Ирано-албанский кризис отношений: куда ведет цифровой след?

7 сентября 2022 г. власти Албании объявили о разрыве дипломатических отношений с Ираном. Официальным поводом для прекращения всех связей, по словам албанских политиков, стала серия кибератак, осуществленных проиранскими хакерами против Тираны. И хотя Тегеран продолжает отрицать свою причастность к инциденту, ссылаясь на отсутствие серьезного мотива, мировое сообщество в большинстве своем встает на сторону Албании.

Независимо от того, кто на самом деле стоит за резонансной атакой — иранские хакеры или команды, умело под них маскирующиеся, — устранять последствия инцидента предстоит правительству ИРИ. Вероятнее всего, текущее обострение приведет к частичному пересмотру иранской стратегии поведения в киберпространстве (с упором на оборонительный аспект) — тем более, что перечисленные атаки существенно повысили риск ответного удара. В условиях усилившегося противостояния Тегерану предельно важно защитить слабые места своей цифровой системы (и, в первую очередь, объектов, связанных с производством и реализацией топлива).

Не следует исключать и того, что ставка будет сделана на «обеление» иранской репутации посредством пропаганды. Так или иначе, разрыв албано-иранских отношений формирует довольно опасный международный прецедент, поскольку является первым примером прекращения двусторонних связей после кибератаки. Весьма вероятно, что подобная практика будет использована в обозримом будущем, что, в свою очередь, создаст обширное поле для информационных спекуляций и лоббирования непопулярных политических решений.

7 сентября 2022 г. власти Албании объявили о разрыве дипломатических отношений с Ираном. Официальным поводом для прекращения всех связей, по словам албанских политиков, стала серия кибератак, осуществленных проиранскими хакерами против Тираны. И хотя Тегеран продолжает отрицать свою причастность к инциденту, ссылаясь на отсутствие серьезного мотива, мировое сообщество в большинстве своем встает на сторону Албании.

Интересно оценить, что могло подтолкнуть Иран к столь радикальному выпаду, а также спрогнозировать развитие ситуации.

Новые «заморозки» в отношениях

Леонид Цуканов:
Проиранские хакеры: «пояс безопасности» Тегерана?

Отношения Тираны и Тегерана и раньше нельзя было назвать теплыми. Их планомерное ухудшение началось после 2008 г. — когда иранские власти начали выступать с резкой публичной критикой «косовского проекта» (в том числе из-за начавшихся притеснений иранских агентов влияния [1] в Албании и на территории непризнанного Косово). Тем не менее вплоть до второй половины 2010-х гг. противостояние не выходило за рамки взаимных вербальных выпадов.

Серьезное ухудшение климата произошло уже в 2018 г., когда власти Албании нарастили поддержку «Организации моджахедов иранского народа» («Моджахедин-э Халк», МЕК [2]), призывающей к свержению действующего иранского режима — в том числе с помощью цифровых ударов по объектам критической инфраструктуры ИРИ.

В дальнейшем существовавший в усеченном формате двусторонний диалог сопровождался рядом скандалов – Тирана, в частности, обвиняла иранские власти во вмешательстве во внутренние дела страны, а также в создании разветвленной шпионской сети. В свою очередь, Тегеран подвергал албанские власти резкой критике за создание религиозной и политической напряженности на Балканах, а также за «поддержку оппортунистской политики Вашингтона». В обоих случаях «раскручиванию» негативных конструктов активно содействовали национальные СМИ.

Как результат, после января 2020 г. двусторонние отношения между странами уже были близки к разрыву, для которого не доставало лишь существенного повода.

Шаг до «цифровой Хиросимы»

15 июля 2022 г. группировка «HomeLand Justice» [4] нанесла массированный удар по цифровой инфраструктуре Албании. Первыми под него попали основные серверы Национального агентства информационного общества (AKSHI), координирующего разработку и управление государственными информационными системами страны, в результате чего произошла серьезная утечка конфиденциальных данных. Кроме того, оказались недоступен справочно-информационный интернет-портал «e-Albania» и ряд правительственных сайтов. В ходе атаки оказалась задета и Система управления общей информацией (TIMS), регистрирующая въезды и выезды на пограничных переходах Албании, что нарушило работу пропускных пунктов.

Нормализовать работу албанских сервисов специалистам удалось только 19 июля (хотя отдельные сбои сохранялись вплоть до 21 числа). По замечаниям экспертов, суммарные потери от этой акции оцениваются в несколько миллиардов долларов. Кроме того, был нанесен серьезный моральный ущерб населению и властям Албании — кумулятивный эффект от атаки был настолько силен, что некоторые западные аналитики назвали атаку «близкой к цифровой Хиросиме». Иными словами, по своему комплексному влиянию албанский киберинцидент вышел за рамки классических хакерских выпадов.

Несмотря на то, что атака была довольно быстро (с учетом возможностей албанской киберсистемы) остановлена, ее результаты запустили цепочку преобразований как в самой стране, так и за ее пределами. Так, помимо разрыва дипломатических отношений между Ираном и Албанией (7 сентября 2022 г.), произошла консолидация цифровых усилий стран НАТО — в частности, было объявлено о намерении пересмотреть подход к обеспечению коллективной кибербезопасности на уровне Альянса.

В чем интерес Ирана?

Леонид Цуканов:
Цифровые химеры Персидского залива: кто займет место Ирана?

Самый очевидный ответ на вопрос, зачем Иран нанес столь мощный удар по албанским киберсистемам, — месть местным властям за укрывательство видных деятелей МЕК, а также за выпады в адрес наиболее почитаемых в Исламской Республике фигур (в первую очередь, в отношении Высшего руководителя (рахбара) Хаменеи и генерала КСИР Касема Сулеймани). И, отталкиваясь от этой версии, можно даже предположить, что поставленные на этапе ее подготовки удара цели были достигнуты — в первую очередь, потому что атака привела к переносу широко разрекламированного Всемирного саммита за свободу Ирана (организован по инициативе МЕК), который должен был состояться в Тиране в конце июля, а также внесла раскол в ряды антииранского эмигрантского движения и обострила конфликт между албанским правительством и оппозицией.

Кроме того, некоторые западные специалисты в области кибербезопасности подчеркивают, что масштабный удар по албанским объектам, произведенный Тегераном, мог быть частью большой оперативной комбинации по «прощупыванию» цифровых мощностей оппонентов из числа стран ЕС. Так, в конце августа 2022 г. хакерская группировка «Cuba Ransomware», которую неоднократно обвиняли в поддержке иранских киберкоманд, осуществила серию атак на правительственную инфраструктуру Черногории, а незадолго до этого сообщалось о неудачных кибератаках (также с участием иранских группировок) на объекты США и Франции. И хотя эти страны продолжают официально настаивать, что перечисленные эпизоды не связаны между собой, тактика поведения хакеров во всех случаях была практически идентичной.

Необходимо также отметить, что атака, за которой последовал разрыв отношений между Албанией и Ираном, могла быть осуществлена без прямого указания Тегерана. Учитывая специфику иранской киберсистемы (в частности, наличие большого количества лояльных, но не интегрированных в структуру группировок), хакеры могли самостоятельно выбрать формат (парализация цифровых сервисов) и конечную цель (в данном случае — кража личных данных членов МЕК) акции, а также выявить слабые места в системе цифровой защиты Албании (тем более, что по уровню развития национальных киберструктур страна является одной из слабейших в Европе). Впрочем, сравнительно высокий уровень квалификации атаковавших, не свойственный простым хакерам-лоялистам, ставит эту версию под сомнение.

А был ли Тегеран?

В то же время, несмотря на схожесть «почерков» и наличие у Ирана объяснимого «мотива», албанский киберинцидент можно рассматривать и как сфабрикованный. Так, первыми (4 августа 2022 г.) иранский «цифровой след» в атаке на Албанию выявили специалисты компании «Mandiant» (на данный момент структурное подразделение корпорации «Google LLC»), известной резонансными докладами о специализирующихся на кибершпионаже структурах на службе правительств КНР (2013 г.) и РФ (2020, 2021, 2022 гг.). Учитывая, что в докладах Mandiant неточности не были редкостью, «иранский след» в кибератаке на Албанию мог быть определен ошибочно — тем более, что наравне с «иранской» версией долгое время рассматривались также «китайская» и «русская».

Другая гипотеза гласит, что иранские группировки из «внешней орбиты» были использованы «втемную», а реальной целью атаки была оценка темпов развития наступательных цифровых средств Ирана. Причем оценка велась не столько в интересах европейских государств, сколько ближневосточных оппонентов ИРИ (поскольку в соответствии с двусторонним соглашением от 2021 г. в отражении атаки участвовали в том числе представители крупных израильских киберфирм). Отраженная кибератака также могла стать подходящим поводом для ужесточения действующего в отношении Ирана санкционного режима — косвенно эту идею подтвердил Вашингтон, введя санкции против Министерства информации и национальной безопасности Ирана и ряда высокоранговых чиновников; и усиления давления на Тегеран по другим направлениям.

Более того, столь агрессивный выпад «за пределами» традиционной зоны иранской кибервойны (т.е. вне Ближнего Востока) позволил бы вернуть прежнее внимание к концепту «иранской киберугрозы», который в последнее время нередко подвергался сомнению.

***

Леонид Цуканов:
Силы безопасности ССАГПЗ: цифровое измерение

Независимо от того, кто на самом деле стоит за резонансной атакой — иранские хакеры или команды, умело под них маскирующиеся, — устранять последствия инцидента предстоит правительству ИРИ. И сегодня власти находится в крайне невыгодном положении — учитывая, что в Тиране заявляют о новых «иранских атаках» (последняя была зафиксирована 9 сентября 2022 г.), ожидать разрядки в отношениях двух стран (равно как и ослабления давления на ИРИ со стороны западных партнеров) не приходится.

Вероятнее всего, текущее обострение приведет к частичному пересмотру иранской стратегии поведения в киберпространстве (с упором на оборонительный аспект) — тем более, что перечисленные атаки существенно повысили риск ответного удара. В условиях усилившегося противостояния Тегерану предельно важно защитить слабые места своей цифровой системы (и, в первую очередь, объектов, связанных с производством и реализацией топлива).

Не следует исключать и того, что ставка будет сделана на «обеление» иранской репутации посредством пропаганды. В данном случае в атаках на албанские ресурсы, скорее всего, обвинят организацию «Тондар» [5] (ранее на нее уже списывали координацию кибератак на топливно-энергетический сектор ИРИ), а в качестве цели назовут дискредитацию действующего иранского режима — тем более, что подобное поведение вполне укладывается в идеологию организации.

Так или иначе, разрыв албано-иранских отношений формирует довольно опасный международный прецедент, поскольку является первым примером прекращения двусторонних связей после кибератаки. Весьма вероятно, что подобная практика будет использована в обозримом будущем, что, в свою очередь, создаст обширное поле для информационных спекуляций и лоббирования непопулярных политических решений.

1. Речь, в первую очередь, о репрессиях в отношении сотрудников «Фонда Корана Косово» (Qur'an Foundation of Kosovo, QFK), созданного в Приштине в 2002 г. Помимо распространения проиранского видения ситуации в мире, QFK приписывают финансовые махинации и поддержку террористических движений на Балканах.

2. Организация признана террористической в Ираке и Иране; исключена из перечня террористических и радикальных организаций ЕС в 2009 г.

3. В частности рахбар Хаменеи в одной из речей назвал Албанию «маленькой и зловещей страной», которая поддерживает попытки свержения законных властей Ирана (имея в виду, в первую очередь, поддержку МЕК).

4. По ряду версий, группировка была «направляющей» (т.е. осуществляла основной удар и контролировала ход атаки, а также размещение полученных материалов в открытом доступе), всего же к нападению могли быть привлечены до десяти хакерских команд.

5. Также Шахская ассамблея Ирана, Солдаты Шахской ассамблеи, Монархический комитет Ирана – иранская подпольно-эмигрантская организация, выступающая за свержение действующего режима.