, Abrahams Axe и другими.
Статья разоблачила иранских хакеров и взломщиков, работавших в структуре под руководством Аббаса Рахруи, где трудились 60 мужчин и женщин, выполнявших сложные кибероперации, по сути служившие террористическому крылу КСИР.
На протяжении последних лет подразделение осуществляло операции по шпионажу, психологической войне, информационным кампаниям и терроризму во множестве арабских стран, при этом государство Израиль и его граждане были главной целью. Рухолла Базкандид, бывший руководитель контрразведывательного отдела разведки КСИР, в 2022 году руководил подготовкой терактов против израильтян и евреев, находившихся в Турции.
"Отдел № 40" получил задание отслеживать и атаковать израильтян в киберпространстве, чтобы в реальном времени находить места их пребывания. Киберспециалисты проникали на сайты медицинских клиник в Стамбуле, где израильтяне проходили пластические операции — такие как увеличение груди и пересадка волос. Они также взламывали мобильные телефоны израильтян, находившихся в тех же клиниках. В те годы Мосад спас израильтян в последний момент от планируемых покушений, отдавая им распоряжение запереться в гостиничных номерах за секунды до того, как иранские агенты собирались напасть или похитить их.
Сотрудники подразделения следили за страницами групп израильтян в Турции на Facebook. Они заходили туда под фальшивыми профилями и отслеживали действия израильтян — где они останавливаются, в какие клиники идут, какие кошерные рестораны посещают. Идея киберструктуры состояла в расширении круга целей и передаче оперативным группам на месте данных о людях и их расположении.
►Подразделение для сбора данных с целью ликвидации израильтян
Согласно расследованию оппозиционного канала Iran International, "Отдел № 40" также связан со взрывом в Стамбуле в 2022 году, в котором погибли восемь человек. Фактически сотрудники структуры выполняли роль разведывательно-сборного подразделения, чтобы выявлять местонахождение израильтян для последующих нападений. Без их работы иранцы не смогли бы осуществить теракт. Они также взламывали сайты зарубежных авиакомпаний, чтобы отслеживать время прибытия граждан Израиля или противников режима.
Разоблачение показывает, что "Отдел № 40" был наступательным киберкрылом контрразведывательного подразделения КСИР. Он служил разведывательным инструментом для оперативных агентов Ирана. "Отдел № 40" следил за деятельностью и взаимоотношениями иранских и неиранских граждан, крадя их данные. Подразделению удалось проникнуть в базы данных иностранных государственных и негосударственных структур — полиции Абу-Даби и Фуджейры в ОАЭ, авиакомпаний Fly Dubai и EgyptAir, муниципалитета Рас эль-Хайма в Иордании, а также аналогичных учреждений в Турции и Саудовской Аравии.
►Иранская сеть вербовки
Это первый случай, когда раскрыта структура этого подразделения. Понимание роли "Отдела № 40" оказалось недостающим звеном в системе слежки КСИР за иранцами и иностранцами. Подразделение фактически являлось дочерней организацией "Подразделения 1500".
"Отдел № 40" создал базу данных, куда агенты могли вводить имена людей, чтобы определить глубину и характер их связей.
База, отслеживающая граждан, называется "Кешеф". По данным Iran International, чтобы получить сведения о каком-либо человеке - иранце или иностранце - "Кешеф" способен выявлять его связи с другими людьми через мобильные звонки, полеты или информацию о местоположении. Анализ личности около 60 сотрудников "Отдела № 40" показал, что многие из них трудоустраивали членов своих семей и скрывали деятельность, создавая множество фиктивных компаний.
Информация, необходимая КСИР для операций за рубежом против противников режима или израильских целей, таких как "Операция 1401" в Стамбуле, поступала именно из "Отдела № 40". Они также активно шпионили за иностранными посольствами в Иране и использовали российские инструменты для достижения своих целей. До сих пор деятельность "Отдела № 40", известного в разведывательном сообществе и среди специалистов по кибербезопасности как Charming Kitten, считалась ограниченной фишинг-атаками.
►Телеграм-группы для организации протестов против Нетаниягу
Ранее многие киберкомпании выявляли активность группы в странах, соседних с Ираном, а также против целей в Израиле и Европе, отслеживая киберинструменты, разработанные подразделением, но не знали, кто стоит за ними. Более того, "Отдел № 40" стоял за фальшивыми объявлениями о наборе "шпионов ради Израиля" и телеграм-группами, организующими протесты против премьер-министра Биньямина Нетаниягу.
Разведывательные источники на Ближнем Востоке сообщили, что в последние годы многие инциденты в израильском пространстве, кибератаки в Израиле и мире были организованы группой Charming Kitten. Никто не знал, кто руководит ею и чего она пытается достичь. В прошлом месяце вся эта структура была взломана: группа под названием Kitten Busters открыла аккаунт на GitHub и выложила украденные документы "Отдела № 40", включая отчеты, киберинструменты и официальные документы на фарси.
В документах указано, что их цель — вербовать израильтян, организовывать внутренние перевороты и вести информационные кампании. Также стало известно, что "Отдел № 40" разработал ударные беспилотники-камикадзе. В сообщении говорится: «Это киберструктура, которая проводила множество операций и наносила ущерб. Они действовали против Израиля, и теперь платят цену за то, что были раскрыты, - и цену значительную".