Война в Иране длилась менее 24 часов, когда произошло историческое событие: целенаправленное нападение на коммерческие центры обработки данных.1 марта иранские дроны нанесли удары по трем объектам Amazon Web Services (AWS) в Объединенных Арабских Эмиратах и Бахрейне, нарушив работу основной облачной инфраструктуры и выведя из строя финансовые приложения и корпоративные инструменты не только в странах Персидского залива, но и далеко за пределами этого региона. Эти атаки показали, что физическое удаление от зоны конфликта не гарантирует защищенности от последствий кинетической войны.
Однако для большинства организаций более непосредственный риск проявляется в киберпространстве и связан со всевозможными злоумышленниками. В течение нескольких часов после начала американо-израильской «Операции Эпическая ярость» («Операция Рычащий лев»)28 февраля киберпреступники, связанные с Ираном, мобилизовались в большом количестве — подразделение Unit 42 компании Palo Alto Networks насчитало более 60 активных проиранских хактивистских групп. Также в течение нескольких часов агентства по кибербезопасности в Великобритании и Канаде предупредили о повышенном уровне угрозы. Вскоре аналогичные предупреждения прозвучали от Европола и Министерства внутренней безопасности США.
Угрозы и субъекты угроз
Вспышка кинетического конфликта часто приводит к расширению как масштабов, так и круга вовлеченных киберпреступников. Активистская деятельность — шумная и часто сопровождающаяся громкими заявлениями и бравадой — часто вспыхивает первой. Операции Advanced Persistent Threat (APT), включающие разведку и получение первоначального доступа, проводятся параллельно или вскоре после этого. Как только закреплены плацдармы и определены цели, создаются условия для реализации того, для чего на самом деле была разработана операция, будь то шпионаж, дезорганизация, саботаж или другие цели.
Конечно, границы не всегда четкие, и некоторые тактики могут применяться одновременно: дефейс веб-сайта или DDoS-атака, выглядящие как хактивистская операция на уровне мелкого досаждения, могут быть преднамеренным отвлечением внимания от реальной атаки, которая незаметно эксплуатирует цель через другой вектор.
Группы, связанные с Ираном, входят в число самых активных и изобретательных групп, связанных с государством, во всем мире, и их наступательные кибервозможности и набор инструментов в последнее время значительно усовершенствовались. Угроза особенно актуальна для организаций, имеющих связи с цепочкой поставок на Ближнем Востоке или другие связи с этим регионом, не говоря уже о тех, кто зависит от облачных сервисов в этом регионе.
Кампания группы CyberAv3ngers против предприятий водоснабжения и водоотведения в США и других странах в 2023 году продемонстрировала, как эта логика выбора целей реализуется на практике. Зловещее сообщение, которое злоумышленник оставил на взломанных системах — «Вы были взломаны, дно Израилю. Любое оборудование «сделано в Израиле» является законной целью CyberAv3ngers» — читалось как заявление хактивистов, но вскоре выяснилось, что группа действовала под руководством иранского государства. Это стирание границ между хактивистской идентичностью и операциями, связанными с государством, корни которых, вполне возможно, уходят в инцидент с Saudi Aramco в 2012 году, также имеет название:«фальктивизм».
Однако оперативное пересечение между отдельными группами уходит еще глубже. Исследователи ESET ранее задокументировали тесные связи между несколькими APT-акторами, связанными с Ираном. В частности, MuddyWater тесно сотрудничала с Lyceum, подгруппой OilRig, а также, вероятно, выступала в качестве посредника по первоначальному доступу (IAB) для других групп, связанных с Ираном.
Еще больше запутывая ситуацию, несколько пророссийских хактивистских групп, по-видимому, теперь присоединились к борьбе в поддержку Ирана, и есть сообщения о том, что связанные с Ираном группы взаимодействуют с IAB на российских форумах по киберпреступности. Это фактически расширяет как доступные инструменты, так и спектр достижимых целей. Критически важная инфраструктура является одним из самых желанных «трофеев» для всех видов противников, и недавние данные телеметрии ESET показывают, что связанные с Ираном субъекты непропорционально часто нацеливаются на организации, работающие в сфере инжиниринга и производства.
Кроме того, когда целью является возмездие, уничтожение, как правило, имеет приоритет над, скажем, вымогательством с помощью программ-вымогателей. Вредоносное ПО, стирающее данные, является постоянной чертой современных операций, связанных с конфликтами — группы, связанные с Россией, неоднократно демонстрировали эту модель в Украине.
Когда речь идет об атаках, которые дают злоумышленникам максимальную отдачу от вложенных средств, на первое место обычно выходит компрометация цепочки поставок. Еще в 2022 году исследователи ESET зафиксировали, как связанная с Ираном группа Agrius развернула разрушительное вредоносное ПО для удаления данных под названием Fantasy посредством атаки на цепочку поставок, в которой использовался израильский разработчик программного обеспечения, поразив цели в различных отраслях и далеко за пределами Израиля. Радиус воздействия атаки на цепочку поставок может охватить организации, которые никогда не были непосредственной целью и не имеют очевидной связи с конфликтом.
Связанный с этим риск касается поставщиков управляемых услуг (MSP) и их клиентов. Также в 2022 году ESET задокументировала кампанию, в ходе которой злоумышленники скомпрометировали MSP, чтобы получить доступ к своим конечным целям. Им не нужно было проникать в свои цели напрямую; вместо этого они позволили каналам доступа MSP сделать всю работу за них. Кампания была организована кибершпионской группой MuddyWater, которая в последнее время является мощной силой в иранских кругах APT и претерпела заметную эволюцию.
Когда-то известная громкими автоматизированными атаками, MuddyWater теперь все чаще склоняется к более скрытным и изощренным операциям, включающим «ручную работу» в целевых средах. Подобно некоторым другим группам, связанным с Ираном, MuddyWater также перешла к проверенной методике злоупотребления легитимным программным обеспечением для удаленного мониторинга и управления (RMM). Таким образом, группа может смешаться с легитимным сетевым трафиком и затруднить обнаружение.
Известно также, что группа предпочитает внутренний спирфишинг с уже взломанных почтовых ящиков — электронные письма с аккаунта коллеги, а не от внешнего отправителя — с высокой вероятностью успеха по очевидным причинам. Вложения и ссылки в фишинговых письмах уже давно являются самыми популярными методами первоначального доступа среди большинства связанных с Ираном групп APT, включая OilRig и APT33. Однако использование известных уязвимостей программного обеспечения также не является чем-то новым, как видно на примере недавней кампании Ballistic Bobcat.
MuddyWater остается весьма активной в 2026 году — в прошлом месяце исследователи безопасности из Broadcom, Symantec и Carbon Black обнаружили эту группу в сетях нескольких американских организаций, включая аэропорт, банк и софтверную компанию, связанную с Израилем. Тем не менее, общий объем наступательной киберактивности со стороны связанных с Ираном субъектов в целом пока не идет ни в какое сравнение с всплеском активности, наблюдаемымисследователями ESET после атаки на Израиль7 октября 2023 года. Отчасти это может быть следствием почти полного отключения интернета в Иране, в значительной степени навязанного самим Ираном.
В любом случае, как также отметила Группа анализа угроз (TAG) Google в своем анализе кибератакок в контексте войны между Израилем и ХАМАС,«кибервозможности […] являются инструментом первой инстанции». Это наблюдение остается актуальным и сегодня — и было подтверждено первой крупной кибератакой, произошедшей12 марта после начала войны. Атака с целью уничтожения данных, организованная проиранской хактивистской группой Hamdala на американскую компанию Stryker, занимающуюся медицинскими технологиями, по сообщениям, привела к глобальному отключению систем компании.
Сохранение устойчивости: на чем следует сосредоточиться
Угрозы варьируются от случайных DDoS-атак и кампаний по дефейсу до целенаправленных вторжений с целью удаления данных и кибершпионажа с длительным пребыванием в системе, вплоть до нанесения ущерба цепочке поставок, от которого не ускользнут даже организации, не имеющие прямого отношения к конфликту. Меры, описанные ниже, будут знакомы большинству команд по безопасности. Основное внимание уделяется тем местам, где сторонники Ирана исторически находили слабые места.
Знайте, что уязвимо
Начните с выявления и защиты всего, что подключено к Интернету: удаленный доступ, веб-приложения, шлюзы VPN и подключенные к Интернету устройства OT/ICS, если ваша организация использует такие системы. На всех устройствах следует изменить учетные данные по умолчанию. Если устройство не поддерживает надежную аутентификацию, подумайте, стоит ли его вообще подключать к общедоступному Интернету.
Кампания CyberAv3ngers в 2023 году была направлена на программируемые логические контроллеры (ПЛК), на которых по-прежнему использовались заводские пароли по умолчанию. В рекомендациях CISA обсуждаются конкретные используемые методы, и их стоит изучить подробно, если ваша организация использует промышленные системы управления.
Ограничьте поверхность атаки
Среды OT/ICS представляют собой особую проблему: устройства, развернутые десятилетия назад без учета требований безопасности и редко подвергающиеся инвентаризации. Учетные данные по умолчанию и доступ из Интернета являются наиболее очевидными проблемами, но более широкая проблема заключается в том, что многие из этих систем никогда не были спроектированы с учетом обеспечения безопасности после развертывания.
Отключайте устройства OT/ICS от общедоступного Интернета везде, где это возможно с операционной точки зрения. По возможности устанавливайте все доступные исправления, так как уязвимые устройства, подключенные к Интернету, остаются одной из самых надежных точек входа для злоумышленников. Если это невозможно, обеспечьте сегментацию сети между средами IT и OT и установите базовые показатели поведения для промышленных протоколов, чтобы аномальный трафик мог вызывать оповещения.
Устраните уязвимости
Большинство иранских групп, действующих при поддержке государства, уделяют постоянное внимание взлому учетных данных. В совместном предупреждении CISA, ФБР и АНБ от октября 2024 года описана продолжавшаяся в течение года кампания, в ходе которой иранские злоумышленники использовали метод «password spraying» и «push-bombing» многофакторной аутентификации (MFA) (засыпая пользователей запросами на вход в систему до тех пор, пока кто-нибудь не подтвердит один из них) для взлома организаций в сферах здравоохранения, государственного управления, энергетики и ИТ. Получив доступ, они изменяли настройки MFA, чтобы обеспечить постоянный доступ, и продавали похищенные учетные данные на криминальных форумах.
Чтобы противостоять этой угрозе, внедрите защищенную от фишинга MFA во всех системах, взаимодействующих с внешним миром, и проведите аудит существующих настроек MFA на наличие несанкционированных регистраций.
Проведите аудит своей цепочки поставок и доступа третьих сторон
Проведите аудит всех каналов доступа третьих сторон и других каналов удаленного доступа. Учитывая, что такие группы, как CyberAv3ngers, специально охотятся за оборудованием OT израильского производства, проверьте, не относится ли какое-либо из вашего оборудования к этой категории.
Если вы пользуетесь услугами MSP, узнайте, как они защищают свои инструменты удаленного доступа и провели ли они проверку собственной уязвимости в свете конфликта. Использование MuddyWater инструмента SimpleHelp у MSP показало, что уровень безопасности вашего провайдера фактически является частью вашей поверхности атаки.
Остерегайтесь фишинга
Поскольку MuddyWater и другие группы часто используют подходы, ориентированные на человека, в частности, сообщения с целевым фишингом с взломанных внутренних учетных записей, сотрудникам необходимо проверять все запросы через отдельные каналы, особенно те, которые касаются учетных данных, изменений доступа, срочных «обновлений безопасности» и всего, что имеет отношение к текущему конфликту.
Злоумышленники используют распространенные инструменты искусственного интеллекта не только для создания изощренных фишинговых приманок, но и для других этапов жизненного цикла атаки, включая поиск уязвимостей и поддержку разработки вредоносного ПО.
Составьте карту ваших облачных зависимостей
Составьте карту поставщиков программного обеспечения как услуги (SaaS), от которых вы зависите, и выясните, где размещена их инфраструктура. Даже если вы не запускаете рабочие нагрузки на Ближнем Востоке, ваши поставщики могут это делать. После сбоев в AWS несколько поставщиков, включая Snowflake и Red Hat, выпустили рекомендации по отработке отказа, тем самым эффективно напомнив своим клиентам, что региональные сбои в работе облака распространяются по цепочке поставок способами, которые не всегда заметны, пока что-то не сломается. AWS, например, прямо посоветовал клиентам с рабочими нагрузками на Ближнем Востоке перенести их.
Готовьтесь к уничтожению, а не только к краже
Во время операций вблизи зон конфликтов субъекты, связанные с государством, обычно предпочитают программы-уничтожители, а не программы-вымогатели. В любом случае убедитесь, что по крайней мере одна копия критически важных резервных копий находится в автономном режиме и изолирована от сети, а не просто реплицирована в другой облачный регион, который может иметь те же базовые зависимости.
Проверьте, охватывает ли ваш план восстановления после аварий сбой облака во всем регионе, поскольку большинство планов построены с учетом сбоев в одной зоне. Важно убедиться, что ваши резервные копии действительно восстанавливаются, поскольку программы-уничтожители и другое вредоносное ПО иногда специально нацелены на системы резервного копирования.
Все средства хороши
Ситуация с угрозами будет меняться по мере развития конфликта. Активность хактивистов может усилиться или ослабнуть, в то время как операции APT, как правило, развиваются более медленно и проявляются позже. В таких условиях лучше всего справляются те организации, которые уже устранили основные уязвимости до того, как угроза стала острой. Если основная работа (такая как инвентаризация активов) еще не завершена, текущая ситуация является достаточным поводом для ее ускорения.
Если ваша организация имеет доступ к лучшим в своем классе аналитическим данным и исследованиям
по угрозам, сейчас самое время внимательно следить за ними.