Кибервойны персидского залива. Как иранские хакеры обратили интернет против его создателей

В мае-июне 2019 года произошли утечки секретных данных, проливающие свет на недавние кибератаки неизвестных групп. Сопоставив их с отчетами аналитиков из CyberSky, FireEye, Cisco Talos и Symantec, можно выделить три хакерские группы, явно действующие в интересах правительства Ирана. Они регулярно атакуют сети крупных компаний США и их партнеров на Ближнем Востоке, нанося чувствительный урон противнику его же оружием. Рассмотрим подробнее их инструментарий и общую стратегию.

Развитие национальных подразделений информационной безопасности Ирана было простимулировано агрессивной политикой США. Дипломатические отношения эти страны официально разорвали с 1980 года. С тех пор они действуют по правилам необъявленной войны: шпионаж, регулярные провокации и диверсии вместо открытого противостояния. Интернет существенно расширил возможности разведки, позволяя достигать поставленных целей при минимальном риске.

В 2010 году спецслужбы США и Израиля провели совместную операцию против ядерной программы Ирана. Червь Stuxnet получил контроль над АСУ ТП и вывел из строя около тысячи центрифуг для обогащения урана. Это послужило мощным стимулом для ответных действий. Иранское правительство быстро осознало, что интернет и физический мир стали тесно связаны, а вот причастность конкретных лиц к атакам через глобальную сеть доказать очень трудно.

Если раньше иранская разведка в основном занималась радиоперехватом, то после памятного инцидента переключилась на интернет. Крупные реформы начались в 2011 году. На базе департамента технологий и инноваций Министерства информации Ирана (MOIS) было создано киберподразделение RANA — аналог американского USCYBERCOM.

Уже к 2013 году, по оценкам израильского Института исследований национальной безопасности, Иран обладал существенным потенциалом, позволяющим проводить кибератаки против Израиля, США, Саудовской Аравии, Катара и других монархий Персидского залива. В 2015 году американская корпорация Defense Technology в своем докладе называет Иран одной из пяти главных угроз кибербезопасности.

Ситуация обострилась осенью 2017 года, когда Трамп открыто саботировал «ядерную сделку» с Ираном (JCPOA). Официальный выход из нее США состоялся в мае 2018 года — именно тогда наблюдалась мощная волна сетевых атак из Ирана.

По мнению западных аналитиков, сейчас иранские правительственные хакеры находятся под непосредственным контролем подразделения РЭБ и информационной безопасности КСИР (IRGC JANGAL), которое подчиняется Верховному совету по киберпространству (Supreme Council of Cyberspace) при Высшем совете национальной безопасности (Supreme Council of Security).

Так ли это в действительности — неизвестно. Как и любая разведка, иранская часто распространяет дезинформацию. Однако перечисленные ниже группы явно действуют в интересах исламской республики.

 

APT33

Эта группа занимается кибершпионажем как минимум последние шесть лет, а с 2017 года она прицельно атакует международные компании со штаб-квартирами в США, Южной Корее и Саудовской Аравии. Основные цели — аэрокосмические, энергетические и нефтехимические концерны. Возможно, APT33 также известна как MuddyWater или тесно сотрудничает с этой хакерской группой.

На первом этапе группа APT33 всегда использует таргетированный фишинг. Сотрудникам целевых компаний рассылаются тщательно подобранные по темам и оформлению электронные письма, содержащие вредоносное вложение. Обычно это приложение формата HTA (HTML Application), которое содержит JS- или VB-скрипты. Фишка в том, что оно выполняется в Windows без каких-либо проверок. Более того, оно не открывается в браузере, а запускается как отдельный процесс через Microsoft HTML Application Host и системную библиотеку mshtml.dll. Поэтому все настройки безопасности браузера оказываются бесполезны.

Чтобы письма выглядели убедительно, APT33 зарегистрировала несколько доменов с именами, похожими на названия авиационных компаний из Саудовской Аравии и их западных партнеров из сферы технического обслуживания. Среди них были поддельные адреса Boeing, Northrop Grumman, Alsalam Aircraft, Saudia Aerospace Engineering Industries и их совместных предприятий.

Досталось и гражданским авиакомпаниям. Под удар попали AirAsia, Thai Airways, Flydubai и Etihad Airways, которых атаковали через предварительно скомпрометированные аккаунты сотрудников по протоколам RDP (Windows) и ICA (Citrix Remote PC).

Для усыпления бдительности при открытии .hta жертве отображалась актуальная информация по теме письма. Например, реальные ссылки на вакансии для специалистов определенного профиля. Переходили по ним или нет — неважно. Вредоносные скрипты тихо выполнялись до прорисовки контента, собирая информацию о компьютере жертвы и подготавливая плацдарм для следующих этапов атаки.

Пример скрытого запуска скрипта в HTA:

Источник: xakep.ru

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *