Проект РСМД
Кибермощь Ирана
[|]
Насколько важна информационная и кибербезопасность для стабильности Ирана?
Для Ирана, практически с начала 1980-х гг. находящегося в сложном геополитическом и геостратегическом окружении и глобальном противостоянии с основными внешнеполитическими соперниками — США, Израилем и блоком нефтяных монархий Персидского залива, возглавляемым Саудовской Аравией — необходимость обеспечения информационной безопасности и кибербезопасности в национальном масштабе является одним из факторов геополитической устойчивости наравне с поддержанием относительного военно-политического паритета.

Как и для всех современных государств, этому способствует все возрастающая зависимость функционирования системы государственного управления, социальной, экономической, транспортной и военной инфраструктуры Ирана от устойчивости и дееспособности обеспечивающей их информационной инфраструктуры. При этом для Ирана спектр угроз в киберпространстве, исходящих от внешних источников, дополняется внутренним фактором: устойчивость иранской государственной системы сильно зависит от внутриполитической ситуации в иранском обществе. Это, в свою очередь, связано с внутриэкономическими проблемами и сложной общественно-политической атмосферой, которая подвержена информационному воздействию оппозиции и поддерживающих ее внешних сил. Не раз выявляемая вероятность использования внешними силами интернет-сетей для информационного воздействия на внутриполитическую ситуацию в стране также ориентирует иранское руководство на приоритетное развитие эффективных механизмов по обеспечению контроля за интернет-пространством, мониторингу размещаемого контента и активности пользователей.

Иран, официально причисленный США к «оси зла», стал, пожалуй, одним из приоритетных объектов кибератак со стороны спецслужб США и их союзников — в первую очередь Израиля. Это не могло не побудить Иран к созданию собственного потенциала в сфере кибербезопасности — как в части противодействия киберугрозам, так и в части развития систем по кибершпионажу и кибератакам на объекты критической инфраструктуры возможных противников. При этом потенциал в сфере кибербезопасности рассматривается Ираном в качестве одного из ключевых и эффективных инструментов так называемой «мягкой силы».

Приоритетными направлениями иранских киберопераций являются США, Израиль, монархии Персидского залива, а также ведущие западноевропейские государства. По данным приводимого в статье мониторинга деятельности иранских кибергрупп, промышленный кибершпионаж и кибератаки со стороны Ирана были нацелены в первую очередь на высокотехнологичные отрасли государств-мишеней, базы данных которых имеют ценность для развития соответствующих иранских компетенций, либо инфраструктурные отрасли, сбои в работе которых обеспечивали наибольший общественный резонанс. В частности, это аэрокосмическая промышленность, оборонно-промышленный комплекс, добывающая промышленность, энергетический, финансовый и телекоммуникационный секторы. В числе крупнейших киберопераций, проводившихся иранскими группами (либо группами, идентифицируемыми в качестве иранских), отмечались такие резонансные акции, как компания Madi (2012 г.), Operation Ababil (2012–2014 гг.), Operation Shamoon/Operation Shamoon 2 (2012 г. и 2016–2017 гг.), #OpIsrael и #OpUSA (2013 г. и последующие годы), Operation Cleaver (2012–2014 гг.), Operation Saffron Rose (2013–2014 гг.), Operation Newscaster (2011–2014 гг.), Operation Woolen-GoldFish (2014–2015 гг.), Operation Wilted Tulip (2013–2017 гг.) и Magic Hound (2016­–2017 гг.). В ходе этих операций объектами становились десятки госучреждений и частных компаний вышеперечисленных стран.

Зарубежными исследователями указывается на все большее смещение акцента иранских спецслужб на проведение киберопераций для сбора разведданных. Также кибероперации в случае их неудачного исхода, по сравнению с провалами агентов иранских спецслужб или завербованных ими лиц, гораздо менее доказуемы и менее резонансны в дипломатическом отношении. При этом западными исследователями отмечалось, что целью большинства киберопераций, проводимых иранскими кибергруппами, в отличие от, к примеру, Китая и других стран, зачастую является не только шпионаж, но и нанесение максимального ущерба объекту атаки. Также наиболее заметными иранскими хакерскими группами практически не проводятся кибероперации, связанные с финансовым пиратством.

Важными объектами киберопераций иранских спецслужб в сфере контроля за информационным пространством также являются иранские оппозиционные партии, диссиденты и неправительственные организации (как в самом Иране, так и за границей), национальные диаспоры и сотрудники госструктур. В отдельных источниках отмечается, что большая часть операций иранских киберструктур проводится именно против внутренних оппозиционных движений, при этом применяются довольно разнообразные эффективные методы мониторинга и проведения киберопераций по взлому, уничтожению баз данных, блокировке сайтов и аккаунтов.

Развитие национальных компетенций в сфере обеспечения кибербезопасности упомянуто в государственных программных документах. В частности, в рамках реализации национального плана экономического развития на 2011–2016 гг. обозначалось обеспечение доступа пользователей к безопасным онлайн сетям и обеспечение кибербезопасности, внедрение в государственных ведомствах системы управления информационной безопасностью (Information Security Management System — ISMS). Также в национальном плане говорилось о создании операционных центров информационной безопасности (ISOCs) в соответствии с программным документом, разработанным и принятым AFTA в 2015 г. и посвященным вопросам национальной кибербезопаности. В сентябре 2015 г. министр связи и информационных технологий Ирана Махмуд Ваези анонсировал, что в рамках реализации национального плана экономического развития на 2016–2021 гг. Иран планирует выйти на ведущее место в регионе по обеспечению кибербезопасности пользователей.

При этом, по данным Международного союза электросвязи (International Telecommunication Union — ITU), по индексу кибербезопасности (Global Cybersecurity Index) в 2014 г. Иран занимал 19-е место в мире, а в 2017 г. ­— лишь 60-е. Однако необходимо учитывать, что рейтинг преимущественно отражает уровень информационной безопасности государств по комплексу базовых показателей — наличию национальных правовых систем координации политики и стратегий развития кибербезопасности, технических возможностей по обеспечению информационной безопасности, научно-исследовательских и образовательных программ в сфере информационной безопасности. При подсчете индекса не сравнивается потенциал и компетенции стран в части кибербезопасности и проведения кибератак. Для сравнения: в рейтинге Global Cybersecurity Index 2017 первые три позиции заняли Сингапур, США и Малайзия, Франция заняла 8-е место, Россия — 10-е, Великобритания — 12-е, а Израиль и Китай только 20-е и 30-е соответственно. Такой рейтинг мало коррелирует с реальными компетенциями данных государств в сфере обеспечения кибербезопасности критически важных объектов и их возможностями по проведению киберопераций в отношении потенциальных противников.

При этом важно отметить, что хотя антииранские санкции и оказали существенное сдерживающее воздействие на ВПК Ирана и потребовали значительных бюджетных ассигнований (в силу сохраняющейся зависимости от зарубежного технического содействия и от передачи технологий), но они несильно повлияли на развитие иранской сферы кибербезопасности.

Иранские официальные лица при оценке развития национальных компетенций в сфере кибербезопасности указывают на их достаточно высокий уровень и поступательный рост и при этом неизменно отмечают их приоритетную направленность на защиту от иностранного вмешательства. К примеру, по оценке, сделанной еще в 2013 г. заместителем командующего ополчением Basij бригадным генералом Мохамадом Хосейном Сепером, по потенциалу в области кибербезопасности Иран находится на четвертом месте в мире и целью КСИР является поддержка киберкомпетенций на уровне, обеспечивающем выдерживание стратегического баланса с США и Израилем. В 2014 г. руководителем департамента информационных технологий и связи Генерального штаба Вооруженных сил Ирана генералом Мохаммадом Акакиши отмечалось, что «Иран в полной мере готов к противоборству в киберпространстве», и подчеркивалось, что, несмотря на постоянные угрозы США в адрес Тегерана, Вашингтон вынужден учитывать потенциал Ирана в сфере информационных технологий.

Как правило, высоко оцениваются возможности Ирана в сфере кибербезопасности и большинством западных исследователей, относящих Иран к числу шести государств мира с наиболее развитыми компетенциями, наряду с США, Россией, Китаем, Израилем и Великобританией.

Уже в 2013 г. израильским исследовательским центром Institute for National Security Studies (INSS) отмечалось, что Иран имеет значительный потенциал для проведения кибератак, и в случае эскалации противостояния между Ираном и западными странами он может быть использован в отношении критически значимых объектов инфраструктуры США и их союзников, включая банковский и финансовый сектор, энергетическую и транспортную инфраструктуру. Тогда же командующий Космическим командованием ВВС США генерал Уильям Шелтон заявил, что Иран в скором времени станет «значимой силой в области кибербезопасности, с которой нужно будет считаться с учетом потенциальной угрозы, которую он может представлять для Соединенных Штатов». У. Шелтон также отметил, что «китайские хакеры — не единственные хакеры, о которых нужно беспокоиться Вашингтону».

В 2014 г. американские разведслужбы и эксперты в сфере кибербезопасности были вынуждены признать достижение Ираном значительного уровня компетенций в этой области и потенциала по проведению киберопераций, свидетельством чему стали массированные атаки на финансовый, банковский и оборонный сектор США (операции Ababil, Safron Rose) и против объектов на Ближнем Востоке (операции Shamoon/Shamoon 2). По данным доклада «Iranian Cyber Warfare Threat Assessment», опубликованного в 2015 г. американской компанией по кибербезопасности Defense Technology Corporation LLC, Иран позиционировался в числе пяти ведущих стран мира с наиболее развитыми компетенциями в области кибербезопасности и проведения киберопераций. Не менее высокая оценка была дана в 2016 г. адмиралом Майклом Роджерсом, возглавлявшим АНБ и Киберкомандование вооруженных сил США. Он отметил, что Иран становится одним из наиболее опасных противников в киберпространстве наряду с Россией и Китаем. В 2017 г. Научный совет Министерства обороны США опубликовал отчет с выводом о возрастающем потенциале Ирана и Северной Кореи по проведению кибератак в отношении США, а также о необходимости принятия усилий для их сдерживания, аналогичных мерам противодействия развитию ядерной программы этих стран.

Согласно недавним оценкам специалистов американского института Washington Institute for Near East Policy, Иран готов к проведению киберопераций для блокирования систем управления критически важными военными объектами, инфраструктурой и логистикой США. Аналогичные оценки приводились чиновниками американской администрации, заявлявшими, что Иран подготовил фундамент для проведения масштабных кибератак на критически значимые объекты инфраструктуры США, западноевропейских и ближневосточных стран. При этом, согласно опубликованному в 2016 г. отчету Управления государственной отчетности США, в отношении возрастающей активности иранских хакерских атак отмечалось, что почти все критически важные инфраструктурные отрасли США не имели адекватных показателей по кибербезопасности.

Несмотря на очевидный потенциал Ирана по противодействию зарубежным кибератакам и проведению собственных, отдельными зарубежными источниками отмечается ограниченность компетенций Ирана по сравнению, к примеру, с возможностями США, России и Китая, в т.ч. и в силу значительного отставания в техническом оснащении.

Большинством зарубежных исследователей указывалось, что, несмотря на довольно масштабный характер иранских кибератак, в ряде случаев приводивших к серьезному ущербу, в том числе финансовому, их объектами преимущественно становились коммерческие организации. При этом отмечалось, что кибератаки, проводившиеся в отношении информационных ресурсов американских оборонных компаний, имели весьма ограниченный успех, и практически отсутствовали сообщения о краже Ираном чувствительной информации. Случаи успешных киберопераций против американских и европейских госструктур также пока являются единичными, и основная масса резонансных инцидентов связана с атаками на менее защищенные аккаунты и почтовые адреса госслужащих, либо второстепенные и внешние инфраструктурные объекты. Признавалась определенная эффективность проведения иранскими хакерами кибератак по хищению баз данных и их блокировке.

Аналогичные оценки давались и в контексте анализа потенциала иранских хакеров при атаках на Израиль. Исследователи отмечали, что, несмотря на имевшие место случаи уничтожения баз данных израильских пользователей, возможности иранских кибергрупп для атак на критически значимые инфраструктурные объекты были довольно ограниченными. Поэтому их целями преимущественно становились менее защищенные объекты — серверы научных и коммерческих организаций, вузов, а также аккаунты сотрудников госведомств и организаций в соцсетях.

Из довольно широкого спектра комментариев для оценки реальных возможностей Ирана в сфере кибербезопасности стоит отметить два крайних момента. Во-первых, несмотря на подчеркиваемую необходимость всего лишь обеспечить собственную кибербезопасность, Иран все же стремится позиционировать свои возможности по киберпротивоборству в качестве действенного фактора воздействия на геополитических соперников. Во-вторых, западные, прежде всего американские, чиновники стремятся представить рост иранского киберпотенциала (как и его ядерной программы) в качестве жупела для обоснования геополитического давления на Тегеран и выбивания дополнительных ассигнований для реализации собственных масштабных программ по развитию киберпотенциала и оборонного сектора. При этом очевидно, что проведением довольно масштабных киберопераций против правительственных, военных и научных учреждений, экономических субъектов и инфраструктурных объектов в США, Саудовской Аравии, западноевропейских и прочих государствах Иран продемонстрировал наличие дополнительного спектра возможностей ответного реагирования на вероятную внешнюю военную агрессию.

Зарубежные источники признают, что иранские кибероперации могут служить примером довольно успешного противодействия стран третьего мира ведущим мировым державам в данной сфере. Многие эксперты рассматривают ставку Ирана на приоритетное развитие национальных компетенций в сфере кибербезопасности не только как фактор обеспечения военно-стратегического паритета с США и прочими потенциальными противниками. Также указывается, что достигнутый потенциал в сфере кибервозможностей вполне может использоваться Тегераном в качестве силового фактора в переговорном процессе с США и прочими геополитическими оппонентами.

Например, зарубежные наблюдатели отмечали видимый спад активности киберопераций, направленных на США, после заключения в 2015 г. международного соглашения по иранской ядерной программе (Joint Comprehensive Plan of Action — JCPOA). Это трактовалось в т.ч. как косвенное свидетельство связи иранских кибергрупп с госструктурами. При этом одновременно отмечался рост активности проводимых киберопераций на региональном уровне против союзников США (в первую очередь против Саудовской Аравии и Израиля), что отдельными западными наблюдателями воспринималось как сохранение косвенного давления на США. После фактического демарша в сентябре 2017 г. администрации Дональда Трампа по отказу от JCPOA американские спецслужбы указывали на риск возобновления Ираном масштабных кибератак против США, что подтверждалось активизацией деятельности иранских хакеров.
Организация системы национальной кибербезопасности Ирана
Прогрессирующий рост числа интернет-провайдеров и пользователей в Иране к началу 2000-х гг., а также вероятность использования внешними силами Интернет-сетей для информационного воздействия на внутриполитическую ситуацию в стране ориентировали иранское руководство к формированию специальных структур по контролю за интернет-пространством. Целью такой меры стал мониторинг поведения пользователей и размещаемого контента. Также были назначены ответственные за разработку национальной политики в сфере регулирования и обеспечения контроля над информационным пространством.

Так, в конце 2002 г. был организован Комитет по предписанию мер в отношении запрещенных Интернет-ресурсов. Он выступал в качестве органа, определяющего критерии запрета функционирования Интернет-ресурсов. Также был создан Комитет по надзору за запрещенными веб-ресурсами, в который входили представители Министерства разведки, Министерства культуры и исламской ориентации, Министерства юстиции. Как сообщало иранское оппозиционное движение National Council of Resistance of Iran (NCRI), к началу 2003 г. Комитет по надзору заблокировал более 15 тыс. сайтов.

Позднее, в 2003 г., Высшим советом по информационной безопасности был принят план по кибернадзору, ставший программным документом по комплексному мониторингу и контролю над киберпространством. В 2005 г. для разработки политики и стратегии технологического развития, в т.ч. в области информационной безопасности и кибертехнологий, был создан Высший совет по технологическим инновациям.

В рамках дальнейшей политики усиления контроля над киберпространством в июле 2009 г. Высшим советом культурной революции при главе государства был создан Комитет по идентификации несанкционированных сайтов. В его состав входили генеральный прокурор, глава национальной полиции, министры юстиции, культуры, разведки, телекоммуникаций, науки, руководство радиотелевизионных компаний. Позднее был создан Комитет по выявлению криминального интернет-контента, также формируемый из представителей профильных министерств и ведомств.

Обеспечение собственно кибербезопасности и проведение киберопераций изначально обеспечивались Корпусом стражей исламской революции и Министерством разведки (Департаментом технологий), однако деятельность их киберслужб носила автономный и довольно изолированный характер, преимущественно ориентированный на выполнение операций в ведомственных интересах, зачастую без осведомленности и согласования с остальными госструктурами. По данным иранского оппозиционного движения National Council of Resistance of Iran (NCRI), создание специальных сил кибербезопасности в структуре разведслужбы Корпуса стражей исламской революции (КСИР) относится к 2008­–2009 гг. При этом решение о создании специальных сил кибербезопасности инициировалось на уровне Верховного совета по национальной безопасности. К этому же периоду относится установление со стороны КСИР непосредственного контроля над деятельностью идентифицированных иранских хакерских групп.

Переломным моментом для обеспечения Ираном кибербезопасности на общегосударственном уровне стала разрушительная кибератака, проведенная на объекты иранской ядерной инфраструктуры с использованием вируса Stuxnet в 2010 г. Предложение о необходимости формирования централизованной системы обеспечения национальной кибербезопасности при ведущей роли КСИР было озвучено в декабре 2010 г. Это произошло на совещании, инициированном командующим КСИР генерал-майором Мохаммадом Али Джафари и начальником сил кибербезопасности КСИР Маджидом Садекианом. Помимо киберподразделений, подчиненных непосредственно КСИР, также предлагалось формировать кибергруппы в структуре военизированного ополчения Basij и сил специального назначения Qods Force, которые должны были действовать в координации с разведывательной службой КСИР.

Также в составе «Организации пассивной гражданской обороны», существующей с 2003 г., были созданы две структуры: Командование кибербезопасности и штаб-квартира кибербезопасности. «Организация пассивной гражданской обороны» входит в структуру Генерального штаба ВС Ирана и является органом межведомственной координации и управления мероприятиями по обеспечению внутренней обороноспособности государства и гражданской обороны в случае военных действий. В свою очередь Командование кибербезопасности было организовано в ноябре 2010 г. в качестве органа управления мероприятиями по обеспечению информационной безопасности и киберзащиты. Штаб-квартира кибербезопасности была создана в октябре 2011 г. и стала играть роль национального координирующего органа по непосредственному управлению мониторингом и предотвращением кибератак на критически значимые объекты (ядерные объекты, электростанции, центры обработки данных, банки и пр.).

В марте 2012 г. высшим руководителем Ирана аятоллой Али Хаменеи было инициировано создание Верховного совета по киберпространству — структуры, определяющей и координирующей государственную политику в сфере кибербезопасности, возглавляемую президентом Ирана и формируемую из руководителей ключевых госструктур и ведомств — меджлиса (парламента), КСИР, Министерства разведки, Министерства науки, исследований и технологий, Министерства культуры, Министерства связи и информации, полиции, судебной системы, государственных телерадиокоммуникационных компаний, научных организаций. Известно также о создании в структуре Верховного совета по киберпространству Центра национальной кибербезопасности Ирана, который в настоящее время возглавляет Саид Махдиюн.

В структуре Министерства связи и информационных технологий Ирана в 2008 г. был создан Центр информационной безопасности MAHER (MAHER Information Security Center), отвечающий за реагирование на чрезвычайные ситуации в киберпространстве.

В 2012 г. на базе MAHER была организована национальная группа реагирования на чрезвычайные ситуации в киберпространстве Iranian National Computer Emergency Response Team — IrCERT/MAHER. В тесной координации с ней работают специализированные центры крупнейших профильных технических вузов — Исфаханского технологического университета, Технологического университета имени Амира Кабира, Ширазского университета, Технологического университета имени Шарифа. Сообщалось, что с целью обеспечения информационной безопасности данных пользователей крупнейшим иранским оператором мобильного доступа к интернету компанией Mobile Telecommunications Company of Iran (MCI) в январе 2018 г. также была создана группа реагирования на чрезвычайные ситуации MCI CERT.

В числе крупнейших базовых организаций по исследованию проблем кибербезопасности и профессиональной подготовки специалистов также упоминаются Центр информационных технологий и кибербезопасности при Тегеранском университете, Исследовательский институт по киберпространству при Университете имени Шахида Бехешти (Shahid Beheshti University), Центр перспективных информационных и телекоммуникационных технологий и Институт перспективных коммуникационных исследований, созданные при Технологическом университете имени Шарифа.

Несмотря на организацию в национальном масштабе иерархически выстроенной вертикали управления информационной и кибербезопасностью, ключевые компетенции, ресурсы и потенциал (особенно в части проведения киберопераций) в данной сфере по-прежнему сосредоточенны в структуре Корпуса стражей исламской революции.

Как упоминалось ранее, создание специальных сил кибербезопасности в структуре разведслужбы КСИР относится к 2008–2009 гг., причем решение о создании специальных сил кибербезопасности в структуре КСИР инициировалось на уровне Верховного совета по национальной безопасности. Как сообщалось иранскими оппозиционными движениями, непосредственное управление в структуре КСИР вопросами кибербезопасности и киберопераций ведется Командованием по кибербезопасности. Известно также о наличии в составе КСИР специальной структуры по радиоэлектронной борьбе и кибербезопасности — IRGC JANGAL Organization (Islamic Revolutionary Guard Corps Electronic Warfare and Cyber Defense Organization).

По информации, фигурировавшей в западных источниках, численность подразделений кибербезопасности КСИР на момент их организационного формирования составляла порядка 2400 специалистов, а годовой бюджет оценивался в 76 млн долл.

В 2010 г. в структуре подчиненного КСИР военизированного ополчения Basij также была создана собственная координирующая структура — Совет по кибербезопасности. Он был ориентирован на обеспечение информационной безопасности, проведение мониторинга и осуществление киберопераций. Зарубежными обозревателями указывалось, что непосредственное обеспечение мероприятий по информационной безопасности и проведение киберопераций, входившее в сферу ответственности Basij, осуществлялось Департаментом технологий и информации Basij. Как сообщалось, созданный в 2011 г. Совет по кибербезопасности также занимается подготовкой и вербовкой хакеров, привлекаемых для проведения кибер-операций в интересах КСИР и спецслужб.

Как обозначалось иранскими оппозиционными источниками, в структуре Министерства разведки Ирана вопросы обеспечения кибербезопасности и проведения операций по кибершпионажу находятся в ведении Департамента технологий. По данным зарубежных источников и иранской оппозиции, помимо КСИР и Министерства разведки Ирана собственная структура по кибербезопасности также имеется и в «Организации электронной промышленности Ирана» — группа Communications and Intelligence Innovation Group.

В январе 2011 г. специальное подразделение по борьбе с киберпреступностью – киберполиция (Iranian Cyber Police / FATA) — было создано в структуре иранских сил обеспечения правопорядка. В начале 2016 г. командующим силами правопорядка Ирана генерал-лейтенантом Хусейном Аштари было заявлено о создании киберполицией FATA специального центра реагирования на киберпреступления — Online Cybercrime Emergency Center. Позднее сообщалось о создании Центра реагирования на чрезвычайные ситуации в киберпространстве, в функции которого входит отражение кибератак. Помимо официально декларируемых функций борьбы с киберпреступностью, противодействия интернет-мошенничеству и кражам данных пользователей, FATA в том числе ориентирована на мониторинг социальных сетей, интернет-трафика и контента пользователей, а также проводит кибероперации и кибершпионаж против оппозиционных партий и диссидентов.

В начале 2018 г. иранскими СМИ сообщалось, что в целях правового и законодательного обеспечения национальной политики в области кибербезопасности специальный комитет по киберпространству планировалось создать в структуре парламентской комиссии по национальной безопасности и внешней политике.
Национальная инфраструктура кибербезопасности Ирана: компетенции и потенциал
Информационные сети и инфраструктура профильных иранских госструктур, специализированных организаций и информационных центров составляют базис обеспечения национальной информационной безопасности от внешних вторжений. Координирующие функции в вопросах мониторинга и управления мероприятиями по обеспечению информационной безопасности и киберзащиты выполняют головные структуры в виде Центра национальной кибербезопасности Ирана (Iranian National Cyberspace Center), Верховного совета по киберпространству, Командования кибербезопасности (Cyber Defense Command) и штаб-квартиры кибербезопасности (Сyber Defence Headquarters). Все они входят в «Организацию пассивной гражданской обороны» (Passive Civil Defense Organization).

Непосредственное функциональное обеспечение информационной безопасности и киберзащиты осуществляется Национальной группой реагирования на чрезвычайные ситуации в киберпространстве IrCERT/MAHER и входящими в ее структуру специализированными центрами крупнейших профильных технических вузов. В число последних входят Исфаханский технологический университет (Isfahan University of Technology CERT), Технологический университет имени Амир-Кабира (Amirkabir University of Technology CERT), Ширазский университет (Shiraz University CERT), Технологический университет имени Шарифа (Sharif University CERT). Также вопросами кибербезопаности занимается входящая в состав IrCERT/MAHER группа реагирования на чрезвычайные ситуации MCI CERT. В части обеспечения борьбы с киберпреступностью и противодействия интернет-мошенничеству также задействована инфраструктура киберполиции FATA, в т. ч. ее специальные структуры — Центр реагирования на киберпреступления (Online Cybercrime Emergency Center) и Центр реагирования на чрезвычайные ситуации в киберпространстве (Cyber Attacks Emergency Center), в функции которого входит отражение кибератак.

Компетенции в сегменте проведения киберопераций (акций пропагандистского характера и операций по блокированию веб-ресурсов, кибершпионажу в отношении внутренних и внешних объектов) сосредоточены в структуре Корпуса стражей исламской революции, подчиненной ей организации военизированного ополчения Basij и Министерства разведки Ирана. Для мониторинга социальных сетей, интернет-трафика и контента пользователей, а также проведения киберопераций и кибершпионажа против оппозиционных партий и диссидентов также используется аппарат и сетевая инфраструктура киберполиции FATA.
Как упоминалось ранее, непосредственное управление вопросами кибербезопасности и киберопераций в структуре КСИР ведется командованием по кибербезопасности (IRGC Cyberspace Command), а также специальной структурой по радиоэлектронной борьбе и кибербезопасности — IRGC JANGAL Organization (Islamic Revolutionary Guard Corps Electronic Warfare and Cyber Defense Organization/IRGC JANGAL Organization). В структуре подчиненного КСИР военизированного ополчения Basij функции управления и инфраструктурного обеспечения мероприятий по информационной безопасности, проведению мониторинга и осуществлению киберопераций находится в ведении Совета по кибербезопасности (Basij Cyber Council). Непосредственное проведение киберопераций, входящее в сферу ответственности Basij, осуществлялось

Департаментом технологий и информации данной организации (Basij Technology and Information Department), который, как сообщалось, был создан в 2011 г.

Согласно данным, приводившимся иранскими оппозиционным движением «Национальный совет сопротивления Ирана» (National Council of Resistance of Iran) и западными источниками, крупнейшим инфраструктурным объектом КСИР по обеспечению кибербезопасности и проведения киберопераций является база Ammar Cyber Base (Ammar Cyberspace base), также обозначаемая как Ammar Cyber Headquarters. Ее командующий — Мехди Таеб, заместитель – Алиреза Панахиан. Западными исследователями также сообщалось о наличии батальона киберопераций Cyberspace Cultural Operations Battalions в составе расквартированного в Тегеране из состава КСИР корпуса Muhammad-Rasul-Allah Corps (MRAC). Он ориентирован на проведение мониторинга и контроля за медиа- и интернет-ресурсами в Тегеране.

Западными исследователями указывалось, что большая часть иранской IT-инфраструктуры, используемой для проведения пропагандистских акций в интернете и киберопераций, поддерживается специалистами ополчения Basij. Частью этой инфраструктуры являются и веб-сайты региональных командований КСИР (всего 31 региональное командование, в каждой из провинций Ирана) с доменными адресами www.province.basij.ir.

Также отмечается, что для кибератак иранские хакеры используют IT-инфраструктуры иранских технических вузов, имеющих свои центры по информационной безопасности. В частности, западные источники на основании мониторинга идентифицированных при проведении кибератак IP-адресов на территории Ирана и использовавшихся доменов, указывали на проведение кибератак с IP-адресов связанных с Технологическим университетом имени Шарифа (Sharif University), Mabna Institut, а также Университета имени имама Хусейна (Imam Hossein University – IHU). Примечательно, что первые два из них внесены США в санкционные списки иранских организаций, причастных к хакерским атакам. К примеру, Министерством юстиции США в марте 2018 г. указывалось на причастность афиллированного с КСИР института Mabna Institute к массовым кибервторжениям в компьютерные системы и кражам баз данных. Объектами атаки стали примерно 144 американских университетов и не менее чем 176-ти университетов из 21-й страны мира, а также 47 американских и иностранных компаний. В результате операций из баз данных было украдено более 31 Тбайт информации, а финансовый ущерб оценивался в 3,4 млрд долл.

Западные источники также отмечали, что иранскими кибергруппами при проведении хакерских атак активно использовались веб-ресурсы, размещавшиеся за рубежом. В частности, часть интернет-инфраструктуры и сайтов группы Ashiyane Digital Security Team базировалась на хостинге американских и германских провайдеров. Группой CopyKittens фишинговые рассылки проводились с IP-адресов, зарегистрированных в США, Канаде, Израиле Франции, Нидерландах и России. ФБР США в июле 2017 г. были опубликованы данные о сети серверной инфраструктуры на территории США, включавшей 87 IP-адресов и 136 специально зарегистрированных доменов, использовавшихся иранскими хакерскими группами для атак на компьютерные сети государственных учреждений и коммерческих компаний в США, Европе и на Ближнем Востоке. Доменные адреса использовались для фишинговых рассылок по электронной почте и атак типа «watering hole».

Помимо развития инфраструктурного обеспечения информационных сетей и ресурсов, серьезные и целенаправленные усилия прилагаются Ираном в части обеспечения самостоятельности в разработке программного обеспечения, в том числе антивирусных программ. Министерством связи и информационных технологий Ирана после серии кибератак на иранские инфраструктурные объекты в 2010–2012 гг. был введен запрет на приобретение антивирусного программного обеспечения зарубежной разработки и инициирована разработка национальных программных продуктов. К примеру, по оценкам зарубежных специалистов, долгое время основным инструментом для мониторинга и фильтрации интернет-контента для иранских спецслужб было специализированное ПО SmartFilter, разработанное американской компанией Secure Computing Corporation. При этом сама компания отрицала какие-либо поставки и указывала на использование Ираном нелицензионных копий. Примерно с 2006 г. отмечалось использование модифицированной иранскими специалистами версии ПО SmartFilter: она была оптимизирована для фильтрации сайтов на персидском языке и англоязычных сайтов. Позднее сообщалось о самостоятельной разработке Ираном аппаратных комплексов и программного обеспечения для мониторинга и фильтрации интернет-контента. В апреле 2011 г. иранскими СМИ сообщалось, что иранская компания Amnafzar Ltd. Разработала интернет-фильтр Separ с функцией программного изменения режимов. В январе 2013 г. иранская полиция анонсировала разработку «интеллектуального программного обеспечения», обеспечивающего мониторинг и контроль за доступом пользователей к контенту интернет-сайтов и социальным сетям.

Западными источниками сообщалось, что в 2016 г. Министерство связи и информационных технологий ассигновало 1 трлн риалов (33 млн долл.) на создание системы по мониторингу и фильтрации интернет-контента. При этом отмечалось, что повышению эффективности контроля за интернет-трафиком способствует сама специфика доступа к сети, предоставляемая интернет-провайдерами через инфраструктуру контролируемой государством, крупнейшей иранской телекоммуникационной компании Telecommunication Company of Iran (TCI).

Как сообщалось национальными СМИ, к созданию собственного антивирусного ПО, в т. ч. для обеспечения кибербезопасности инфраструктурных объектов, Иран приступил в 2010 г. Разработки велись группой реагирования на чрезвычайные ситуации при Ширазском университете. В феврале 2012 г. Иран принял радикальное решение и полностью запретил приобретать зарубежное антивирусное ПО. Целью данной меры была независимость от зарубежного ПО в сфере обеспечения кибербезопасности и исключение возможности получения несанкционированного доступа к национальным информационным системам с его помощью. При этом Иран периодически заявляет об оригинальных разработках специальных программных продуктов для защиты информационных сетей и серверов. В частности, отмечалось, что еще в 2009 г. хакерским сообществом Ashiyane был разработан межсетевой экран (файервол) Apadana в качестве альтернативы используемым брандмауэрам разработки зарубежных компаний. В ноябре–декабре 2011 г. директор Организации пассивной обороны Голам Реза Джалали сообщил иранским СМИ о разработке антивирусной программы для очистки систем, пораженных вирусом Duqu. В мае 2012 г. Национальной группой реагирования на чрезвычайные ситуации в киберпространстве Iranian National Computer Emergency Response Team (IrCERT/MAHER) было заявлено о разработке антивирусного программного обеспечения, специально оптимизированного для выявления и нейтрализации вредоносного вируса Flame в компьютерных сетях.

В декабре 2013 г. министром обороны Ирана Хосейном Дехганом были представлены 12 новых программных продуктов, разработанных для кибербезопасности, в частности антивирусное программное обеспечение Padvish, разработанное компанией Amnpardaz Co. В мае 2017 г. иранскими источниками сообщалось, что разработанная в 2016 г. обновленная версия ПО Padvish показала высокую эффективность в выявлении и нейтрализации программы-кибервымогателя WannaCry, жертвами которой в тот период стали сотни тысяч пользователей в более чем 100 странах мира.

Несмотря на демонстрацию поступательного развития компетенций Ирана в сегменте программных средств обеспечения информационной безопасности, зарубежные исследователи указывают на отставание Ирана в части оснащенности техническими (аппаратными) средствами обеспечения контроля за информационными сетями и киберинфраструктурой. Это подтверждалось сохраняющейся зависимостью Ирана от зарубежных закупок аппаратно-программных средств.

Стоит также отметить, что ввиду действовавшего в последние годы режима международных санкций и отдельных санкционных ограничений со стороны США и западноевропейских государств, практически единственным зарубежным поставщиком телекоммуникационных программно-аппаратных средств в Иран стал Китай. В частности, сообщалось о закупке в 2010 г. телекоммуникационной компанией Ирана Telecommunications Company of Iran (TCI) у китайской компании ZTE Corporation интегрированной системы мониторинга ZXMT. Посредством прослушивания голосовой связи, перехвата текстовых сообщений, а также мониторинга веб-трафика и контента данная система обеспечивает мониторинг информации, передаваемой по компьютерным сетям, а также линиям стационарной и сотовой связи. Стоимость закупки составила 98,6 млн евро/130,6 млн долл. При этом большая часть номенклатуры оборудования и программного обеспечения была произведена американскими компаниями Hewlett Packard, Symantec, Microsoft, Dell и Cisco. Номенклатура поставок включала серверы Hewlett Packard ProLiant DL380 G7, принтеры HP LaserJet P2055dn, дисковые системы хранения данных HP 2000sa G2 Modular Smart Array, серверные контроллеры HP SC08Ge Host Bus Adapter, антивирусные программные комплексы для серверов и рабочих станций Symantec Endpoint Protection, системы управления базами данных Microsoft SQL Server 2005, серверные операционные системы Microsoft Windows Server 2003, операционные системы для ПК Microsoft Windows 7 Professional, широкоэкранные плоскопанельные дисплеи производства компании Dell, рабочие станции Dell T3500, системы управления базами данных Oracle 10g Enterprise Edition и Oracle 9i Enterprise Edition 9.2 для ОС Linux, многоуровневые матричные коммутаторы Cisco MDS 9124.

В июне 2011 г. Telecommunication Company of Iran (TCI) заключила еще один контракт с ZTE Corporation на закупку телекоммуникационного оборудования и программного обеспечения стоимостью 8 млн евро (10,5 млн долл.), включавшем порядка 20 номенклатурных позиций разработки и производства американских компаний, запрещенных США к экспорту в Иран (в частности, серверов производства IBM, коммутаторов производства Cisco Systems Inc и Brocade Communications Systems Inc., программного обеспечения для управления базами данных Oracle и EMC Corp, антивирусного ПО Symantec Corporation, файерволов Juniper Networks). Отмечалось, что большую часть контракта составляли серверы (30 единиц) и вспомогательное оборудование производства IBM на сумму более 6,8 млн евро (8,9 млн долл).

После преодоления последствий серии кибератак на объекты иранской ядерной инфраструктуры в 2010–2012 гг. Ираном декларировался поступательный рост потенциала и возможностей противодействия внешним киберугрозам. В части роста потенциала кибербезопасности иранскими официальными СМИ отмечалось, что, несмотря на продолжающиеся многочисленные попытки кибератак на иранские информационные ресурсы из-за рубежа, Ирану удается успешно им противостоять.

Уже в декабре 2012 г. заместитель командующего сил правопорядка Ирана Ахмад Реза Радан заявил, что Иран входит в число стран, наиболее успешно противодействующих киберугрозам: он выявляет до 60% кибератак, тогда как в других странах этот показатель не превышает 21­–25%. В конце 2014 г. иранские официальные источники, цитировавшиеся иранской телекомпанией PressTV, отмечали, что на протяжении года иранскими службами кибербезопасности ежедневно отражалось более 1000 кибератак на национальные IT-ресурсы. В 2015 г. иранские источники сообщали, что ежедневно киберполицией FATA и прочими службами по обеспечению кибербезопасности выявляется до 10000 кибератак на иранские IT-ресурсы. При этом указывалось, что большая часть из них успешно нейтрализуется. Можно отметить, что столь позитивные оценки косвенно подтверждалось практическим отсутствием каких-либо крупных успешных случаев проникновения зарубежных акторов на объекты иранской киберинфраструктуры в тот период.

По данным, приводившимся начальником киберполиции FATA бригадным генералом Сейедом Хадианфаром, за 2017 г. (период март 2017г. – март 2018 г.) было выявлено 7525 кибератак (в т. ч. 296 крупных) на инфраструктурные объекты Ирана. В их числе были атаки на информационные сети госучреждений, банков и финансовых организаций, телекоммуникационной инфраструктуры, объектов жизнеобеспечения. При этом было отмечено, что практически все кибератаки были пресечены и не нанесли заметного ущерба.
Развитие компетенций в сегменте средств радиоэлектронного подавления и противодействия
Важное значение Иран придает развитию компетенций и потенциала в смежных со сферой кибербезопасности сегментах разработки и оснащения вооруженных сил и спецслужб системами связи и управления, обеспечивающих устойчивость к средствам радиоэлектронного противодействия, а также созданию собственных систем радиоэлектронного и радиотехнического противодействия (РЭБ). В частности, иранскими специалистами достигнуты значимые результаты в области разработки средств радиоэлектронного противодействия системам спутниковой связи и навигации.

Свидетельством этому являются вызвавшие широкий резонанс у специалистов инциденты с поражением иранскими военными лазерным излучением оптических систем разведывательного спутника ЦРУ, проходившего над иранской территорией в декабре 2011 г. Также в данном контексте примечательны факты дистанционного перехвата управления американских БПЛА RQ-170 Sentinel (в декабре 2011 г. вблизи ирано-афганской границы) и ScanEagle (в декабре 2012 г.). Это стало доказательством наличия у Ирана технических средств обнаружения и бесконтактного противодействия беспилотным летательным аппаратам и низкоорбитальным спутникам. Согласно иранским источникам, перехват был осуществлен посредством блокирования управления БПЛА наземными операторами и искажения координатных сигналов системы геопозиционирования GPS.

По версии западных СМИ, перехват управления БПЛА RQ-170 Sentinel мог быть осуществлен с применением российского наземного комплекса исполнительной радиотехнической разведки 1Л222 «Автобаза». При этом Ираном сообщалось о разработке собственного комплекса радиотехнической разведки Alim, имеющего дальностьобнаружения радиоизлучающих целей до 250–300 км. Западными источниками указывается также на вероятную возможность перехвата либо нарушения Ираном управления системой регулирования судоходства в Персидском Заливе и Ормузском проливе посредством искажения сигналов системы глобального позиционирования (GPS). В 2012 г. сообщалось об отработке подразделением кибербезопасности иранских ВМС (Naval Cyber Defense Group) в ходе учений Velayat 91 сценария отражения кибератаки условного противника против компьютерной сети иранских ВМС с целью проникновения и взлома информации или внедрения вирусов.
Система подготовка специалистов по кибербезопасности
Иран предпринимает систематические и направленные усилия по формированию профессионального сообщества в области информационной и кибербезопасности. В специализированном формате подготовкой специалистов по кибероперациям, а также вербовкой хакеров занимается Совет по кибербезопасности военизированного ополчения Basij (Basij Cyber Council). Западными исследователями отмечалось, что в структуре ополчения Basij организованы специальные курсы и было открыто несколько тысяч специальных блогов для практического освоения навыков.

В 2010 г. бригадный генерал КСИР Хоссейн Хамедани указывал, что Basij Cyber Council подготовил более 1500 «киберджихадистов». Позднее,в иранских СМИ, со ссылкой на высокопоставленных чиновников командования КСИР и военизированного ополчения Basij,упоминалось, что подготовку по профилю ведения интернет-блогов и проведения пропагандистских мероприятий на интернет-ресурсах прошло до 15000 членов организации, из числа которых порядка 2000 специалистов получили подготовку в области проведения киберопераций.

В конце 2016 г. иранскими и ближневосточными СМИ приводилось заявление командующего учебным подразделением Basij Али Сабир Хамани о формировании в структуре ополчения «кибербригад» из числа студентов профильных иранских вузов и колледжей для их содействия в обеспечении национальной кибербезопасности. Подготовка специалистов проходит на базе так называемого виртуального ресурса «Virtual Cyber Committee» со специализацией по работе в социальных сетях и медиапространстве. Как сообщалось, в 2016 г. учебные программы прошли около 200 студентов.

По данным, приводившимся в западных источниках, на специальных курсах в структуре ополчения Basij прошли обучение десятки тысяч членов организации, а всего, в случае необходимости, может быть мобилизовано порядка 120000 хакеров-добровольцев. При этом указывалось, что, несмотря на вероятное преувеличение, с учетом количества штатных специалистов по кибероперациям и информационной безопасности в иранских ведомствах и IT-компаниях, а также студентов вузов и колледжей, обучающихся по данному профилю и смежным специальностям, Basij может в той или форме привлекать для своих нужд сопоставимое количество исполнителей. В частности, иранскими СМИ в 2011 г. отмечалось, что иранскими вузами по IT-специальностям выпущено порядка 2 млн специалистов.

При этом западными исследователями указывалось на низкий профессиональный уровень киберспециалистов военизированного ополчения Basij, которые, как и привлекаемые организацией сторонние специалисты, преимущественно используются для проведения акций, не требующих сложной организации и инструментария. Например, их силы часто бывают задействованы в мониторинге интернет-трафика и контента веб-ресурсов и социальных сетей, проведении пропагандистских акций в интернете, а также кибероперациях, не требующих масштабной координации и подготовки. Зарубежными источниками также отмечалось, что порядка 8000 специалистов по IT-технологиям из числа членов военизированного ополчения Basij привлекалось к реализации проекта создания национального интернета.

Согласно приводившемуся в 2015 г. на специализированных сайтах по кибербезопасности комментарию эмигрировавшего в США иранского журналиста и оппозиционного активиста Мохсена Сазегары, рекрутируемым КСИР хакерам выплачивалась заработная плата в размере порядка 10000 долл. Это примерно в двадцать раз превышало среднюю заработную плату в Иране. По информации, озвученной в 2011 г. заместителем командующего Basij Али Фазли, к исполнению акций по кибербезопасности и обеспечению пропагандистских кампаний в интернете в том числе привлекаются преподаватели и студенты профильных вузов. По словам Али Фазли, оплата исполнителям за одну публикацию в соцсетях составляла 60 долл., а за создание блога выплачивалось около 1000 долл.

Иран создал развитую и эффективную систему подготовки специалистов по информационным технологиям и кибербезопасности из числа студентов иранских профильных вузов и колледжей, которые уже в период обучения проходят стажировку в специализированных центрах госструктур, а также привлекаются к прохождению стажировок в кибергруппах. Упоминалось высказывание высшего руководителя Ирана аятоллы Али Хаменеи, который назвал иранских студентов, обучающихся по профилю информационной безопасности, «агентами кибервойны», которые должны готовиться «всем сердцем» к противоборству с врагами Ирана в киберсфере.

Подготовка специалистов по информационным технологиям и кибербезопасности ведется ведущими иранскими техническими вузами. Например, Технологический университет имени Шарифа (Sharif University of Technology) обучает по специальностям инженер-электронщик и компьютерный инжиниринг. В Технологическом университете имени Амира Кабира (AmirKabir University of Technology) есть факультеты математики, компьютерной техники, компьютерного инжиниринга и информационных технологий. Аналогичные направлена есть также в Исфаханском технологическийом университете (Isfahan University of Technology), Ширазском университете (Shiraz University), Университет имени имама Хусейна (Imam Hossein University). При ведущих профильных вузах также имеются специализированные центры реагирования на чрезвычайные ситуации в киберпространстве, входящие в национальную группу реагирования на чрезвычайные ситуации в киберпространстве Iranian National Computer Emergency Response Team – IrCERT/MAHER. В этих центрах проходят стажировку будущие специалисты. Иранскими вузами по специальности «Кибербезопасность» реализуются магистерские и аспирантские программы подготовки, одобренные Министерством науки Ирана. Университет имени имама Хусейна (Imam Hossein University – IHU), является одним из ведущих и базовых центров подготовки специалистов по кибербезопасности (в т. ч. для военизированного ополчения Basij) и проведению соответствующих исследований. В структуре университета функционирует подразделение по радиоэлектронной борьбе и кибербезопасности (Electronic Warfare and Cyber Defense (EWCD) department). Также Университет имени имама Хусейна является организатором регулярно проводимой с 2013 г. национальной конференции по кибербезопасности (National Conference on Cyber Defense).

В числе крупнейших базовых организаций по исследованию проблем кибербезопасности и профессиональной подготовке специалистов также упоминаются Центр информационных технологий и кибербезопасности (Center for Information Technology and Cyberspace – CITC) при Тегеранском университете (University of Tehran), Исследовательский интитут по киберпространству (Cyberspace Research Institute) при Университете имени Шахида Бехешти (Shahid Beheshti University), Центр перспективных информационных и телекоммуникационных технологий (Advanced Information and Communication Technology Center) и Институт перспективных коммуникационных исследований (Advanced Communication Research Institute) при Технологическом университете имени Шарифа (Sharif University of Technology).

Для отбора талантливых специалистов среди студентов и аспирантов регулярно проводятся различные программы по примеру профессиональных турниров типа Capture the Flag. В частности, в ходе проводившихся в августе 2017 г. компанией Iran Cyber Security Company соревнований Capture the Flag, участники состязались по таким тематическим направлениям, как проведение взлома информационной сети, криптография, эксплойтинг (Exploiting/PWN, выявление и использование уязвимостей), киберкриминалистика и решение комплексных задач. Как отмечали организаторы, награда за первое место составляла 10 млн риалов (около 300 млн долл.) или их эквивалент в биткоинах, за второе и третье места – соответственно 7,5 и 3,5 млн риалов.
Бюджетное обеспечение национальной системы кибербезопасности
По информации иранских и зарубежных источников, среднегодовой объем ассигнований из госбюджета на кибербезопасность до настоящего времени не превышал 10–20 млн долл. К примеру, в 2013/2014 бюджетном году (1393 год по иранскому календарю, начинается 21 марта) ассигнования на обеспечение национальной кибербезопасности составили 42 073 млн риалов/3,43 млн долл., в 2014/2015 (1394) – 178 800 млн риалов/7,12 млн долл., в 2015/2016 (1395) — 550 000 млн риалов/19,65 млн долл., в 2016/2017 (1396) – ок. 570 000 млн риалов/18,9 млн долл. Ранее, в декабре 2011 г., Ираном анонсировался претенциозный план перспективного ассигнования в размере 1 млрд долл. на развитие национальной системы кибербезопасности, однако отсутствует информация об их предполагаемом распределении в календарном периоде.

При этом, как и в оборонный бюджет, в бюджетные ассигнования не входят расходы Корпуса стражей исламской революции, в фактическом ведении которого находится проведение киберопераций. В силу определенной специфики практически отсутствует официальная информация о величине данной категории расходов КСИР, но по сведениям, фигурировавшим в зарубежных источниках, годовой бюджет подразделений кибербезопасности КСИР в период их формирования (2008 г.) оценивался в 76 млн долл.

Для сравнения: совокупный объем бюджетных ассигнований на цели кибербезопасности Ирана в сотни раз меньше бюджетных ассигнований на аналогичные цели у США и на порядок меньше инвестиций в кибербезопасность американских корпораций и банков. К примеру, в 2013 финансовом году бюджет Агентства национальной безопасности США на проведение киберопераций составил 1 млрд долл., а ЦРУ — 685,4 млн долл. На нужды головной структуры обеспечения национальной кибербезопасности — Киберкомандования США (United States Cyber Command) — в 2013 г. предусматривалось выделение 3,94 млрд долл., на 2014 г. — 4,65 млрд долл. При этом, несмотря на колоссальный разрыв между суммами финансирования сил кибербезопасности США и Ирана, нет прямой корреляции между выделяемым бюджетом и эффективностью проводимых киберопераций.
Международное сотрудничество и связи с зарубежными акторами
Существуют версии о том, что Иран получает зарубежную помощь и технологии для проведения кибератак, со стороны Китая, России и КНДР. Это утверждают США, однако большинством зарубежных независимых исследователей эта версия не поддерживаются. В качестве подтверждения независимыми экспертами отмечалось отсутствие каких-либо существенных фактологических и документальных подтверждений, а также указывалось на то, что уровень организации приписываемых Ирану кибератак в отношении иностранных объектов сопоставим с уровнем квалификации хакерских групп, действующих в самом Иране.

Вместе с тем Иран официально выступает одним из активных сторонников создания международных и региональных органов для борьбы с кибертерроризмом и интернет-мошеничеством. С инициативными предложениями по межгосударственному координированию вопросов борьбы с киберпреступностью и кибертерроризмом, в частности по вопросу принятия всеобъемлющего международного документа по киберпреступности, Иран неоднократно выступал в ООН. Также Иран является одним из инициаторов создания интерактивной системы безопасности для оперативного расследования киберпреступности и кибертерроризма в рамках Шанхайской организации сотрудничества (ШОС).

Киберполицией Ирана (FATA) в сфере борьбы с киберпреступностью установлены рабочие контакты с примерно 100 государствами мира, а также обеспечивается участие иранских представителей в работе Конференции по киберпреступности (Europol-Interpol Cybercrime Conference) и Недели кибербезопасности (Cyber Security Week), ежегодно проводимых по линии европейского отделения ИНТЕРПОЛа. Также FATA участвует в проводимой под эгидой ИНТЕРПОЛа международной операции «Operation Pangea» по противодействию незаконной интернет-продаже фальсифицированных медикаментов и лекарственных средств.

У Ирана установлено тесное сотрудничество в сфере кибербезопасности с Китаем. Базисом для этого является общий уровень двусторонних внешнеэкономических связей, в т. ч. в сегменте телекоммуникационных технологий. Как сообщалось иранскими СМИ, китайскими и иранскими чиновниками в ходе официальных встреч неоднократно подчеркивалась необходимость развития двустороннего сотрудничества в сфере информационной безопасности, в т. ч. для противодействия «доминированию в глобальном киберпространстве ограниченного числа государств».

В условиях режима международных санкций, Китай, несмотря на давление США, также был для Ирана практически единственным поставщиком телекоммуникационного оборудования, которое могло использоваться в целях обеспечения информационной безопасности, мониторинга интернет-трафика и контента, а также сетей стационарной и сотовой связи. В частности, по ранее упоминавшимся контрактам китайской компании ZTE Corporation 2010 и 2011 годов на поставку телекоммуникационной компании Ирана Telecommunications Company of Iran (TCI) оборудования для мониторинга информационных и телекоммуникационных сетей, перехвата веб-трафика и контента, по факту наличия в которых номенклатурных позиций запрещенных США к экспорту в Иран видов аппаратного оборудования и программного обеспечения разработки и производства американских компаний, ZTE Corporation в 2017 г. была обвинена в нарушении положений экспортного контроля США и выплатила компенсационный штраф в сумме 892 млн долл.

Сотрудничество в сфере информационной безопасности на межгосударственном уровне ведется и с Россией. Министром связи и информационных технологий Ирана Махмудом Ваези в ходе официального визита в Россию в марте 2017 г. указывалось на взаимную заинтересованность сторон в развитии сотрудничества в сфере информационных технологий и кибербезопасности как одной из составляющих обширных политических и экономических связей. Министр связи и массовых коммуникаций России Николай Никифоров также заявил о заинтересованности в сотрудничестве с Ираном в сфере информационной безопасности, электронной коммерции и информационных технологий и создания программного обеспечения.

Американскими источниками неоднократно выдвигались версии и обвинения в поддержке Россией (наряду с Китаем и КНДР) иранских кибергрупп, при этом даже в них признается, что по большинству эпизодов отсутствуют фактические подтверждения. В то же время независимые западные исследователи неоднократно отмечали, что наблюдаемый формат и уровень сотрудничества России с Ираном в вопросах обеспечения кибербезопасности не дает поводов для подобных подозрений и обвинений. Причем это справедливо как в отношении контактов на государственном уровне, так и в отношении взаимодействия по линии IrCERT/MAHER — «Лаборатория Касперского» (последняя оказывала техническое содействие Ирану в выработке мер противодействия кибератакам).

Также и по периодически появляющимся в американских СМИ материалах, в которых авторами обосновывается вероятность наличия тесной координации Ирана и КНДР в части проведения кибератак, пока что отсутствуют фактологически подтверждаемые доказательства. Израильская компания Intezer Labs Inc., к примеру, в качестве подтверждения наличия потенциальных связей иранских и северокорейских хакерских групп, указывала на сходства в кодах программ WannaCry (сетевой червь/программа-вымогатель криптовалют) и Joanap (троян), использовавшихся, как считается, северокорейскими хакерами, с кодом иранской вредоносной программы Magic Hound. Также американская компания по кибербезопасности Cylance Inc. сообщала о том, что в 2013–2014 гг. зафиксировала факт мониторинга объектов критической инфраструктуры Южной Кореи иранскими хакерскими группами, причастными к проведению операции Cleaver. Это было расценено как свидетельство взаимодействия и обмена информацией между кибергруппами КНДР и Ирана. При этом широкий резонанс в США и других западных странах вызвало подписание Ираном и КНДР в 2012 г. обширного соглашения о научно-техническом сотрудничестве, которое, как указывалось, предусматривало объединение усилий двух стран в борьбе с «общим врагом в цифровом пространстве».

Зарубежными исследователями отмечается активное использование Ираном потенциала хакерских групп союзных исламских группировок на Ближнем Востоке типа движения «Хезболла» (Hezbollah) и ливанских шиитских группировок, которым предоставляется необходимый инструментарий и программное обеспечение. Указывалось, что потенциал таких группировок используется для проведения второстепенных киберопераций, не требующих сложной организации и координации. Ирану это полезно тем, что позволяет дезавуировать причастность иранских спецслужб.

Западными источниками сообщалось о проведении Ираном кибератак на веб-ресурсы сирийской оппозиции и диссидентов, а также о вероятной поддержке аналогичных киберопераций, проводившихся Сирией и движением «Хезболла» (Hezbollah). В частности, в ноябре 2017 г. сообщалось об операции, проведенной иранской хакерской группой OilRig, целью которой было блокирование веб-ресурсов ливанских политиков в качестве информационной поддержки движения «Хезболла» при подготовке выборов в Ливане. Также приводились отдельные свидетельства о предоставлении Ираном специального оборудования для проведения киберопераций Сирии, хотя указывалось на отсутствие сколь-нибудь значимой зависимости Сирии от иранской помощи по данной категории целей. Это объяснялось наличием довольно жизнеспособной системы кибербезопасности, созданной Дамаском. Она доказала свою эффективность в проведении киберопераций против оппозиционных движений и диссидентов. Достаточно высокая оценка давалась и компетенциям ливанского шиитского движения «Хезболла» в проведении локальных киберопераций.

Западными и израильскими источниками указывается и на возможную причастность иранских хакерских групп к информационной поддержке шиитских группировок в Йемене. По данным израильской компании по кибербезопасности ClearSky, из числа идентифицированных в 2015 г. киберопераций по получению доступа к аккаунтам пользователей, проведенных группой Rocket Kitten, не менее 11 процентов было связано с Йеменом. Это воспринималось как информационное обеспечение иранского участия в йеменской гражданской войне. В частности, указывалось на операции блокирования веб-ресурсов оппонентов поддерживаемой Ираном этнической группы хаттисов, являющихся шиитами. В ряде западных специализированных источников отмечалась возможная причастность Ирана к кибератакам на Саудовскую Аравию, осуществленным йеменской группой Yemen Cyber Army. В ходе этих атак был получен доступ к секретным документам Министерства иностранных дел Саудовской Аравии, впоследствии опубликованным WikiLeaks.
Развитие сектора IT-коммуникаций и национального Интернета в Иране
Иран одним из первых государств на Ближнем Востоке подключился к всемирной сети интернет — в январе 1992 г. К началу 2000-х гг. доступ иранского населения к интернету приобрел массовый характер. Это произошло в результате роста как мест коллективного доступа (интернет-кафе), так и числа индивидуальных пользователей. Зарубежными источниками указывалось, что иранские власти поощряли развитие интернета и способствовали появлению частных интернет-провайдеров, делая ставку на использование интернета в качестве мощного и современного средства распространения происламской и проправительственной идеологии. По различным данным, по состоянию на 2008 г. только в Тегеране функционировало порядка 1500 интернет-кафе.

В Иране монополией на инфраструктуру сетей фиксированной связи и доступа к интернету обладает крупнейшая телекоммуникационная компания Telecommunication Company of Iran (TCI), также являющаяся крупнейшим оператором сотовой связи. Ранее TCI контролировалась государством, а в 2009 г. акции Telecommunication Company of Iran были проданы частному консорциуму, однако, как отмечалось наблюдателями, это практически не отразилось на политике государственного контроля за доступом к интернету.

По данным Internet World Stats, в конце 2017 г. в Иране насчитывалось 56,7 млн интернет-пользователей (70% населения), что по сравнению с 46,8 млн пользователей 2015 г. (57,2% населения) обеспечило прирост на 21,1%. При этом в 2000 г. число пользователей сети интернет в Иране не превышало 250 тыс.

Согласно данным Государственного центра статистического наблюдения Ирана, к началу 2017 г. коммутационный выход в интернет имели 62,21% домовладений (15,3 млн), причем по сравнению с началом 2016 г. рост составил 7%. Значительный рост наблюдается и в сегменте мобильного доступа в интернет. По официальным данным Министерства связи и информационных технологий Ирана, по состоянию на март 2018 г. число пользователей мобильного интернета составляло 53,2 млн — по сравнению с сентябрем 2017 г. оно увеличилось на 5,9 млн человек. Крупнейшими иранскими операторами мобильного доступа к интернету являются компании Mobile Telecommunications Company of Iran — MCI (Hamrahe Avval) и Irancell, обеспечивающие пользователям доступ по стандартам 3G и 4G. Пропускная способность в сети интернет по состоянию на март 2018 года оценивалась на уровне 1500 Гбит/с, при том что в 2017 г. этот показатель составлял 743 Гбит/с, а в 2008 г. — всего 6,05 Гбит/с.

Довольно высоким является и уровень охвата иранского населения сотовой связью. По данным Министерства связи и информационных технологий, иранскими операторами мобильной связи было выпущено более 169,5 млн сим-карт, из которых по состоянию на март 2018 г. было активно порядка 88 млн абонентских номеров мобильной связи (в начале 2017 г. их количество составляло 77,5 млн). При этом число абонентов фиксированной телефонной связи в 2017 г. составляло всего 30,3 млн. Указывалось, что по числу абонентов мобильной связи Иран находится на уровне развитых западноевропейских государств, занимая 14 место в мире наряду с Италией и Великобританией.

В рамках создания национальной информационной сети Ираном были реализованы проекты национальных сервисов электронной почты. В июле 2013 г. почтовой компанией Ирана и компанией TCI был запущен национальный почтовый интернет-сервис Post.ir. Ранее, в 2012 г., был запущен частный проект электронной почты ChMail.ir / Chaapaar.ir. Позднее были запущены еще два национальных почтовых интернет-сервиса – на доменах Iran.ir и Rayana.ir. По данным Министерства связи и информационных технологий Ирана, в среднем создание интернет-сервиса электронной почты обходилось в сумму порядка 200 млрд риалов (около 5,1 млн долл.).

В 2010 г. Министерством связи и информационных технологий Ирана была инициирована разработка и запуск поисковых интернет-сервисов Yahagh.ir и Yooz.ir, разработанных иранской компанией Shidandish Dadeh Pardazan Co. На это из госбюджета было выделено 56,7 млн долл. В 2015 г. Университетом Язда был разработан и запущен частный проект поискового интернет-сервиса Parsijoo.ir. Аппаратные мощности его сервиса включали 150 серверов, и, как отмечается, он является наиболее популярным в Иране после Google. В западных источниках указывалось, что на разработку поискового интернет-сервис Parsijoo и запущенного в том же году сервиса Gorgor, было инвестировано 1700 млрд иранских риалов (около 60 млн долл. по курсу 2015 г.).

Для нивелирования пользовательского интереса к международным социальным сетям Иран активно развивает собственные аналогичные интернет-ресурсы. В частности, иранскими телекоммуникационными компаниями были запущены социальные сети Cloob Facekoob, Facenama, а также Soroush, iGap, BisPhone Plus, Wispi, Esom, Saina,. Также был запущен видеохостинговый сайт Aparat — аналог YouTube. Созданы интернет-сервисы обмена сообщениями и медиафайлами Mobogram (разработчик — IT-компания Hanista Programing Group) и TD Messenger. Также сообщалось о разработке иранскими IT-компаниями собственной версии медиаплеера iTunes Apple под названием BeepTunes. Примечательно, что в мае 2018 г. заместителем директора Верховного совета по киберпространству Аббасом Асошехом отмечалось, что за апрель и май 2018 г. число пользователей, использующих приложения иранских месседжеров увеличилось на 9,2 млн.

Однако, несмотря на активные усилия иранского правительства, по данным, приводившимся иранскими и западными источниками, отмечается низкий интерес иранских пользователей к национальным почтовым интернет-сервисам — иранцы отдают предпочтение иностранным сервисам электронной почты. К примеру, по данным, приводившимся в сентябре 2017 г. руководителем факультета информационных технологий иранского Научно-исследовательского центра связи и информационных технологий Алирезой Яри, из 1,5 млн пользователей, создавших учетные записи на Chmail.ir, не более 300 пользуются этим сервисом постоянно.

Западными эксперты отмечали, что одним из основных недостатков иранских национальных сервисов электронной почты с точки зрения пользователей является необходимость указывать при регистрации в дополнение к своему адресу личный идентификационный номер и проходить обязательную сверку указанных регистрационных данных с подлинниками документов.

Иранские интернет-провайдеры также активно предлагают услуги по интернет-коммерции. По официальным данным, по состоянию на 2017 г. было зарегистрировано более 50 тыс. интернет-магазинов, товарооборот сектора за 2015 г. составил 16,2 млн долл. Одним из крупнейших является запущенный в 2010 г. интернет-маркет Café Bazaar, аналогичный Google Play.

По данным западных источников, еще в начале 2000-х гг. в телекоммуникационном секторе Ирана было занято около 150 тыс. человек, из них в сегменте разработки программного обеспечения — порядка 20 тыс. человек. В Иране насчитывается более 200 IT-компаний и компаний-разработчиков программного обеспечения, в числе которых Iran Software & Hardware Co. (NOSA), Iran System Electronic Industries (ISEI) Company, Magfa Co., Iran Info-Tech Dvelopment Co., Iran Borna, а также H3 Software, Samar Software Solutions, Sena Soft, Asman Software, Douran Software Technologeis Research Center и др. В начале 2016 г. сообщалось, что примерно 80 иранскими IT-компаниями ведется разработка более 180 видов программного обеспечения.

В целях снижения зависимости иранских пользователей от иностранного программного обеспечения (в первую очередь американского) Ираном был инициирован переход пользователей на альтернативные версии и разработка национальных аналогов. В частности, в конце 2012 г. Организацией информационных технологий Ирана и Центром телекоммуникационных исследований Ирана была разработана национальная операционная система Zamin, базирующаяся на Linux. При этом в сентябре 2013 г. Ираном было принято решение о запрете использования правительственными учреждениями операционной системы Windows и их переходе на Linux или ее национальные аналоги в течение шести месяцев. В 2017 г. Технологическим университетом имени Шарифа была представлена еще одна версия национальной операционной системы Sharif Linux. Ранее, в начале 2015 г., сообщалось о разработке специалистами КСИР специальной операционной системы Sepand для использования в компьютерах спутниковых систем, робототехнике и автомобильной промышленности.

Согласно данным, приводившимся иранскими СМИ, достигнутый уровень компетенций позволил Ирану выступить поставщиком программного обеспечения — к примеру, в 2007/2008 финансовом году программного обеспечения было экспортировано на 50 млн долл., в 2013/2014 финансовом году — на 400 млн долл., в 2014/2015 — на 200 млн долл.

Объем иранского рынка телекоммуникационных услуг в 2014 г. оценивался западными аналитиками в 12,8 млрд долл. При этом объем продукции и услуг иранских компаний-производителей телекоммуникационного оборудования и разработчиков программного обеспечения составил 5,1 млрд долл. (на оборудование и аппаратные системы пришлось 3,1 млрд долл., на разработку ПО — 900 млн долл., на софтверные услуги – 1,1 млрд долл.).
Проект создания национальной информационной сети
Иран в рамках национальной политики в сфере информационной безопасности с 2005 г. реализует проект по созданию национальной сети интернет — информационной сети (National Information Network / SHOMA), ориентированного на соответствие морально-этическим нормам иранского общества и исламского права (это так называемый Halal Internet) и исключающего возможность наличия (размещения) в ней нежелательного контента, в т. ч. для ограничения фактора негативного информационного влияния на внутриполитическую ситуацию. Как известно, аналогичные проекты уже реализованы в КНДР, а также на Кубе и Мьянме.

По официальным данным стоимость реализации проекта национального интернета оценивалась в 4 млрд долл. На реализацию первого этапа проекта до 2012 г. бюджетные ассигнования составили 333,3 млн долл., в 2014 г. — 410 млн долл., в 2015 г. — 333,3 млн долл. Отмечалось также, что к реализации проекта национального интернета привлекалось порядка 8 000 специалистов по IT-технологиям из числа членов военизированного ополчения Basij.

Первый этап проекта национальной интернет-сети был завершен в августе 2016 г.: пользователям был предоставлен доступ к электронным правительственным услугам, контенту иранских сайтов и цифровым услугам иранских компаний. Как сообщалось иранскими СМИ, пропускная способность сети на начальном этапе составляла 4000 Гб/с. К завершению проекта (первоначально планировавшемуся к середине 2017 г.) должен быть обеспечен высококачественный доступ пользователей к внутреннему широкополосному контенту и услугам, а также построение независимой национальной коммуникационной инфраструктуры.

С развитием инфраструктурного обеспечения национальной информационной сети Ираном исходно планировалось обеспечить перевод на национальный хостинг центров обработки данных и большей части иранских интернет-ресурсов. Как отмечалось иранским Министерством связи и информационных технологий, к концу 2011 г. 90% сайтов иранских госучреждений было переведено на национальный хостинг. В 2015 г. на национальном хостинге базировалось порядка 40% всех иранских интернет-ресурсов. Согласно комментарию, сделанному в 2015 г. вице-президентом по экономике Ирана Али Ага-Мохаммадом, иранская национальная информационная сеть в перспективе может полностью заменить глобальный интернет на территории страны, а также, возможно, в других мусульманских государствах.

При этом западными наблюдателями и иранскими правозащитниками отмечалось, что создание национальной иранской сети интернет приведет к ее изолированности от мировой сети и фактически полной онлайн-цензуре, а с точки зрения глобальной кибербезопасности это создаст благоприятную среду для ее использования международной киберпреступностью.

С целью обеспечения информационной безопасности государственных структур в начале 2012 г. сообщалось о запуске штаб-квартирой по кибербезопасности Ирана локального почтового сервера, который позволит пользователям не зависеть от зарубежных сервисов. Также в августе 2012 г. Иран анонсировал перевод всех государственных ведомств на использование автономной информационной сети для нивелирования рисков внешнего доступа к их базам данных. Этот шаг рассматривался в качестве переходного этапа к изоляции от всемирной сети интернет и выстраивания национальной информационной сети.

В последнее время значительное внимание Иран уделяет также подготовке к введению собственной криптовалюты. При этом до недавнего времени, в соответствии с распоряжением иранского центробанка, иранским кредитным учреждениям было запрещено совершать любые операции с криптовалютами. Этот запрет являлся частью политики борьбы с отмыванием преступных доходов. В ноябре 2017 г. Верховный совет по киберпространству Ирана одобрил режим регулирования обращения криптовалют в Иране. В рамках исполнения поручения президента Ирана Хасана Рухани о разработке национальной криптовалюты в конце августа 2018 г. Центром национальной кибербезопасности Ирана был представлен законопроект по государственной цифровой валюте. Указывалось, что для Ирана целью введения национальной криптовалюты является создание финансового инструмента для обхода американских санкций и обеспечение возможности беспрепятственного перечисления денежных средств в любую страну мира.
Государственное регулирование и мониторинг доступа к сети Интернет
С массовым подключением внутренних пользователей к всемирной сети Интернет иранские спецслужбы получили принципиально новые возможности по мониторингу и перехвату информационных потоков. При этом появились и объективные ограничения по контролю государства за информационной сферой. Социальные сети и большое количество чатов стали для иранцев принципиально новой средой, в которой отсутствовала возможность применения государством традиционных инструментов цензурных ограничений.

Для обеспечения действенного контроля государства за интернет-пространством с начала 2000-х гг. существует практика мониторинга иранскими госструктурами посещаемых пользователями интернет-сайтов, а также фильтрация просматриваемого контента.

В октябре 2001 г. по указанию высшего руководителя Ирана аятоллы Али Хаменеи Верховный совет культурной революции принял резолюцию о государственном регулировании и правилах доступа к всемирной сети интернет. Доступ к сети интернет для всех провайдеров был установлен исключительно через компанию Data Communication Company of Iran (DCI), входящую в контролируемую государством телекоммуникационную компанию TCI.

В 2011 г. Министерством связи и информационных технологий Ирана было введено положение о порядке регулирования деятельности интернет-кафе. В числе ограничительных мер были предписаны требования к владельцам точек общественного доступа в Интернет (интернет-кафе) на допуск к выходу во всемирную сеть исключительно посетителей, предоставляющих документ, удостоверяющий личность. Также было введено ограничение по одновременному использованию одного компьютера одним посетителем, необходимости фиксировать и сохранять IP-адреса пользователей, журналы просмотров и список посещаемых сайтов, а также ведения видеозаписи с сохранением баз данных на протяжении не менее шести месяцев. Надзор за исполнением был возложен на киберполицию Ирана (FATA).

В июне 2012 г. иранские СМИ сообщали, что киберполиция также будет блокировать использование виртуальных частных сетей (VPN), которые использовались многими иранцами для обхода интернет-цензуры. В январе 2013 г. иранской полицией также анонсировалась разработка «интеллектуального программного обеспечения», обеспечивающего мониторинг и контроль за доступом пользователей к интернету и социальным сетям. Как отмечалось главой иранской полиции генералом Эсмаилом Ахмади Могадамом, установление «интеллектуального контроля» за доступом к контенту интернет-ресурсов гораздо эффективнее их запрета, а специальное программное обеспечение позволит предотвратить доступ пользователей к вредоносному контенту, позволяя им воспользоваться «полезными аспектами» интернета. Западные источники сообщали, что в 2016 г. Министерство связи и информационных технологий было выделило 1 трлн риалов (33 млн долл.) на создание аппаратно-программной системы по мониторингу и фильтрации интернет-контента.

Кибергруппы, аффилированные с иранскими госструктурами
Как ранее указывалось, анализ киберопераций, проводившихся иранскими спецслужбами, отражает присущую им специфику привлечения формально не аффилированных с иранскими госструктурами хакерских групп. При этом спецслужбами обеспечивается целеполагание, а также содействие в планировании, разработке и организационном обеспечении операций, а конечная стадия выполняется привлекаемыми либо специально формируемыми под выполнение разовых операций хакерскими группами.

Ранее, когда различными иранскими хакерскими группами предпринимались хаотичные и несистемные атаки на пользователей, практически отсутствовала возможность выявить причастность к их деятельности иранских госструктур и спецслужб, поскольку фишинговые рассылки, взлом учетных записей или компьютеров отдельных пользователей могут проводиться и отдельными лицами, без какой-либо внешней целевой мотивации. Однако к началу 2000-х гг. появились идентифицируемые иранские хакерские группы, которые стали проводить организованные кибератаки с использованием целевых фишинговых рассылок пользователям. Они также использовали информацию об уязвимостях инфраструктуры объектов атак и специально разработанное вирусное программное обеспечение. Одновременно западные источники все чаще стали указывать на наличие в Иране организованных кибергрупп и их вероятную связь с иранскими спецслужбами. К концу первой декады 2000-х гг. появились структурированно действующие кибергруппы типа Iranian Cyber Army, Ajax Security Team, Infy и др. Также вырос организационный уровень проводимых ими атак, и они напрямую коррелировали с приоритетными интересами иранских спецлужб и направлениями проводимых ими разведывательных операций. Тогда зарубежными источниками стало указываться на вероятное наличие единого органа координации и управления большинством идентифицируемых иранских хакерских групп.

Согласно оценке специалистов американской компании по кибербезопасности FireEye Inc., к концу первой декады 2000-х гг. стал очевидным переход иранских кибергрупп от тактики декларативных хакерских атак к хорошо планируемым масштабным операциям по кибершпионажу, включающим детальную разведку объектов атаки и стратегию реализации атак. В частности, в числе очевидных критериев идентификации аффилированности иранских хакерских групп с госструктурами зарубежными источниками указывалось на проведение ими операций против иранских пользователей либо оппозиционных движений на основании информации, которая могла быть получена только от силовых структур. Также указывалось на факты скоординированного использования для проведения хакерских атак компьютеров и аккаунтов лиц, находящихся под надзором КСИР.

В качестве косвенного свидетельства выполнения иранскими хакерскими группами операций в координации с госструктурами в частности указывается, что в отличие от акторов из прочих стран, наиболее заметные иранские хакерские группы не имеют финансового мотива и не действуют из соображений коммерческой выгоды. Также в качестве аргумента называется то обстоятельство, что периоды их активной деятельности практически полностью синхронизированы с обычным распорядком госслужащих (рабочая неделя с субботы по среду) и бездействием на период иранских праздников. В последние годы исследователями указывают на все более устойчивую тенденцию встраивания в деятельность государственных и корпоративных структур изначально не аффилированных с ними хакерских групп либо частных IT-компаний.

Зарубежные исследователи утверждали, что связанные с иранскими спецслужбами кибергруппы, используемые для операций против внутренней оппозиции, привлекаются и к проведению операций в отношении зарубежных объектов. При этом отмечалось, что ими используется практически те же тактика и инструментарий, а это в определенной степени, облегчает идентификацию происхождения таких кибергрупп и выработку мер противодействия.

В то же время отдельными источниками отмечается, что не приходится говорить об обязательной причастности иранских госструктур к деятельности хакерских групп. На примере кибератак на саудовскую нефтегазовую компанию Saudi Aramco и финансовые организации в ходе операции Shamoon, приведшую к многомиллионным убыткам, указывалось, что она была реализованы в рамках относительно простой схемы, не требующей сложной организации и ресурсов, и вполне могла быть инициирована и проведена частным образом.

Отмечается ряд сложностей при идентификации иранских хакерских групп, в том числе и в части проведения ими кибератак в интересах спецслужб или госструктур, поскольку для них характерна децентрализация и внутренняя миграция специалистов. Также однозначное определение причастности к атакам иранских госструктур затруднено по причине периодической трансформации и изменения состава участников иранских кибергрупп. Это формально позволяет Тегерану дистанцироваться от подобных инцидентов. При этом стоит отметить, что тактика использования иранскими спецслужбами разрозненных хакерских групп для проведения кибератак, не требующих сложной организации (типа фишинговых рассылок) либо являющихся отдельным звеном более сложных киберопераций, является довольно действенной тактикой. Это связано с тем, что идентификация и блокирование хакерских групп, действующих на негосударственном уровне, будет оставаться весьма трудной задачей даже для крупных кибердержав, в т.ч. по причине неэффективности проведения масштабных киберопераций против неструктурированной хакерской сети.

До настоящего времени большинство иранских хакерских групп идентифицировано и известно под кодовыми названиями, которые присваивались им западными исследователями (к примеру, Flying Kitten, Charming Kitten, Rocket Kitten, Infy, OilRig, APT33). При этом часть известных иранских кибергрупп (Iranian Cyber Army, Ashiyane Digital Security Team, Izz Ad-Din Al Qassam), наоборот, в большинстве проводившихся ими атак на веб-ресурсы пользователей фиксировали свою причастность к проведенным атакам, в том числе посредством размещения соответствующих уведомлений.

Зарубежными исследователями отмечается, что большинство иранских хакерских групп характеризуются преимущественно фрагментарным появлением и проведением операций в течение ограниченного промежутка времени. Также сложно однозначно идентифицировать цели проводимых ими атак, по окончании которых они ликвидируют группы (сообщества) и использовавшуюся инфраструктуру, которая впоследствии может использоваться другими исполнителями для атаки с совершенно иными целями.

Примером подобных трансформаций являются уже упомянутые выше Ashiyane Digital Security Team и группы Flying Kitten, Charming Kitten, Rocket Kitten, для участников которых характерно использование схожего инструментария и которыми в разное время использовались элементы единой инфраструктуры, а также преемственной тактики, что позволило специалистом указывать на вероятность их внутренней трансформации. Аналогичные моменты в отношении использования единой инфраструктуры и инструментария отмечались специалистами израильской компании ClearSky Cyber Security в отношении групп Charming Kitten и Rocket Kitten и специалистами американской компании FireEye Inc. при отслеживании связей прекратившей по наблюдениям западных исследователей свое существование в 2014 году группы Flying Kitten и деятельности группы Rocket Kitten, что затрудняло возможность их точной идентификации и установления причастности к конкретным атакам.

В данной связи отдельными исследователями справедливо указывается, что в отсутствие фактологически подтверждаемой идентификации, появление новых акторов зачастую неверно трактуется западными наблюдателями в качестве свидетельства неуклонного роста иранского хакерского сообщества и появления новых кибергрупп.
Ashiyane Digital Security Team
Кибергруппа Ashiyane Digital Security Team является, вероятно, одной из первых структурно выделяемых иранских хакерских групп, в т. ч. потому, что как правило ею открыто декларировалась причастность к проводившимся хакерским атакам: она выводила на мониторы атакованных ресурсов соответствующие баннеры. Отдельные западные источники отмечали, что членами кибергруппы Ashiyane Digital Security Team являются более 40 хакеров, а в качестве координатора группы назывался известный иранский хакер Бехроуз Камалиан. Указывалось на выполнение группой Ashiyane Digital Security Team хакерских атак по заказу иранских спецслужб и КСИР.

Группа Ashiyane Digital Security Team является ядром иранского хакерского сообщества Ashiyane, создание которого зарубежные исследователи относят к февралю 2002 г. Группой также был организован хакерский форум Hacking Forum Ashiyane — крупнейшее в Иране онлайн-сообщество специалистов в области кибербезопасности, на котором, по данным зарубежных источников, в 2006 г. было зарегистрировано 11 503 членов. На сайте группы размещалось программное обеспечение для тестирования веб-ресурсов на уязвимости и эмуляции хакерских атак, в т. ч. контент собственной разработки — программы Ashiyane Penetration Test of Servers & Networks, Ashiyane Manage and Support Servers Security, Ashiyane Providing Security of Servers & Networks.

Согласно зарубежным источникам, группа Ashiyane причастна к проведению многочисленных хакерских атак на сайты пользователей (в т. ч. госструктур) в США, Франции, Великобритании, Израиле. При этом при проведении кибератак хакеры размещали сообщения, имевшие декларативный политический контекст. В числе наиболее заметных случаев такого рода – серия хакерских атак на Израиль в 2009 г., осуществленных в качестве ответа на израильское вторжение в сектор Газа. Объектами атак стали более чем 700 сайтов. Также следует упомянуть атаку 2009 г. на сайт американского космического агентства NASA, серию атак в 2010 г. примерно на 1000 веб-сайтов в США, Великобритании и Франции, атаки на сайты арабских СМИ в 2017 г. (в частности, на издание ОАЭ под названием Al Khaleej). Также в феврале 2017 г. зарубежными специализированными веб-ресурсами сообщалось о причастности группы к хакерским атакам на сайты ряда украинских правительственных структур.

По фигурировавшим в зарубежных источниках данным, со ссылкой на ресурс Zone-H по состоянию на 2008 г. указывалось на причастность группы Ashiyane к проведению 3 763 хакерских атак, по состоянию на 2011 г. — 23 532 атак, а в 2017 г. уже фигурировала информация о 78 334 хакерских атаках.
Iranian Cyber Army
Кибергруппа, именуемая Iranian Cyber Army, пожалуй, получила наибольшую известность за рубежом. По оценкам американской компании по кибербезопасности FireEye Inc., проведение группой хакерских атак относится к 2009 г. Iranian Cyber Army проводила операции по мониторингу сайтов иранской политической оппозиции и независимых веб-ресурсов на персидском языке, размещала пропагандистские и проправительственные сообщения в социальных сетях. В периоды обострения внутриполитической ситуации и протестных движений Iranian Cyber Army привлекалась к проведению хакерских атак на «проблемные» сайты, для проведения рассылки вредоносного интернет-трафика и блокирования доступа пользователей к таким сайтам. В данной связи западными и ближневосточными исследователями напрямую указывалось на непосредственную координацию действий группы со стороны КСИР, а также на связь с группой Ashiyane. Также указывалось на причастность группы Iranian Cyber Army к проведению ряда киберопераций в отношении зарубежных объектов, в частности к блокированию работы китайского поискового интернет-ресурса Baidu в январе 2010 г., взлому в феврале 2011 г. сайта радиостанции «Голос Америки» (группой был размещен свой логотип с надписью «Мы доказали, что можем», а также призыв к США и к госсекретарю Хилари Клинтон не вмешиваться во внутренние дела исламских государств), к атаке в 2012 г. на сервер МАГАТЭ и атаке в 2015 г. на сайт американского космического агентства NASA
Army of the Sun / Sun Army
Группа Army of the Sun/Sun Army известна примерно с начала 2010 г. В ядро членов группы, по данным иранского оппозиционного движения National Council of Resistance of Iran (NCRI), входило не менее шести хакеров. Первые документальные упоминая о данной группе связаны с блокировкой сайтов и кампанией по дискредитации оппозиционного движения, возглавляемого Мехди Карруби. Army of the Sun, как полагают иранские оппозиционные источники, аффилирована с КСИР и причастна к кибератакам по взлому и блокированию более 500 сайтов, а также аккаунтов иранских пользователей в соцсетях Twitter, Facebook и др. В ходе расследования против лиц иранского происхождения (в т. ч. как лиц, действовавших по указанию иранских госструктур), обвинявшихся Министерством юстиции США в причастности к кибероперации Ababil (март 2016 г., объектами стали крупные американские компании и банки), трое из них назвали себя участниками иранской кибергруппы Sun Army.
Ajax Security Team / Charming Kitten / Flying Kitten / Rocket Kitten
Пожалуй, самой активной и многоликой иранской кибергруппой является группа хакеров, идентифицировавшаяся зарубежными исследователями под названиями Ajax Security Team, Charming Kitten, Flying Kitten, а также Newscaster и NewsBeef (по кодовым названиям проводившихся ими киберопераций).

Деятельность группы как отдельного актора, по оценкам американской компании по кибербезопасности FireEye Inc., присвоившей ей кодовое название Ajax Security Team, относится к 2010 г. В числе участников группы были идентифицированы иранские хакеры под никами «Cair3x» и «HUrr!C4nE!», а также «0day», «Mohammad PK» и «Crim3r». Также указывалось на наличие у группы сайта в интернете, на форуме которого было зарегистрировано 236 членов. На начальном этапе возникновения группы Ajax Security Team западными исследователями ее состав определялся в количестве 5–10 исполнителей, компетенции оценивались как невысокие (указывалось на применение пользовательских вредоносных программ посредством методов «социальной инженерии). Также группа не использовала сложных программных эксплойтов, в связи с чем указывалось на малую вероятность связи группы с иранскими спецслужбами. Однако уже к 2013 г. Ajax Security Team по уровню компетенций отмечалась в качестве одной из наиболее профессиональных в Иране, в т. ч. среди групп, применяющих при проведении хакерских атак специально разработанное вредоносное программное обеспечение.

Кодовое название Rocket Kitten стало использоваться в 2014 г. американской компанией CrowdStrike Inc. Кибероперации группы и объекты атак, согласно данным западных и иранских источников, практически всегда коррелировали с направлениями активизации деятельности иранских спецслужб и разведаппарата КСИР. Американской киберкомпанией Check Point Software Technologies Ltd. при исследовании вирусной программы Wool3n.H4t, распространявшейся Rocket Kitten, в качестве координатора группы был назван иранский хакер Ясер Балани.

Специалисты израильской компании по кибербезопасности ClearSky и японской компании Trend Micro также наблюдали за кибергруппой Rocket Kitten с середины 2014 г., причем они указывали на ее возможное создание в 2011 г. В западных источниках сообщалось, что выявленный в результате операции, проведенной в ноябре 2015 г. американской компанией Check Point Software Technologies Ltd. по взлому базы данных группы Rocket Kitten, список целей для кибератак насчитывал 1842 объектов. Компанией ClearSky также указывалось на идентичность акторов Rocket Kitten с группой Charming Kitten, отслеживаемой с начала 2014 г. Несмотря на информацию о ликвидации к концу 2014 г. использовавшейся ею инфраструктуры, вероятно, она продолжала действовать также и в 2016–2017 гг. При этом отмечалось, что ввиду использования аналогичной инфраструктуры и инструментария группами Charming Kitten и Rocket Kitten, отсутствует возможность их точной идентификации как различных групп.

В качестве еще одной ипостаси Ajax Security Team американской компанией по кибербезопасности CrowdStrike Inc называлась группа Flying Kitten. К примеру, отмечалось, что группой Rocket Kitten использовались инструментарий и инфраструктура, аналогичные применявшимся группой Flying Kitten. Например, отмечалось наличие структурно-кодовых аналогий в пакетах использовавшегося программного обеспечения, что могло указывать на их разработку связанными группами программистов и использование ими аналогичного оборудования. Специалисты американской компании по кибербезопасности Check Point Software Technologies Ltd. в части наличия преемственности в деятельности кибергрупп Flying Kitten и Rocket Kitten указывали на идентичность инструментария, использовавшегося для фишинговых атак сначала Flying Kitten, а впоследствии и Rocket Kitten, а также на использование общих схем наименования доменов – Drive-Google.com.co (создан в апреле 2014 г. и исполся Flying Kitten) и Drive-Google.co (создан в июле 2014 г. и использовался Rocket Kitten).

Западные исследователи указывали на то, что после публикации в 2014 г. американской компанией FireEye Inc. отчета с анализом участия группы Flying Kitten в проведении в 2013 г. кибероперации Saffron Rose, направленной на американские оборонные и аэрокосмические компании, группа демонтировала использовавшуюся инфраструктуру и практически прекратила свою деятельность. Аналогичная информация о ликвидации используемой инфраструктуры и фактическом прекращении идентифицируемой деятельности после опубликования отчета компании FireEye Inc. приводилась и по группе Charming Kitten. Однако, согласно более поздним исследованиям авторов проекта Iran Threats и израильской компании по кибербезопасности ClearSky Cyber Security, часть ресурсов, использовавшихся группой Charming Kitten впоследствии использовалась группой Rocket Kittens. При этом впоследствии хакеры, входившие в группу Charming Kitten, снова указывались в качестве акторов хакерских атак — в 2017 г. на североамериканскую телевизионную сеть кабельного и спутникового вещания HBO и в начале июля 2018 г. — в качестве организаторов хакерских атак с фишингового сайта, имитирующего сайт израильской компании по кибербезопасности ClearSky Security.

В 2015 г. американской компанией по кибербезопасности Check Point Software Technologies Ltd. была раскрыта база данных платформы для кражи учетных данных пользователей, именовавшаяся «Oyun Management System» и использовавшаяся группой Rocket Kitten. В частности, были идентифицированы некоторые URL-адреса, которые использовались для фишинговых рассылок. В ноябре того же года CheckPoint Software Technologies Ltd. удалось также получить доступ к базе данных группы Rocket Kitten, в результате чего, в свою очередь, удалось обнаружить список из 1842 целей для кибератак и специальное программное обеспечение по созданию фишинговых веб-страниц. Указывалось, что после публикации отчета компанией CheckPoint группа Rocket Kitten практически свернула активную деятельность.

Объектами атак кибергрупп Ajax Security Team/Flying Kitten/Rocket Kitten и Charming Kitten были сотни пользователей преимущественно в США, Израиле, Великобритании и Иране (оппозиционные движения и политики), а также в Турции, Франции, Германии, Дании, ОАЭ. По данным израильской компании ClearSky Cyber Security, в 2015 г. целями атак Rocket Kitten стали порядка 550 объектов, преимущественно на Ближнем Востоке, а акторами группы Charming Kitten к 2017 г. было создано и использовалось 85 IP-адресов, 240 доменов и несколько сотен хостов. Американской компанией по кибербезопасности FireEye Inc. указывалось, что Ajax Security Team/Rocket Kitten были одной из первых иранских групп, использовавших при проведении кибератак специально разработанное вредоносное ПО — например, Stealer (в ходе кибероперации Saffron Rose в октябре 2013 – апреле 2014 г.), кейлоггер CWoolger, а также его модификации TSPY_WOOLERG.C/TSPY_WOOLERG.B (применялись в ходе кибероперации Woolen-GoldFish в 2015 г.).

В числе наиболее крупных кибератак, к проведению которых была причастна группа Ajax Security Team/Rocket Kitten и связанные с ней акторы, указывалась операция Saffron Rose (2013–2014 гг., целью которой были американские оборонные компании и сеть интернет Корпуса морской пехоты США, проводившиеся с апреля 2013 г. серии киберопераций #OpIsrael и #OpUSA по блокированию интернет-сайтов израильских и американских учреждений, кибероперация Newscaster (2011–2014 гг., объектами которой стали порядка 2000 государственных и военных чиновников, дипломатов и журналистов в США, Израиле, Великобритании, Саудовской Аравии, Сирии, Ираке и Афганистане), операция Woolen-Goldfish (2015 г., против научных и государственных учреждений в Израиле и Германии, а также ряде европейских компаний), многочисленные хакерские атаки против иранских диссидентов, промышленных компаний и научно-исследовательских организаций в США, Израиле и Саудовской Аравии и других стран, взлом мессенджера Telegram в августе 2016 г. (в ходе которого был получен доступ к идентификационным данным и телефонным номерам порядка 15 млн иранских пользователей).

Кибергруппа CopyKittens, также отмечавшаяся западными исследователями в числе использовавших инфраструктуру Rocket Kittens, была идентифицирована ClearSky Cyber Security и Trend Micro в качестве исполнителя масштабной операции по кибершпионажу «Operation Wilted Tulip». Как отмечалось, она проводилась минимум с 2013 г. по 2017 г., а ее объектами были чиновники правительственных, оборонных, академических организаций и IT-компаний в США, Саудовской Аравии, Израиле, Иордании, Турции и Германии. CopyKittens отмечалась исследователями в качестве одной из наиболее квалифицированных иранских кибергрупп, которая, помимо общеизвестных программных инструментов, использовала сложное вредоносное ПО собственной разработки — в частности, троянскую программу Matryoshka (в версиях Matryoshka v1/Matryoshka v2). Посредством использования информации системы доменных имен (DNS) эта программа обеспечивала удаленное управление командами контроля, регистрацию паролей, снятие скриншотов, регистрацию использования клавиатуры, сбор и загрузку файлов на пораженных компьютерах. Также группой CopyKittens был использован бэкдор TDTESS (исполняемый файл «tdtess.exe») с аналогичными функциями передачи данных и выполнения команд удаленного доступа, функционировавшего в интерактивном и автономном (сервисном) режимах.
Magic Kitten
Кибергруппа Magic Kitten, также квалифицировавшаяся Агентством национальной безопасности США под кодовым названием VOYEUR, считается одной из старейших (известна с 2007 г.) и, по мнению исследователей, имеет отношение к Министерству разведки, а не к Корпусу стражей исламской революции. Преимущественно целью атак Magic Kitten были сайты, почтовые аккаунты, форумы и блоги иранских журналистов, деятелей культуры, общественных активистов и правозащитников. При этом фишинговые рассылки проводились с использовались специфических тем: защиты прав человека, женщин, беженцев и пр. Magic Kitten также указывалась исполнителем кибератаки на голландскую компанию DigiNotar (сентябрь 2011 г., операция Black Tulip), в результате которой иранскими спецслужбами была обеспечена возможность доступа к аккаунтам пользователей на сервисах Google и Gmail. Наибольшую активность группа проявляла в период президентских выборов 2013 г. в Иране. За группой Magic Kitten также числятся операции по кибервторжениям на ресурсы государственной телевизионной сети, а также на аналитические центры, такие, как Центр стратегических исследований (Center for Strategic Research) при иранском Совете по определению политической целесообразности (Expediency Discernment Council). Целью этих атак было воздействие на политиков реформистского толка.
Magic Hound
Группа хакеров под названием Magic Hound была идентифицирована американской компанией по кибербезопасности Palo Alto Networks Inc. в качестве исполнителя серии атак на правительственные учреждения, промышленные и энергетические компании в Саудовской Аравии с середины 2016 г., причем указывалось использование группой Magic Hound инфраструктуры, идентичной той, которая использовалась Rocket Kitten. Было идентифицировано более 50 образцов использовавшегося группой Magic Hound программного обеспечения для получения удаленного доступа и инструментария для внедрения вредоносного программного обеспечения. Magic Hound использовала известные программы типа IRC-ботов, программы удаленного администрирования Pupy (для ОС Windows/Linux/OSX/Android, разработанной на языке программирования Python) для рассылки файлов Microsoft Office (Word и Excel) с интегрированными вредоносными макросами под видом документов Министерства здравоохранения и Министерства торговли Саудовской Аравии. Также группой Magic Hound использовались программы собственной разработки, такие, как инструмент постэксплуатационного удаленного управления типа Meterpreter под кодовым названием Magic Unicorn, программа обработки файлов MagicHound.DropIt, программа-загрузчик MagicHound.Fetch, установщик файлов MagicHound.Rollover, троянская программа MagicHound.Retriever, IRC-бот MagicHound.Leash.
Cutting Sword of Justice
Группа Cutting Sword of Justice стала известна, когда взяла на себя ответственность за одну из наиболее масштабных хакерских атак — операцию Shamoon (2012 г., обозначается по названию применявшегося ПО), объектами которой стали крупнейшая саудовская нефтегазовая компания Saudi Aramco и другие компании в регионе. Группа мотивировала проведение атаки политическими причинами — причастностью Саудовской Аравии к организации беспорядков в Сирии и Бахрейне. При этом независимыми исследователями отмечалось, что группа позиционировала себя в качестве независимых религиозных активистов и какая-либо их связь с иранскими спецслужбами или госструктурами документально не была идентифицирована.
Izz Ad-Din Al Qassam
Группа Izz Ad-Din Al Qassam (Izz ad-Din al-Qassam Cyber Fighters) известна как группа, взявшая на себя ответственность за серию DDoS-атак против финансового и банковского сектора США в 2012–2014 гг., получившей название Operation Ababil. Эта операция считается самой масштабной и результативной атакой иранских кибергрупп на компьютерные сети в США: как отмечалось западными исследователями, убытки американских компаний исчислялись десятками миллионов долларов. Указывалось, что для фишинговой атаки хакеры взломали несколько тысяч сайтов, с помощью которых была создана атакующая платформа, использовавшаяся непосредственно для подавления серверов американских банков.
Infy
Группа под кодовым названием Infy (названа так по использовавшемуся вредоносному ПО) была идентифицирована американской компанией по кибербезопасности Palo Alto Networks Inc. в мае 2015 г. в ходе анализа фишинговых рассылок файлов с внедренным вредоносным содержимым (в частности, вирусной программы VirusTotal) пользователям в Израиле и США. Согласно последующему анализу деятельности группы Infy и применявшегося инструментария, группа могла существовать с 2013 г., а создание отдельных элементов использовавшейся инфраструктуры относится к 2007 г.

Для целей кибершпионажа группой использовалось семейство программного обеспечения собственной разработки с аналогичным кодовым названием Infy (по аналогии с названиями файлов в фрагментах командной строки в структуре ПО). При этом указывалось на использование более 40 вариантов ПО, в том числе 30 видов исходного варианта Infy (вплоть до версии Infy version 30), применявшихся, вероятно, с 2010 г. до конца февраля 2016 г. Также существовала усовершенствованная модификация Infy M в версиях с 6.1 по 7.8, применение которой отмечалось до апреля 2016 г. Распространение вредоносных программ группой Infy выполнялось посредством фишинговых рассылок по электронной почте файлов Microsoft Word и Microsoft PowerPoint с интегрированным в них вредоносным программным обеспечением. При этом отмечалось использование группой Infy при рассылках в качестве серверов динамических DNS-провайдеров и служб хостинга сайтов (доменов).

Также отмечалось использование группой Infy вредоносного ПО (интернет-бота) Ghambar (разработано на языке программирования C#), идентифицированного в апреле 2016 г. в рассылках иранским правозащитным организациям фейкового приглашения на вебинар по правам человека, якобы проводившийся испанским университетом.

По оценкам специалистов компании Palo Alto Networks Inc., целями киберопераций группы Infy стали не менее 326 объектов в 35 странах мира. В частности, указывалось на активное участие группы Infy в атаках на веб-ресурсы иранских оппозиционных партий, правозащитников и диссидентов (например, в ходе парламентских выборов в феврале 2016 г.), а также на сайты национальных меньшинств и шпионаж за американскими и западноевропейскими компаниями, занятыми в аэрокосмическом и оборонном секторе. С учетом уровня планирования и организации проводившихся кибератак, используемой тактики и разнообразия вариантов внедрения вредоносного ПО, указывалось на вероятную причастность к деятельности группы Infy иранских спецслужб.

В 2016 г. компанией Palo Alto Networks Inc. была проведена операция по установлению контроля над сетевой инфраструктурой группы Infy. В результате операции, несмотря на периодически применявшиеся иранскими хакерами попытки применения измененных IP-адресов, были выведены из строя использовавшиеся командные сервера. При этом отмечалось, что успешность операции была обусловлена не столько ошибками иранских хакеров, сколько оказанным Palo Alto Networks содействием со стороны хостинговых компаний, на серверах которых размещалась сетевая инфраструктура группы Infy.
OilRig
Группа под кодовым названием OilRig была идентифицирована специалистами американской компании по кибербезопасности Palo Alto Networks в 2015 г., также отмечалась принадлежность группе кодового названия Helix Kitten). Зарубежными исследователями (американскими компаниями по кибербезопасности Palo Alto Networks Inc. и Nyotron Security, израильской компанией Morphisec Ltd и др.) группа OilRig отмечается в качестве одной из наиболее профессиональных и квалифицированных иранских кибергрупп. При этом указывается на координацию деятельности кибергруппы OilRig Министерством разведки и КСИР.

Отличительной чертой группы является преимущественное использование при кибератаках программного обеспечения собственной разработки: вредоносной программы Helminth (в вариантах использования скриптов удаленного доступа/управления VBScript («update.vbs») и PowerShell («dns.ps1») а также автономно запускаемого файла); троянских программ удаленного доступа ISM Door, ISMAgent и ISMInjector; TwoFace и т.н. вторичного бэкдора RGDoor (обеспечивающего восстановление удаленного доступа к атакованным веб-серверам в случае обнаружения и удаления с них ранее внедренного бэкдора удаленного доступа TwoFace); скриптового бэкдора QUADAGENT (на базе средства автоматизированного управления серверными и компьютерными службами и ресурсами); троянской программы BondUpdater, отличающейся использованием DNS-туннелирования для связи с командным сервером, и ее модифицированного варианта с инициацией DNS-тунеллирования посредством текстовой записи DNS TXT с внедренными макросами; троянской программы OopsIE с функциями антианализа и обнаружения автоматизированными антивирусными системами. Специалистами компании Palo Alto Networks Inc. отмечалось использование группой OilRig не менее 12 видов вредоносного программного обеспечения собственной разработки.

По утверждению экспертов, объектами атак группы OilRig становились пользователи в Израиле, США, Саудовской Аравии, Турции, ОАЭ, Ливане, Кувейте и Катаре. Указывалось на причастность OilRig к серии кибератак в 2015–2017 гг. на правительственные организации, а также финансовые учреждения и технологические компании в Саудовской Аравии, Израиле, США, Турции. Группа также проводила кибероперации против госструктур в ОАЭ, в конце 2015 г. осуществляла рассылку пользователям из государств Персидского Залива с вредоносным контентом – дистанционно загружаемым вредоносным ПО с фиктивного сайта Оксфордского университета. В январе 2017 г. OilRig провела операцию по фишинговой рассылке с адресов электронной почты израильского Университета имени Бен-Гуриона (доступ к ним был обеспечен загрузкой файла, содержавшего вредоносное ПО), а в феврале – июле 2018 г. провела серию кибератак на пользователей в ряде ближневосточных государств с использованием троянской программы OopsIE и бэкдора QUADAGENT.

Компанией по кибербезопасности iDefense (входящей в состав ирландской консалтинговой компании Accenture LLP) отмечалось использование группой OilRig программ-криптовымогателей собственной разработки, в том числе Rastakhiz (идентифицированной в октябре 2016 г.), Tyrant (идентифицированной в ноябре 2017 г.), WannaSmile (впервые обнаружена в ноябре 2017 г.) и Black Ruby (впервые обнаружена в феврале 2018 г.).
APT33
Появление кибергруппы, идентифицированной американской компанией по кибербезопасности FireEye Inc. под кодовым названием APT33 (Advanced Persistent Threat 33), относится к 2013 г. Группа известна проведением операций по кибершпионажу с использованием вредоносного программного обеспечения типа wiper-программ, объектами которых становились саудовские авиационные и нефтехимические компании, а также имевшие с ними партнерские отношения американские аэрокосмические корпорации и южнокорейские нефтехимические компании.

Крупнейшей операцией группы APT 33 стали выявленные американской компанией FireEye Inc. хакерские атаки, проводившиеся с середины 2016 г. по сентябрь 2017 г. на сайты американских аэрокосмических компаний Boeing и Northrop Grumman и связанных с ними саудовских авиационных и оборонных компаний. Атаки проводились посредством целевых фишинговых рассылок с фейковых доменов, имитирующих сайты американо-саудовских компаний Vinnell Arabia (СП Boeing, Alsalam Aircraft и Saudia Aerospace Engineering Industries) и СП Northrop Grumman Aviation Arabia, обеспечивавших техническое обслуживание и обучение персонала саудовских гражданских авиакомпаний и ВВС. Атаки выполнялись для кражи либо уничтожения информации на веб-ресурсах и серверах атакуемых объектов.
APT34
Группа под кодовым названием APT34 идентифицируется американской компанией FireEye Inc. как действующая с 2014 г. По оценкам специалистов FireEye Inc., деятельность группы APT34 связана с иранскими госструктурами. Объектами ее атак в период 2015–2017 гг. стали государственные структуры и компании финансового, энергетического, нефтехимического и телекоммуникационного секторов, преимущественно на Ближнем Востоке. В ряде случаев отмечалось наличие некоторых аналогий с группой OilRig (например, использование идентичных инструментов типа эксплойтов PowerShell и файлов Excel с вредоносными макросами), однако исследователями указывалось на использование этими акторами разной тактики действий.
Greenbug
По данным американской компании по кибербезопасности Symantec Corporation, хакерская группа Greenbug известна с июня 2016 г. как актор, использующий при кирбератаках троянскую программу ISMdoor для взлома компьютеров, кражи учетных записей и паролей из компьютеров и электронной почты. Объектами атак группы становились пользователи из правительственных организаций, авиационных компаний, инвестиционных и образовательных учреждений в Саудовской Аравии, Бахрейне, Ираке, Турции, Катаре, Кувейте. Распространение вредоносной программы преимущественно велось посредством рассылок по электронной почте архивированных файлов в виде коммерческих предложений.
Leafminer
В августе 2018 г. американской компанией Symantec Corporation был опубликован отчет о выявленной ею новой кибергруппе — Leafminer, которая базируется, как предполагается, в Иране. Группа была обнаружена в ходе операции по нейтрализации серверов, использовавшихся для рассылок в ближневосточные страны вредоносного программного обеспечения. Как указывалось специалистами компании Symantec, по своим компетенциям группа Leafminer является одной из наиболее активных в региональном киберпространстве. В качестве целей ее атак были намечены 809 объектов в Саудовской Аравии, ОАЭ, Катаре, Кувейте, Бахрейне, Египте, Израиле и Афганистане. При выборе целей приоритет отдавался получению доступа к данным электронной почты, серверам баз данных правительственных учреждений и компаний в финансовом, энергетическом, авиационном, телекоммуникационном и других секторах стран региона. В числе прочих иранских хакерских групп исследователями указывались также группа Parastoo, которая считается причастной к взлому в ноябре 2012 г. сервера МАГАТЭ и к публикаций в сети данных о сотрудниках организации. Также существуют хакерские группы Cadelle и Chafer, осуществившие в 2015 г. серию атак на объекты в Саудовской Аравии, группа под кодовым названием Cobalt Gypsy, причастная к кибероперации Magic Hound (2017 г.), а также Eagle Security Team, Iran Cyber Security Group, Iran Cyber Team, Black Hat Hackers, Persian Hack Team, Black Hat Group, Iran Crack Security Team, Iran Malware Team. Однако большинство из этих групп идентифицировались в качестве акторов, фрагментарно проводившихся хакерских атак, и их деятельность не носила системный характер.
Зарубежные кибератаки в отношении Ирана
Поскольку целью данного исследования является освещение компетенций Ирана в сфере кибербезопасности и проведения киберопераций, кибератаки, которым подвергался Иран, не будут детально анализироваться. Более того, они подробно описаны в различных зарубежных и российских источниках. Тем ее менее стоит вкратце описать наиболее известные из них для сопоставительного отражения компетенций Ирана в сфере обеспечения кибербезопасности.

Первой крупной и самой разрушительной по последствиям кибератакой против Ирана стала операция Olympic Games, которая, как предполагается большинством исследователей, была спланирована и проведена США и Израилем. В рамках этой операции в 2010 г. было осуществлено внедрение вирусной программы-червя Stuxnet на один из важнейших объектов ядерной инфраструктуры Ирана — предприятие по обогащению урана Natanz. В результате перенастройки вирусом Stuxnet систем управления объекта из строя вышли 1 368 из 5 000 имевшихся центрифуг по обогащению урана. Программа Stuxnet в теневом режиме изменяла работу центрифуг до критических значений, что в конечном итоге привело к их износу и выходу из строя. При этом операторы получали генерировавшиеся вирусом искаженные данные о работе оборудования, соответствовавшие нормальным показателям. Как отмечалось зарубежными экспертами, атака отбросила развитие ядерной программы Ирана на два года назад.

При дальнейшем распространении Stuxnet, по данным Совета по информационным технологиям Министерства промышленности добывающих отраслей Ирана, вирусом было пораженно более 30000 промышленных компьютерных систем. Министерством связи и информационных технологий Ирана указывалось, что не было отмечено каких-либо аварийных сбоев. Операция по внедрению вируса Stuxnet была кибератакой в классическом смысле (т.е дистанционной), поскольку исходно имело место внедрение ПО в информационную сеть с носителя, выполненное внедренными или завербованными агентами. На это указывает тот факт, что информационная сеть объекта Natanz была локальной, без какой-либо возможности внешнего доступа. В дальнейшем вирус распространялся уже посредством перемещения по связанным сетям. Министерством связи и информационных технологий Ирана отмечалось, что вирус Stuxnet в том числе предназначался для передачи данных с поражаемых информационных систем на зарубежные сервера.

Считается, что данная кибератака против ядерной инфраструктуры Ирана стала рубежным моментом для иранского политического и военного истеблишмента по форсированному развитию собственного потенциала кибербезопасности. Касательно выработки мер противодействия кибератаке вирусом Stuxnet иранскими и зарубежными источниками отмечали, что Иран довольно быстро смог найти средства противодействия для предотвращения дальнейшего распространения вируса.

Впоследствии, в сентябре 2011 г. специалистами венгерской компании по кибербезопасности CrySyS Lab. (Laboratory of Cryptography of Systems Security) при Будапештском университете технологии и экономики было выявлено наличие в информационных сетях, пораженных Stuxnet, нового вируса – троянской программы Duqu, разработанной ранее. Как отмечалось исследователями, вирус Duqu был ориентирован на идентификацию топологии сетей и выявление уязвимостей, и, как предполагалось, был вирусом-разведчиком для определения «точек входа» для вируса Stuxnet. Компанией CrySyS Lab. было разработано специальное программное обеспечение «Duqu Detector» для выявления данного вируса.

Следующим масштабным инцидентом стало выявление в мае 2012 г. Национальной группой реагирования на чрезвычайные ситуации в киберпространстве (MAHER) и оказывавшими им техническую помощь специалистами российской компании «Лаборатория Касперского» новой вредоносной программы — Flame (названной по имени одного из составляющих модулей). Согласно оценке специалистов «Лаборатории Касперского», программа Flame предположительно была связана с вирусом Stuxnet ввиду ориентированности на поиск аналогичных уязвимостей. Как сообщалось иранскими источниками, вирус Flame первоначально поразил порядка 1000 компьютеров иранских госведомств (в частности Министерства нефти Ирана), вузов и частных компаний, затем распространившись за пределы Ирана. Позднее была обнаружена отличающаяся разновидность вируса – программа Wiper, вызывавшая отключение поражаемых компьютеров и копирование данных с жестких дисков.

Специалистами MAHER указывалось на возможность внедрения вируса Flame в ходе серии предшествовавших кибератак США и Израиля на иранские информационные сети. Иран официально обращался в международные организации с просьбой об оказании помощи после кибератак с использованием программ Flame и Wiper, причем это сопровождалось призывами к усилению контроля над интернетом со стороны ООН.

На протяжении 2012 г. иранские официальные лица неоднократно заявляли о выявлении массированных кибератак на информационные ресурсы иранских организаций, в частности ядерных объектов, а также Центрального банка Ирана и нефтяных компаний. К примеру, сообщалось, что осенью 2012 г. иранские финансовые учреждения подверглись атаке вредоносным программным обеспечением (червем) Narilam. Распространяясь через интернет и флеш-носители, программа внедрялась в реестры пораженных ресурсов и получала доступ к управлению базами данных. При этом MAHER отмечал, что вирус Narilam не вызвал каких-либо масштабных проблем и его распространение нейтрализовывалось имевшимися средствами. В октябре 2012 г. министр разведки Ирана Гейдар Мослехи заявил, что Иран ежедневно выявлял порядка 500 кибератак на свои информационные ресурсы.

После серии кибератак в 2012 г. Ираном периодически декларировался поступательный рост потенциала и возможностей противодействия внешним киберугрозам. Например, в конце декабря 2012 г. заместитель командующего сил правопорядка Ирана Ахмад Реза Радан отметил, что Иран входит в число стран, наиболее успешно противодействующих киберугрозам: Иран выявляет до 60% кибератак, тогда как в других странах этот показатель не превышает 21–25%. Позитивные оценки иранских официальных лиц в определенной степени косвенно подтверждаются практическим отсутствием информации о крупных инцидентах по проникновению зарубежных акторов на объекты иранской киберинфраструктуры в тот период.

Иранскими чиновниками сообщалось, что отечественные специалисты оперативно разработали эффективные программные средства для устранения последствий вирусных кибератак и недопущения их дальнейшего распространения. В частности, в ноябре–декабре 2011 г. директор «Организации пассивной обороны» Голам Реза Джалали сообщил иранским СМИ о разработке антивирусной программы для очистки систем, пораженных вирусом Duqu. В мае 2012 г. группа MAHER заявила о разработке антивирусного программного обеспечения, специально оптимизированного для выявления и нейтрализации вредоносного вируса Flame в компьютерных сетях.

Вероятно, частью диверсий против иранской киберинфраструктуры стало похищение и убийство в октябре 2013 г. неизвестными лицами командующего штаб-квартирой киберопераций Моджтаба Ахмади, обнаруженного застреленным в лесистой местности недалеко от города Карадж, к северо-западу от Тегерана. Отмечалось, что ранее в результате покушений, в организации которых Иран обвинил израильскую разведслужбу Моссад, были убиты пять иранских ученых-ядерщиков и руководитель иранской ракетной программы. По комментариям западных наблюдателей, серия убийств иранских специалистов, причастных к критически значимым проектам оборонных программ, способствовала принятию иранскими спецслужбами экстренных мер по ужесточению режима безопасности.

Впоследствии иранские официальные СМИ периодически сообщали о фиксировании многочисленных попыток кибератак, однако неизменно говорили об отсутствии сколь-либо крупного ущерба от них. Иранскими официальными источниками, цитируемыми иранской телекомпанией PressTV, отмечалось, что в 2014 г. ежедневно отражалось более 1000 кибератак на национальные IT-ресурсы, а в 2015 г. иранские источники сообщали, что ежедневно киберполицией FATA и прочими службами по обеспечению кибербезопасности выявляется до 10000 кибератак на иранские IT-ресурсы, при этом указывалось, что большая часть из них успешно нейтрализуется. Например, в феврале 2015 г. иранскими СМИ сообщалось об успешном отражении иранскими военными [вероятнее всего – специалистами КСИР] серии кибератак на объекты научной и промышленной инфраструктуры Ирана. В марте 2015 г. центром реагирования на киберугрозы киберполиции FATA были успешно отражены кибератаки США на иранские объекты промышленной инфраструктуры, в т.ч. на серверы Министерства нефти.

Зарубежными источниками при этом отмечалось, что иранскими службами не была предотвращена кибероперация, проведенная в маеиюне 2016 г. (как указывалось, саудовскими хакерами), в результате которой были блокированы и взломаны сайты Статистического центра Ирана, Министерства культуры, некоторых организаций судебной системы, а также ряда иранских посольств, в частности в России, Украине, Аргентине и Кыргызстане. При этом начальником Организации гражданской обороны Ирана Голамом Резой Джалали (Gholam Reza Jalali) отмечалось, что хакерам удалось лишь проникнуть на внешний уровень инфраструктуры и объектам атаки не было нанесено существенного ущерба.

По данным, приводившимся начальником FATA, бригадным генералом Сейедом Хадианфаром, за год (с марта 2017 г. по март 2018 г.) было выявлено 7 525 атак на киберинфраструктуру Ирана, основными объектами которых были иранские госведомства, банки и финансовые институты, инфраструктура связи и сетей энергораспределения. Указывалось, что 50% атак исходили из США и Китая, 30% – из европейских стран (преимущественно из Германии и Нидерландов). Остальные случаи были связаны с акторами из азиатских стран. При этом глава FATA отметил, что практически все кибератаки были пресечены и не нанесли заметного ущерба.

Зарубежными источниками в числе наиболее заметных кибератак на Иран в 2017 г. также отмечалась атака по взлому в июне 2017 г. саудовской кибергруппой Team Bad Dream сайта Министерства иностранных дел Ирана.

Иран также сообщал о серии кибератак, проведенных в феврале 2018 г. и нацеленных на веб-сайты и серверы иранских СМИ (в частности, иранских газет Qanoun, Arman Daily и Setareh Sobh). При этом указывалось, что атаки велись с IP-адресов в США и Великобритании. Согласно комментарию пресс-секретаря FATA бригадного генерала Саида Аль Махди,хакерам удалось проникнуть только на веб-страницы и разместить на них фейковые выпуски новостей, в то время как попытки проникновения на серверы были пресечены иранскими специалистами.

Также 6 апреля 2018 г. сообщалось о кибератаке на серверные центры ряда иранских IT-компаний (Afra Net (Afr@Net), Asiatech, Shatel, Pars Online, ISIRAN, Respina Telecommunication Co.), в результате которых на части коммутаторов и маршрутизаторов производства американской компании Cisco был зафиксирован сброс настроек до уровня заводских (атаке подверглось порядка 35000 маршрутизатров). Отмечалось, что наиболее серьезный урон был нанесен базам данных компаний Respina Telecommunication Co., ISIRAN и Shatel. На мониторах пораженных веб-ресурсов отражалось изображение флага США и отсылка к иностранному вмешательству в прошедшие президентские выборы США. Как сообщалось, технические операции по противодействию кибератаке велись специалистами MAHER. Через день после кибератаки они распространили информацию о том, что все центры обработки данных и крупные компании, подвергшиеся атаке, возобновили свою нормальную работу.

Зарубежными СМИ, в частности оппозиционным радио Radio Farda (иранская служба «Радио Свободная Европа»/«Радио Свобода») отмечалось, что министр связи и информационных технологий Мохаммад Джавад Азари Джахроми дал неудовлетворительную оценку работе Национальноого центра по информационной безопасности в связи с имевшим место хакерским взломом, поскольку, как отмечалось министром, несмотря на имевшуюся информацию о возможной кибератаке, не было предпринято соответствующих мер.

В связи с продолжающимися зарубежными кибератаками на иранские инфраструктурные объекты, иранские официальные СМИ упоминали выступление бывшего руководителя спецподразделения радиоэлектронной разведки Unit 8200 Управления военной разведки AMAN Эхуда Шнеерсон на конференции по кибербезопасности, прошедшей в июне 2018 г. В этом выступлении он указывал, что приоритетной целью израильских кибератак будет киберинфраструктура энергетического сектора Ирана. Интересно, что некоторые иранские оппозиционные силы стали тиражировать аналогичный тезис о целесообразности выбора мишенью для давления (в том числе и посредством кибератак) энергетический сектор Ирана для максимального ослабления режима. В начале ноября 2018 г. Ираном сообщалось о серии кибератак на его телекоммуникационную инфраструктуру, которые, по комментарию генерального директора Телекоммуникационной компании Ирана Хамида Фатахи, были сорваны иранскими специалистами. Фатахи указывал на высокую вероятность причастности к атакам именно Израиля, при этом отмечалось намерение Ирана обращаться в международные организации с требованием мониторинга и расследования подобных инцидентов. В свою очередь министр связи и коммуникационных технологий Ирана Мохаммад Джавад Азари Джахроми заявил о возможном применении в кибератаках на иранскую телекоммуникационную инфраструктуру выявленной иранскими специалистами в конце октября 2018 г. новой модификации вируса Stuxnet.
Крупнейшие зарубежные операции иранских кибергрупп
Страны - цели иранских кибератак по версии Srtatfor
Анализ географии киберопераций, проводившихся иранскими акторами, показывает, что в число их целей в приоритетном порядке попадают США, практически все ближневосточные страны (особенно Израиль и Саудовская Аравия), западноевропейские и североафриканские государства, а также некоторые страны Центральной и Южной Азии. К проведению кибератак и операций по кибершпионажу в отношении зарубежных объектов иранскими спецслужбами как правило привлекаются практически те же хакерские группы, что выполняют хакерские атаки на внутрииранские цели, а именно группы Ashiyane Digital Security Team, Flying Kitten, Rocket Kitten, Charming Kitten, Magic Kitten, CopyKittens. При этом часть групп идентифицировались как исходно создававшиеся под проведение конкретных зарубежных операций – к примеру, группы Infy, OilRig, APT33, APT34 и др.

По оценкам американских специалистов, в отличие от России и Китая, иранские хакерские группы ориентированы не только на мониторинг и сбор разведывательной информации, но и на нанесение непосредственного ущерба объектам атаки. В первую очередь это касается акций в отношении геополитических «врагов Ирана», таких, как США, Израиль и Саудовская Аравия. Они часто становились целью крупнейших киберопераций, проводившихся, как считается, иранскими кибергруппами. К числу таких кампаний можно причислить Madi (2012 г.), Operation Ababil (2012–2014 гг.), Operation Shamoon/Operation Shamoon 2 (2012 г. и 2016–2017 гг.), #OpIsrael и #OpUSA (2013 г. и последующие годы), Operation Cleaver (2012–2014 гг.), Operation Saffron Rose (2013–2014 гг.), Operation Newscaster (2011–2014 гг.), Operation Woolen-GoldFish (2014–2015 гг.), Operation Wilted Tulip (2013–2017 гг.) и Magic Hound (2016–2017 гг.).

Приоритетными объектами локальных операций по кибершпионажу и хакерских атак иранских групп являются американские высокотехнологичные и оборонные компании, которые включены Ираном в санкционные списки и осуществляют поставки вооружений Израилю и Саудовской Аравии. Сюда можно отнести Raytheon, ITT Corporation, United Technologies, Oshkosh Corporation, а также Boeing и Northrop Grumman. Также сообщалось о взломе баз данных американской оборонной компании Arrow Tech Associates Inc. При этом, как отмечалось, в отличие от вышеперечисленных масштабных операций в отношении гражданских организаций, кибератаки на американские оборонные компании вследствие высокой степени обеспечения информационной безопасности, как правило, имели весьма ограниченный успех, и сообщения о краже Ираном чувствительной информации почти отсутствуют.

Также объектами кибершпионажа иранских хакеров становились и сопредельные ближневосточные государства, которые рассматриваются в качестве сферы противоборства интересов иранских и иностранных спецслужб. Такие операции не принимали масштабных форм, хотя и выполнялись с привлечением профессиональных кибергрупп. Согласно публиковавшимся в западных источниках данным, к примеру, кибергруппой Infy проводились операции по получению доступа к базам данных правительственных структур Афганистана (в частности, Национального радио и Министерства образования) и веб-ресурсам, связанным с Иракским Курдистаном. Группой Rocket Kitten осуществлялись операции по получению доступа к базам данных силовых структур Афганистана и Пакистана, группами Flying Kitten и Magic Kitten — операции в отношении йеменских политических движений и организаций. Также проводились атаки с целью получения доступа к аккаунтам иракских политиков или должностных лиц, работавших в телекоммуникационных компаниях.

Фиксировавшиеся до середины 2012 г. наиболее заметные операции иранских хакерских групп были направлены преимущественно на США и некоторые западные страны. Однако, несмотря на резонансный характер, они, как правило, не выходили за рамки обычных хакерских атак, проводимых группами средней квалификации с использованием общедоступного инструментария. Они ограничивались организацией фишинговых и спам-рассылок и атаками по блокированию доступа пользователей к базам данных, серверам (компьютерам), веб-страницам, аккаунтам электронной почты и страницам в соцсетях.

В числе наиболее резонансных кибератак с участием иранских хакеров на тот период указывалось блокирование в январе 2010 г. работы китайского поискового интернет-сервиса Baidu, а также взлом в феврале 2011 г. группой Iranian Cyber Army сайта радиостанции «Голос Америки». В результате атаки 2011 г. на сайте «Голоса Америки» был размещен логотип группы с надписью «Мы доказали, что можем» и призыв к США и госсекретарю Хилари Клинтон не вмешиваться во внутренние дела исламских государств. В декабре 2012 г. американскими СМИ также освещалась хакерская атака по взлому и блокированию информационной сети корпорации Las Vegas Sands. Хакеры взломали сайт казино Sands Casino в Лас-Вегасе, что было ответом на антииранские высказывания его собственника, американского бизнесмена Шелдона Адельсона. Как отмечалось, хакерами был установлен удаленный доступ к серверу казино с помощью программы Mimikatz, впоследствии был получен доступ к логинам и паролям и осуществлено блокирование всей информационной сети корпорации. При этом причиненный ущерб оценивался в 40 млн долл.

Западными источниками упоминались неоднократные хакерские атаки на сайт американского космического агентства NASA. В частности, в 2009 г. была осуществлена атака группой Ashiyane Digital Security Team. В мае 2012 г. операцию против NASA провела иранская студенческая хакерская группа, именовавшая себя Cyber Warriors Team. В публикации, размещенной хакерами на сайте Pastebin.com, было указано, что атака была проведена посредством рассылок по электронной почте с использованием учетных записей пользователей и уязвимостей в сертификатах безопасности SSL сайта NASA. Впоследствии веб-ресурсы NASA подвергались атакам хакерской группы Ashiyane Digital Security Team в сентябре 2015 г. и группы Lord Hacking Team — в августе 2016 г.

Также сообщалось о причастности иранских кибергрупп к атакам на веб-ресурсы и базы данных МАГАТЭ. В частности, в 2011 г. была предпринята попытка взлома баз данных инспекторов организации, осуществлявших мониторинг объектов ядерной инфраструктуры Ирана. В ноябре 2012 г. иранская кибергруппа Parastoo проникла на сервер МАГАТЭ и опубликовала в сети базы данных с информацией о сотрудниках организации. Отдельными источниками упоминалось о предполагаемом участии в кибератаках на серверы МАГАТЭ группы Iranian Cyber Army.

2012 год можно условно отметить как рубежный: в 2012 г. стал заметным значительный рост потенциала и компетенций ведущих иранских хакерских групп. Проявлением этого стали проводившиеся ими уже не просто декларативные, а масштабные кибератаки. Причем теперь целью этих атак чаще становились не единичные объекты за рубежом, а крупные инфраструктурные объекты и отрасли, а также группы государств. Также наметилась следующая тенденция: иранские кибергруппы стали проводить атаки в формате планируемых операций по кибершпионажу либо блокированию и уничтожению баз данных.
Операции ComodoGate и Black Tulip
Первыми операциями иранских кибергрупп нового формата стали атаки «ComodoGate» (взлом веб-сайта и электронной почты американской компании по обеспечению информационной безопасности Comodo) и «Black Tulip» (взлом сайта голландской компании по обеспечению информационной безопасности DigiNotar). Они не выделялись по масштабам организации и используемой инфраструктуре, однако именно их можно выделить как первые кибероперации, в которых иранскими хакерами ставилась принципиально новая качественная цель – предварительная организация сетевой инфраструктуры для проведения массированных киберопераций на базе специально создаваемых контролируемых доменов и аккаунтов.

Операция против компании Comodo была проведена в марте 2011 г. В результате этой операции был получен доступ к учетной записи и паролю одной из доверенных компаний-партнеров Comodo и организована кража цифровых SSL-сертификатов для 9 доменов. Как отмечалось самой компанией, атака проводилась с IP-адреса на территории Ирана, причем веб-сайт, с которого она проводилась, был удален после его обнаружения.

В сентябре 2011 г. в западных источниках появилась информация об аналогичной атаке под кодовым названием «Black Tulip», которая была проведена, как предполагается, в июне–августе 2011 г. Суть атаки заключалась во внедрении программного обеспечения, изменявшего сертификаты шифрования, что обеспечило иранским спецслужбам доступ к учетным данным пользователей почтовой службы Gmail. Как указывалось, иранскими хакерами было взломано 500 сертификатов безопасности, что позволило получить доступ к данным 300 000 иранских пользователей Gmail. Причастность иранских хакеров идентифицировалась по набору использовавшихся методов, а также характеру сообщений, оставленных на сайте компании. При этом отдельными исследователями обозначалась причастность к данной операции кибергруппы Magic Kitten. Министерством юстиции Нидерландов был опубликован список поддельных сертификатов доступа к аккаунтам пользователей на сайтах крупнейших информационных компаний и интернет-сервисов, включая Yahoo, Facebook, Microsoft, Skype, AOL, Tor Project, WordPress.
Операция Madi
К июлю 2012 г. относится выявление первого идентифицированного проведения иранскими акторами кибероперации по распространению вредоносного ПО под кодовым названием Madi (названо так по имени файла «mahdi.txt» в составе ПО). По различным данным, от атаки пострадали до 800 пользователей в США, Израиле и ближневосточных государствах, в т. ч. нефтяные корпорации, правительственные учреждения, аналитические центры, научные и финансовые организации. Впоследствии вредоносное ПО распространилось и в ряде других стран. В ходе операции Madi в 2012 г., по оценкам американской компании по кибербезопасности Symantec Corporation, 72 % атакуемых объектов находилось в Израиле, 8% атак пришлось на Саудовскую Аравию, 4% — на США. Остальные объекты находились в Ираке, Греции, Эквадоре, Австралии, Мозамбике, Швейцарии, Вьетнаме. Специалисты «Лаборатории Касперского» и израильской компании Seculert идентифицировали применявшееся ПО Madi как троянскую программу, позволявшую получать доступ к базам данных пораженных компьютеров, регистрировать действия пользователей (например, нажатия клавиатуры), фиксировать скриншоты, перехватывать сообщения в электронной почте и мессенджерах. Организаторы кибератаки получали доступ к учетным записям пользователей в соцсетях и почтовых интернет-сервисах, а также информационных системах управления бизнес-процессами (типа интегрированных систем ERP/CRM). При этом специалистами «Лаборатории Касперского» и израильской компании Seculert отмечалось, что, несмотря на относительно примитивный уровень организации и инфраструктурного обеспечения, организаторам операции Madi удалось добиться довольно масштабных результатов. Причем указывалось, что, вероятно, именно «дилетантский и элементарный подход» позволил на начальном этапе избежать обнаружения.
Operation Shamoon
15 августа 2012 г. была выявлена массированная кибератака (DDoS-атака по блокированию доступа пользователей к базам данных, серверам (компьютерам), веб-страницам, аккаунтам электронной почты и страницам в соцсетях с последующим уничтожением баз данных) на серверы крупнейшей саудовской нефтегазовой компании Saudi Aramco, которая стала началом кибероперации на госучреждения и компании Саудовской Аравии под наименованием Shamoon (по названию вредоносного ПО). Как сообщалось западными источниками, (в т. ч. со ссылкой на информацию, размещенную якобы инициаторами атаки на сайте Pastebin.com), было заражено более 30000 компьютеров компании Saudi Aramco. При этом отмечалось, что доступ к информационной сети компании был восстановлен только через 10 дней.

Помимо компании Saudi Aramco, атаке подверглись серверы Министерства обороны Саудовской Аравии, Министерства иностранных дел, Министерства торговли и инвестиций, а также Саудовская фондовая биржа, Фонд короля Фейсала, частные компании и пользователи. Несколько позже объектом атаки также стала катарская газовая компания RasGas Company.

В ходе кибероперации Shamoon вирусная программа перезаписывала содержимое жестких дисков и блокировала работу серверов, причем на мониторах в это время фиксировалось изображение горящего американского государственного флага. В результате атаки было поражено несколько десятков тысяч компьютеров. Экономический ущерб оценивался в пределах от нескольких десятков до сотен миллионов долларов.

Ответственность за кибератаку на Saudi Aramco взяла на себя хакерская группа The Cutting Sword of Justice, мотивировав ее политическими причинами – причастностью Саудовской Аравии к организации беспорядков в Сирии и Бахрейне. При этом какая-либо связь хакерских групп, позиционировавшихся в качестве независимых религиозных активистов или националистов, с иранскими спецслужбами или госструктурами формально не идентифицировалась. Отдельными исследователями указывалась возможная причастность к данной акции хакеров из кибергруппы Charming Kitten.

Несмотря на утверждения высокопоставленных американских чиновников об однозначной причастности Ирана к кибероперации Shamoon, иранское правительство настаивало на проведении официального международного расследования. По высказыванию секретаря иранского Национального центра по киберпространству Махди Акхавана Бахабади, утверждения США о причастности Ирана к кибератаке связаны исключительно с политическими мотивами, в т. ч. со стремлением использовать эти тезисы как агитационный фактор в ходе проводившейся президентской компании.

Специалистами компании McAfee Inc. отмечалось, что на начальном этапе для выявления возможных веб-уязвимостей атакуемых объектов хакерами использовалась пиратская копия сканера веб-уязвимостей Acunetix Security Scanner. При обнаружении возможности внедрения загружалась веб-оболочка получения удаленного доступа для фиксации имен пользователей и учетных данных. Специалистами российской «Лаборатории Касперского», также анализировавшими ПО Shamoon, отмечался модульный принцип его компоновки.

Отдельными зарубежными источниками указывалось, что взлом серверов на исходном объекте атаки был осуществлен с использованием хакерами паролей доступа, хранившихся в файле с паролями доступа администратора. Впоследствии внедренное программное обеспечение Shamoon исполняло команды активации загруженной с сервера вредоносной программы и уничтожения данных на зараженных компьютерах. Также отмечалось, что для самостоятельного распространения ПО Shamoon выполнялось копирование в административные ресурсы ОС Windows, при успешности которого выполнялся автозапуск и на удаленных компьютерах (их IP-адреса которых извлекались из параметров командной строки).
Operation Shamoon 2
В период с ноября 2016 г. по январь 2017 г., как отмечалось специалистами «Лаборатории Касперского», была зафиксирована новая серия кибератак с использованием модифицированной версии ПО Shamoon, квалифицировавшейся как Shamoon 2. Как указывалось ранее, применявшееся в ходе кибератаки вредоносное программное обеспечение Shamoon 2 содержало усовершенствованную версию вредоносного агента W32.Disttrack – в модификации W32.Disttrack.B. В отличие от исходной версии оно имело полный функционал для инфицирования компьютеров, оснащенных как 32-битными операционными системами, так и 64-битными. ПО Shamoon 2 перезаписывало содержимое жестких дисков пораженных компьютеров с выведением на монитор ссылок на гражданскую войну в Йемене и изображения утонувшего сирийского ребенка-беженца. Это, как указывалось исследователями, апеллировало к проведению кибератаки в качестве протеста против политики вмешательства Саудовской Аравии во внутренние дела Йемена и Сирии.

В результате серии атак Shamoon 2 были уничтожены базы данных саудовских госструктур, в частности, Центрального банка, Главного Управления гражданской авиации, Министерства труда, а также крупных нефтегазовых и нефтехимических компаний (в т. ч. Sadara Chemical Company и Tasnee).

По оценкам зарубежных исследователей, кибероперация Shamoon 2, по сравнению с серией атак 2012 г., характеризовалась большей масштабностью, лучшей организационной подготовленностью и скрытностью операций. В частности, отмечалось, использование целевой фишинговой рассылки вместо поточного выявления уязвимостей, специалистами компании McAfee Inc. отмечался, переход от использования пакетных сценариев атак, к использованию автоматизированных средств системного администрирования PowerShell и передачи трафика посредством DNS-туннелирования. Специалистами российской «Лаборатории Касперского» также отмечалось, что финальные стадии операции Shamoon 2 были полностью автономны и не требовали внешнего управления и координации.
Operation Ababil
18 сентября 2012 г. кибергруппа, именуемая Izz ad-Din al-Qassam Cyber Fighters разместила уведомление на сайте Pastebin.com, анонсировав начало проведения кампании DDoS-атак против финансового сектора США, получившей название Operation Ababil. В качестве формальной причины проведения кибератаки группой указывался протест против показа в США фильма «Innocence of Muslims» («Невинность мусульман»), истолковывавшегося как антиисламский и оскорбляющий имя пророка Мухаммеда. Для проведения атаки хакерами посредством фишинговых рассылок было взломано несколько тысяч сайтов, с использованием которых была создана атакующая платформа для подавления серверов американских банков. В результате большого объема входящего трафика начались массовые сбои серверной инфраструктуры атакуемых банков и финансовых организаций США, что привело, среди всего прочего, к потере баз данных.

Всего в рамках операции Ababil группой Izz ad-Din al-Qassam было предпринято три серии атак и анонсирована четвертая, при этом перед каждым этапом группой размещалось соответствующее предупреждение на сайте Pasterbin.com. Первая серия атак началась 18 сентября 2012 г. и была прекращена 23 октября 2012 г. в связи с мусульманским праздником «Курбан-Байрам». В декабре 2012 г. хакерами было анонсировано начало второй фазы операции Ababil, проведение которой было временно приостановлено в феврале 2013 г. в качестве жеста доброй воли в ответ на удаление компанией Google с видеохостинга YouTube размещенной видеоверсии фильма. В марте 2013 г. было размещено заявление о начале третьей фазы атаки с требованием удалить все трейлеры к фильму. 23 июля 2017 г. группой Izz ad-Din al-Qassam было анонсировано проведение четвертой фазы операции Ababil, однако фактически она была свернута.

Как отмечалось исследователями, самой масштабной была первая серия атак, последующие серии атак были менее результативны вследствие принятых мер защиты. Как сообщалось, всего объектами атаки стали 46 американских банков, в том числе такие крупные банки, как Bank of America, Union Bank, Harris Bank, Huntington, Chase, BT&T, First Citizens Bank, а также PNC Financial Services Group, Sun Trust Banks Inc., BB&T Corp. и Нью-Йоркская фондовая биржа.

Исследователями отмечалось, что средний объем спам-трафика в ходе операции Ababil составлял 65 Гбит/с, что примерно в десятки раз больше, чем при типичной атаке инициирования отказа в обслуживании. По данным ФБР США, пиковый объем трафика доходил до 140 Гбит/с, что в три раза превышало емкость серверов банков, подвергшихся атаке. Кибероперация Ababil по настоящее время считается самой масштабной и результативной кибератакой иранских хакерских групп на компьютерные сети в США. По данным ФБР США, убытки американского банковского сектора от серии кибератак в ходе операции Ababil исчислялись десятками миллионов долларов.

В ходе серии атак в рамках операции Ababil также была выявлена резонансная попытка взлома в 2013 г. компьютерной системы управления шлюзами гидротехнической плотины Bowman Avenue Dam в пригороде Нью-Йорка. В марте 2016 г. Министерством юстиции США было предъявлено обвинение по их организации группе лиц иранского происхождения как действовавшим по указанию иранских госструктур, при этом трое из них идентифицировались в качестве бывших участники иранской кибергруппы Sun Army. Также указывалось на причастность к проведению операции Ababil иранских компаний ITSecTeam и Mersad Company. В числе объектов атак иранских хакеров также назывались Министерство труда США, Федеральная комиссия по регулированию энергоснабжения, информационные базы данных штатов Гавайи и Индиана, а также учреждений Организации Объединенных Наций.
#OpIsrael и #OpUSA
7 апреля 2013 г. была отмечена серия хакерских атак, проведенных в отношении веб-ресурсов госучреждений в США и Израиле. Эта серия атак представляла из себя две операции – #OpIsrael и #OpUSA. Она была проведена в знак протеста против решения США о переводе своего посольства из Тель-Авива в Иерусалим и против декларирования статуса Иерусалима как столицы израильского государства. Принимавшие участие в хакерских атаках анонимные иранские акторы выступали с призывом к сочувствующим им лицам принять участие в атаках на веб-ресурсы американских и израильских учреждений в знак протеста против внешней политики США и Израиля.

В числе исполнителей киберопераций #OpIsrael и #OpUSA американская компания FireEye Inc. называла иранских хакеров (в частности, хакера с ником HUrr!c4nE!), связанных группой Ajax Security Team. Впоследствии такие хакерские атаки стали ежегодно проводимой кампанией, которая в отношении Израиля обычно бывает приурочена ко Дню памяти жертв Холокоста, отмечаемого 7 апреля.

Идентифицированные методы атак в ходе операций #OpIsrael и #OpUSA, как указывалось исследователями, включали внедрение вредоносных программ для получения удаленного доступа к компьютерам (SQL Injection). В последующем происходила кража учетных данных и паролей, взлом серверов, блокирование доступа и удаление данных. Также использовались DDoS-атаки для инициирования отказа в обслуживании: TCP flood с отправкой многочисленных SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок, что приводит к переполнению очереди на подключение; UDP flood с отправкой больших UDP-пакетов в одно место назначения или на случайные порты с целью переполнения интернет-канала, позволяющие атакующему не использовать реальный IP-адрес. Также осуществлялись атаки типа HTTP/S Flood (в т. ч. с использованием бот-нетов) с отправкой потоков сеансовых наборов HTTP-запросов GET или POST на веб-серверы, рассчитанные на вероятное преодоление сетевой безопасности в части идентификации обычного и вредоносного трафика (данный вид наиболее перспективный для атак на веб-серверы).
Operation Cleaver
Кибероперация Operation Cleaver (названа так по имени, встречающемуся в командной строке ПО), проводилась в 2012–2014 гг. и стала одной из наиболее масштабных и массированных кибератак, к проведению которых считаются причастными иранские хакерские группы. При этом Иран официально категорически отвергал свою причастность к кибероперации Cleaver. В частности, пресс-секретарь постоянного представительства при ООН Хамид Бабаи осудил отчет американской компании Cylance Inc. как «необоснованное утверждение, сфабрикованное с целью запятнать имидж иранского правительства, в частности, имеющее целью срыв текущих ядерных переговоров».

Согласно данным, приводившимся в вышеупомянутом отчете, хакерам в период проведения операции Cleaver (2012–2014 гг.) удалось проникнуть на веб-ресурсы более чем 50 организаций и компаний в 16 странах мира, в т. ч. США, Канаде, Китае, Англии, Франции, Германии, Израиле, Саудовской Аравии, Турции, Кувейте, Катаре, Индии, Пакистане, Южной Корее, ОАЭ и Мексике. В числе объектов атаки оказались госучреждения, промышленные, энергетические и нефтегазовые компании, авиакомпании, университеты и учреждения здравоохранения. По данным Reuters, в числе объектов атак – калифорнийская энергетическая компания Calpine Corporation, саудовская нефтегазовая компания Aramco, мексиканская нефтяная компания Petroleos Mexicanos, катарская и южнокорейская авиакомпании Qatar Airlines и Korean Air. При этом специалистами компании Cylance Inc. отмечалось, что основной целью хакеров был сбор информации, хотя достигнутый уровень доступа к инфраструктуре объектов атаки вполне позволял также инициировать и уничтожение баз данных.

По оценкам компании Cylance Inc., к проведению кибероперации Cleaver были причастны не менее 20 хакеров и разработчиков программного обеспечения, в числе которых были идентифицированы Parviz (наблюдается с 2013 г., специализируется в разработке ПО на языках C/C++), Nesha (специализируется на взломе баз данных), Alireza (занимается разработкой ПО на языках программирования C++, Java и C#), группы-разработчики ПО kaJ и Jimbp (на программной платформе .NET developer и на языке C#).

При этом по отдельным выявленным аналогиям в использовавшихся приемах и тактике исполнения исследователями удалось выявить возможные связи исполнителей кибероперации Operation Cleaver с кибергруппой Ashiyane.

Отмечалось использование исполнителями программного обеспечения собственной разработки, внедрявшегося на веб-ресурсы объектов атаки посредством целевой фишинговой рассылки (spear phishing), атак с изменением параметров SQL-запросов к базам данных (SQL injection) и направленного заражения избранных веб-ресурсов, к которым чаще обращались объекты атаки (water-holing attacks).

В числе известных видов программного обеспечения, использовавшихся исполнителями операции Cleaver, были выявлены программы Windows Credential Editor и Mimikatz (для извлечения паролей из памяти в ОС Windows); PsExec (для удаленного выполнения команд – вызова в интерактивном режиме интерфейса командной строки в удаленных системах); Cain&Abel (для восстановления паролей для операционных систем Windows); Plink (интерфейс командной строки к программе подключения и управления удаленными узлами PuTTY); профессиональная система управления сайтами NetCat; программное обеспечение для сбора учетных данных из кэша пораженных компьютеров NetC/Net Crawler; эксплойт MS08-067 (уязвимость получения удаленного доступа); SYN Flood (сетевой инструмент отказа в обслуживании).

Также специалистами американской компании Cylance Inc. указывалось, что в ходе операции Cleaver иранскими хакерами применялось и специально разработанное программное обеспечение. К примеру, хакеры использовали разработанные на C# программу для сбора учетных данных с компьютеров в зараженной сети Net Crawler и интернет-бот TinyZBot (выполнял запрограммированные действия типа регистрации нажатия клавиатуры с передачей данных на командный сервер, отправки сообщений электронной почты на заданный адрес и пр.). Также для атаки была разработана программа для перехвата трафика в локальной сети Jasus и эксплойт получения пользователем привилегий администратора PrivEsc (как предполагается, модифицированная версия известного эксплойта KiTrap0D).
Кибератака на сеть интранет Корпуса морской пехоты ВМС США
Одним из резонансных эпизодов серии кибератак Operation Cleaver (по версии компании Cylance Inc.) стало выявленное в сентябре 2013 г. внедрение неклассифицированного вредоносного программного обеспечения в сеть интранет Корпуса морской пехоты ВМС США, включавшей 2500 объектов и обслуживавшей порядка 800 тыс. пользователей. Начало проведения операции которой относится к 2012 г. По данным службы информационной безопасности ВМС США, в 2012 г. регистрировалось порядка 110000 попыток проникновения на веб-ресурсы сети интранет ежечасно. По сообщениям издания The Wall Street Journal, американским киберспециалистам после обнаружения ПО понадобилось четыре месяца для удаления вирусного контента. Как отмечалось, стоимость процессов по восстановлению ущерба и очистке базы данных сети интранет от вредоносных программ составила порядка 10 млн долл.
Operation Saffron Rose
В 2014 г. стало известно о масштабной кибероперации иранских хакеров, проводившейся в период с октября 2013 г. по апрель 2014 г. и направленной против американских оборонных компаний. Согласно исследованию, проведенному американской компанией по кибербезопасности FireEye Inc., исполнителем операции являлась кибергруппа Ajax Security Team/Rocket Kitten (компанией CrowdStrike Inc. группа идентифицировалась как Flying Kitten).

Как указывалось специалистами компании FireEye Inc., в ходе кибероперации Saffron Rose иранскими хакерами осуществлялись целевые фишинговые рассылки файлов с вредоносным программным обеспечением на аккаунты объектов атак в сервисах электронной почты и социальных сетях. Рассылки осуществлялись с фиктивных веб-страниц и профилей в популярных соцсетях и веб-ресурсах Google, Facebook, Yahoo и LinkedIn. В качестве примера можно привести рассылки от имени института Institute of Electrical and Electronics Engineers (IEEE) с фиктивного сайта аэрокосмической конференции IEEE Aerospace Conference 2014 со специально зарегистрированным доменом «aeroconf2014.org».

В ходе анализа операции Saffron Rose был отмечен один из первых случаев использования иранскими хакерами (группой Ajax Security Team/Rocket Kitten) специально разработанного вредоносного программного обеспечения Stealer, которое устанавливалось на компьютеры объектов атаки при помощи программы Stealer Builder с последующей установкой связи с командным сервером. По оценке американской компании по кибербезопасности FireEye Inc., а также других исследователей, вредоносное программное обеспечение Stealer запускало программу-кейлоггер с функциями регистрации действий пользователя (последовательности нажатия клавиш и пр.), создания скриншотов, сбора данных о системе, учетных данных, файлов cookie, информации о плагинах, сервисах электронной почты и мгновенном обмене сообщениями, данных журнала браузера.

Operation Newscaster
В мае 2014 г. американской компанией по кибербезопасности iSIGHT Partners была идентифицирована долгосрочная операция по кибершпионажу, получившая название Operation Newscaster и проводившаяся ориентировочно с 2011 г. Ее объектами были государственные учреждения и частные компании в финансовом, энергетическом, химическом и телекоммуникационном секторах США, Израиля, Саудовской Аравии, Турции и других ближневосточных стран. Исследование операции Newscaster проводилось компанией FireEye Inc., которая в декабре 2017 г. опубликовала специальный отчет.

В ходе операции Newscaster распространение вредоносного программного обеспечения велось через фиктивные аккаунты в соцсетях и специально созданный новостной сайт NewsOnAir.org, использовавший контент ведущих мировых информационных агентств: Associated Press, BBC, Reuters. Также в состав рассылаемого новостного контента включались ссылки на фишинговые веб-ресурсы. Хакерами было создано 14 профилей в социальных сетях Facebook, Twitter, Google+, LinkedIn, YouTube и Blogger от имени фиктивных личностей, якобы работавших госчиновниками, топ-менеджерами в оборонных компаниях и журналистами. Эти аккаунты использовались для переписки с потенциальными объектами атак. Как отмечалось исследователями, охват объектов атак составил до 2000 человек (среди них – государственные и военные чиновники, дипломаты, журналисты).

По оценке компании iSIGHT Partners, по уровню организации операция Newscaster является одной из самых сложных и эффективных киберопераций, проводившихся иранскими хакерами с использованием технологий «социальной инженерии». В качестве исполнителя операции Newscaster специалисты компании iSIGHT Partners назвали иранскую кибергруппу Rocket Kitten.
Operation Woolen-GoldFish
Кибероперация под кодовым названием Woolen-GoldFish, объектами атак которой в 2014–2015 гг. стали высшие учебные заведения и компании в Израиле, правительственные организации и частные компании в ряде западноевропейских стран (в частности, в Германии), была выявлена и идентифицирована в марте 2015 г. японской компанией Trend Micro Inc. При этом исследователями отмечалось, что имена пользователей и названия организаций, ставших объектами атак, не раскрывались в целях конфиденциальности. Как указывалось специалистами Trend Micro Inc., кампания атак проводилась группой Rocket Kitten посредством целевых фишинговых рассылок пользователям по электронной почте. Примечательно, что вместо обычного вредоносного вложения использовалась ссылка на скачивание с облачного сервиса OneDrive исполняемого архивированного файла в формате PowerPoint. В нем содержалась информация по иранской ракетной программе под названием «Iran's Missiles Program.ppt.exe», что позволяло обойти автоматическое блокирование системы безопасности электронной почты. Впоследствии исполняемый файл выполнял загрузку на компьютер программы-кейлоггера Woolerg (модификация ранее использовавшегося кейлоггера CWoolger). При этом в качестве разработчика кейлоггера CWoolger специалистами Trend Micro Inc. был идентифицирован иранский хакер под ником Wool3n.H4t, связанный с рядом иранских хакерских сообществ.
Operation Wilted Tulip
Летом 2017 г. израильская компания по кибербезопасности ClearSky Cyber Security и японская компания Trend Micro Inc. заявили о раскрытии масштабной операции по кибершпионажу, которая проводилась как минимум с 2013 г. Ее объектами были чиновники правительственных, оборонных, академических организаций и IT-компаний в США, Саудовской Аравии, Израиле, Иордании, Турции и Германии. В Израиле объектами атаки также стали сайт Организации ветеранов вооруженных сил Израиля и сайты газет The Jerusalem Post и Maariv.

Исполнителем операции Wilted Tulip исследователи назвали иранскую кибергруппу CopyKittens. Отмечалось использование группой CopyKittens в ходе операции как общедоступных версий программного обеспечения, так и сложного вредоносного ПО собственной разработки. В частности, отмечалась организация переписки с объектами атак с фейковых профилей в социальных сетях для кражи учетных записей и паролей, хакерские атаки на веб-сайты с использованием программ-сканеров на наличие уязвимостей (типа Havij и Acunetix Web Security Scanner) и инструмента выявления и эксплуатации уязвимостей SQL-map. Также хакеры осуществляли атаки типа «watering hole» и фишинговые рассылки по электронной почте с прикрепленными документами Microsoft Office, содержавшими вредоносные макросы.

В числе программного обеспечения собственной разработки группой CopyKittens использовалась троянская программа Matryoshka (в версиях Matryoshka v1/Matryoshka v2), посредством использования информации системы доменных имен (DNS) обеспечивавшая удаленное управление командами контроля, регистрацию паролей, снятие скриншотов, регистрацию использования клавиатуры, сбор и загрузку файлов на пораженных компьютерах. Также хакеры использовали бэкдор TDTESS (исполняемый файл «tdtess.exe») с аналогичными функциями передачи данных и выполнения команд удаленного доступа.

При этом отмечалось, что фишинговые рассылки и распространение вредоносного ПО хакерами проводилось с IP-адресов, зарегистрированных в США, Канаде, Израиле Франции, Нидерландах и России.
Операция Magic Hound
Специалисты американских компании по кибербезопасности Palo Alto Networks Inc. и SecureWorks Inc. в начале 2017 г. отслеживали кибероперацию под кодовым названием Magic Hound, предположительно проводившуюся иранскими хакерами с середины 2016 г. Объектами операции были саудовские правительственные организации, технологические и нефтегазовые компании.

Как отмечалось исследователями, вредоносное ПО распространялось в виде документов Word и Excel с интегрированными макросами, а также в виде поздравительных открыток, предложений о работе и фейковых документов из Министерства здравоохранения и Министерства торговли Саудовской Аравии. Также в ходе операции Magic Hound использовала инструмент кросс-платформенного удаленного доступа с открытым исходным кодом Pupy, троянские программы (trojan-dropper) для скрытной установки на объект атаки вредоносных программ, IRC-боты. При этом специалистами подразделения кибербезопасности X-Force американской корпорации IBM указывалось на совпадение доменов, использовавшихся в проведении кибероперации Magic Hound, с доменами и программным обеспечением, ранее использовавшимися в ходе серии кибератак Shamoon 2.

Компанией SecureWorks Inc. указывалось на связь предполагаемого исполнителя операции Magic Hound — группы под кодовым названием Cobalt Gypsy — с иранскими госструктурами. Компания Palo Alto Networks Inc. обратила внимание на идентичность программного обеспечения, использовавшегося в ходе операции Magic Hound, с программным обеспечением, применявшимся иранскими кибергруппами Charming Kitten и Rocket Kitten.
Атака на энергосистему Турции
Турецкие и западные исследователи, а также СМИ указывали на причастность иранских хакерских групп к кибератаке на систему управления энергоснабжением Турции в мае 2016 г. В результате атаки произошел глобальный сбой в энергосистеме, половина провинций страны и порядка 40 млн жителей остались без энегоснабжения. Восстановить нормальную работу системы удалось только через 12 часов. Версия иранского следа увязывалась с враждебной политикой Турции в отношении правительства Башара Асада в Сирии и турецким вмешательством в гражданскую войну в Йемене, где Ираном поддерживается община шиитов-хуситов.
APT33
В сентябре 2017 г. американская компания FireEye Inc. заявляла о расследовании серии атак, которая проводилась иранской кибергруппой APT 33 с середины 2016 г. по сентябрь 2017 г. Объектами атак стали сайты американских аэрокосмических компаний Boeing и Northrop Grumman и сайты связанных с ними саудовских авиационных и оборонных компаний. Атаки проводились посредством целевых фишинговых рассылок с фейковых доменов, имитирующих сайты американо-саудовских компаний Vinnell Arabia (СП Boeing, Alsalam Aircraft и Saudia Aerospace Engineering Industries) и СП Northrop Grumman Aviation Arabia, обеспечивавших техническое обслуживание и обучение персонала саудовских гражданских авиакомпаний и ВВС.

Согласно оценке американской компании FireEye Inc., группой APT 33 использовался встроенный модуль фишинговых рассылок с использованием общедоступного инструмента тестирования на уязвимости ALFA TEAM Shell. В результате внедрения распространявшихся с фишинговыми рассылками вредоносных программ проводилась кража либо уничтожение информации на веб-ресурсах и серверах атакуемых объектов. Применявшееся вредоносное программное обеспечение включало бэкдор TurnedUp, программу внедрения DropShot, идентичную использовавшемуся в ходе операции Shamoon 2 вредоносному ПО StoneDrill, а также общедоступные программы типа шпионского трояна NanoCore и NetWire.

Прочие приоритетные направления проведения хакерских атак
Израиль
Израиль, как указывалось ранее, является одной из приоритетных целей иранских киберакций. При этом Израиль становился жертвой иранских хакеров не только в рамках массовых атак на несколько стран, рассмотренных ранее, но и в рамках атак, нацеленных исключительно на израильские объекты. Примечательно, что информация о проведении Ираном киберопераций в отношении Израиля является значительно менее полной, чем, к примеру, аналогичная информация об атаках на Саудовскую Аравию или другие страны региона. Это в том числе является следствием гораздо более высокого уровня защищенности израильской киберинфраструктуры. Специалистами отмечалось, что, несмотря на имевшие место случаи уничтожения баз данных израильских пользователей в результате DDoS-атак, возможности иранских кибергрупп в отношении израильских информационных ресурсов довольно ограничены. Хотя иранские компетенции в киберсфере растут, вероятно, они будут уступать в темпах роста киберзащищенности израильской инфраструктуры.

Вследствие высокой защищенности объектов информационных сетей критической инфраструктуры Израиля, израильских госучреждений и крупных компаний объектами иранских кибератак преимущественно становились менее защищенные объекты: серверы научных и коммерческих организаций, вузов, а также аккаунты в соцсетях сотрудников госведомств и организаций. При этом исследователями отмечается, что с целью большей достоверности в среде израильских пользователей фишинговые рассылки с вредоносным ПО иранские хакеры распространяли преимущественно на иврите.

В числе заметных операций иранских акторов, проводившихся в отношении израильских пользователей в более ранний период, отмечалась проводившиеся в знак протеста против израильского военного вторжения в сектор Газа атака кибергруппы Ashiyane Digital Security Team. Атака была осуществлена в начале января 2009 г., и ее объектом стал сайт Mossad (хакерами указывалось, что функционирование сайта спецслужбы было прервано более чем на два часа). Более того, в 2009 г. объектами атак Ashiyane стали 500 веб-сайтов пользователей. Также выделяется на общем фоне операция по распространению вредоносного ПО Madi в 2012 г. (по оценкам Symantec Corporation, 72 % атакуемых объектов находилось в Израиле). Стоит также отметить массированную кибератаку в июле 2012 г., исполнителем которой декларировалась группа Ditakadrz. Эта атака позиционировалась как операция возмездия за покушение на иранского ученого-ядерщика Дарьюша Резаи-Неджада. Ее объектами стали 220 веб-сайтов организаций финансового сектора, а также учебного центра израильских спецслужб. Аналогичная массированная атака иранской группы DataCoders Security Team была осуществлена в сентябре 2013 г.: группа попыталась взломать 370 сайтов израильских коммерческих организаций и IT-компаний.

К тому же периоду относится, вероятно, наиболее успешная акция иранских хакеров в отношении Израиля – проведенная в начале октября 2012 г. кибероперация под кодовым названием Benny Gantz-55 (по аналогии с использовавшейся троянской программой для уничтожения баз данных в поражаемых информационных сетях). Программа была так названа иранскими разработчиками по имени тогдашнего начальника Генерального штаба Армии обороны Израиля Бенни Ганца. Атака имела настолько резонансные последствия, что в целях блокирования дальнейшего распространения вируса израильской полиции было предписано отключить информационные сети от доступа к интернету и не использовать флеш-карты и компакт-диски.

В конце апреля 2017 г. израильской национальной группой по реагированию на чрезвычайные ситуации в киберпространстве Israel National Cyber Event Readiness Team (CERT-IL) сообщалось о пресечении масштабной кибератаки, объектами которой в период с 19 по 24 апреля 2017 г. стали порядка 120 израильских компаний, госучреждений и частных лиц. По данным специалистов израильской компании по кибербезопасности Morphisec Ltd., организатором кибератаки была иранская группа OilRig (как отмечалось, также идентифицируемая и как Helix Kitten), которая предположительно связана с разведслужбами Ирана. Как отмечалось, хакерами с помощью инструмента Mimikatz был получен доступ к учетным данным электронной почты высокопоставленных сотрудников Университета имени Бен-Гуриона. Эти данные в свою очередь были использованы для рассылки объектам атак документов Microsoft Word с интегрированным в них трояном Helminth. Также хакерами использовался эксплойт для уязвимости CVE-2017-0199 в Microsoft Office, позволявший незаметно установить вредоносное ПО на атакованные компьютеры.

В числе последних идентифицированных акций иранских кибергрупп в отношении израильских пользователей стала выявленная ClearSky Security в начале июля 2018 г. подготовка хакерских атак со специально созданного фишингового сайта, имитирующего сайт компании. Атака готовилась группой Charming Kitten. Отмечалось, что на фейковом сайте, вероятно с целью получения доступа к учетным данным, также было интегрировано приложение авторизации посетителей через сервисы Google, Yahoo, Microsoft и Apple.
Великобритания
Иранские хакерские группы в последние годы также указываются в качестве исполнителей довольно резонансных атак на Великобританию. Как и в случае с Израилем, Великобритания зачастую становилась единственным объектом иранских операций. В частности, упоминались операция по блокированию доступа сотрудников британской телерадиовещательной корпорации BBC к электронной почте в марте 2012 г. накануне дня проведения парламентских выборов. Атака была выявлена в 2014 г. специалистами британского Центра правительственной связи. Также стоит упомянуть операцию по внедрению вредоносного программного обеспечения в интернет-маршрутизаторы британских интернет-провайдеров, что позволило перевести трафик на альтернативный маршрут и обеспечить мониторинг контента и доступ к данным британских пользователей сервисов Google. Также в июне 2017 г. была зафиксирована серия хакерских атак на аккаунты электронной почты членов британского парламента и лично премьер-министра Великобритании Терезы Мэй. В ходе операции злоумышленникам удалось взломать порядка 90 учетных записей, а общее число аккаунтов, подвергшихся атаке, составило около 9 тыс.

В последнее время западными источниками отмечается также причастность иранских хакерских групп к атакам на пользователей с требованием выкупа в криптовалюте. В частности, американской компанией по кибербезопасности Accenture Plc. в августе 2018 г. сообщалось о выявлении пяти хакерских групп, как предполагается иранского происхождения (на это указывало использование ими сообщения на фарси и идентифицированные IP-адреса в Иране), которые с применением программ-криптовымогателей провели операции против ряда компаний в США и ближневосточных государствах. При этом указывалось на возможную связь хакеров с иранскими госструктурами.

О причастности иранских хакерских групп к применению программ-криптовымогателей также сообщалось американскими компаниями по кибербезопасности Palo Alto Networks Inc., Symantec Corporation, CrowdStrike Inc. Среди всего прочего, они указывали на распространение на Ближнем Востоке кодированного ПО по криптомайнингу, которое запускало шифрование и блокирование личных файлов и программ на серверном оборудовании, а потом требовало выкуп для разблокировки. Как отмечалось, с помощью программ-криптовымогателей в 2017 г. злоумышленниками было украдено вычислительных циклов на несколько миллионов долларов.

Компанией по кибербезопасности iDefense (входящей в состав ирландской консалтинговой компании Accenture LLP) указывалось на использование программ-криптовымогателей собственной разработки группой OilRig. В числе этих программ — Rastakhiz (идентифицирована в октябре 2016 г.), Tyrant (идентифицирована в ноябре 2017 г.), WannaSmile (впервые обнаружена в ноябре 2017 г.) и Black Ruby (впервые обнаружена в феврале 2018 г.). Для ПО Tyrant требуемая сумма для получения кода разблокировки составляла 15 долл.и подлежала переводу через иранские платежные системы exchange.ir и webmoney.ir. Для WannaSmile требуемая сумма составляла 20 биткоинов и должна была быть переведена подлежавшая переводу через иранские платежные системы exchangeing.ir, payment24.ir, farhadexchange.net и digiarz.com. Black Ruby отличалась наличием функции отказа от блокирования атакованных компьютеров при обнаружении IP-адреса, привязанного к Ирану, и наличием функции установки на атакованный компьютер программы-майнера Monero, которая использовала его мощности на режимах максимальной загрузки процессора. Требуемая сумма для получения кода разблокировки была выражена в биткоинах и составляла 650 долл.

При этом в мае 2017 г. главой иранской Организации гражданской обороны бригадным генералом Голамом Резой Джалали было озвучено встречное обвинение в адрес США как организатора массовой волны кибератак по блокированию компьютеров с требованием выкупа. Объектами атак стали пользователи в 99 странах (компанией-разработчиком антивирусного программного обеспечения Avast указывалось на более чем 75000 подобных кибератак). Основанием для обвинения США был тот факт, что из крупных государств только США не попали в число объектов операций.
Внутренние операции иранских кибергрупп
В числе внутренних социальных групп, в отношении которых иранскими спецслужбами проводятся хакерские атаки, а также операции по мониторингу и контролю за информационным обменом, фигурируют государственные чиновники, имеющие доступ к критически значимой информации, политические деятели реформистского толка, оппозиционные партии и движения, журналисты, религиозные меньшинства, деятели культуры, социальные и культурные меньшинства (в т. ч. так называемые ЛГБТ), сепаратистские этнические группы.

Иранская оппозиция неоднократно заявляла об использовании властью информационных технологий для шпионажа за пользователями интернет-сервисов и проведения киберопераций по блокированию сайтов оппозиционных партий и политических диссидентов, а также националистических и сепаратистских движений. При этом указывалось на непосредственное координирование таких операций со стороны КСИР.

Отмечалось также, что ко многим кампаниям в сфере кибербезопасности активно привлекаются хакерские группы, контролируемые КСИР, и военизированное ополчение Basij. Например, они принимали участие в проведении мониторинга интернет-трафика и социальных сетей для анализа контента и противодействия его использованию для подрывных операций, оппозиционных выступлений и социальных протестов. Также эти акторы были задействованы при размещении в сети пропагандистского контента и проведении кибератак. Косвенными признаками аффилированности хакерских групп с иранскими госструктурами и спецлужбами, является проведение ими операций против иранских пользователей либо оппозиционных движений на основании информации, полученной от силовых структур, а также отсутствие финансового мотива и признаков интернет-мошенничества.

В 2011 г. заместитель командующего военизированного ополчения Basij Али Фазли признал причастность хакеров, связанных с Basij, к кибератакам на сайты «врагов Ирана». Западными источниками указывалось также на факты организованного и скоординированного использования компьютеров и аккаунтов лиц, находящихся под надзором КСИР, для проведения хакерских атак.

В числе хакерских групп, наиболее активно действующих в отношении иранских пользователей, можно выделить Iranian Cyber Army (проводила акции мониторингу и блокированию сайтов, связанных с иранской политической оппозицией, а также блокирование соцсети Twitter на территории Ирана), Army of the Sun/Sun Army (проводила хакерские атаки на сайты оппозиционных партий, операции по взлому и блокированию аккаунтов иранских пользователей в соцсетях «Twitter», «Facebook» и др.), Magic Kitten (мониторинг и хакерские атаки на сайты, почтовые аккаунты, форумы и блоги иранских журналистов, деятелей культуры, общественных активистов и правозащитников, кражи учетных записей иранских пользователей на сервисах Google и Gmail), Flying Kitten/Rocket Kitten (мониторинг интернет-сервисов, хакерские атаки на мессенджер Telegram), Infy (мониторинг контента иранских пользователей, хакерские атаки на сайты иранских оппозиционных партий и правозащитных организаций, национальных меньшинств и иранских диаспор за рубежом).
Проведение пропагандистских акций
Американским информационным агентством Reuters со ссылкой на глобальные компании социальных сетей (Facebook Inc, Twitter Inc, Alphabet Inc. и др.) в августе 2018 г. указывалось, что масштаб влияния иранских спецслужб на интернет-пользователей значительно превышает ранее оцениваемые границы. Подтверждение этому — рост количества анонимных интернет-сайтов и учетных записей в соцсетях, которые ведутся на 11-ти языках (в т. ч. на английском, французском, арабском, русском, азербайджанском, турецком, испанском, фарси, урду, пушту и хинди) и используются для влияния на общественное мнение в других странах. Иранскими акторами наиболее активно используются глобальные соцсети «Facebook», «Instagram», «Twitter» и хостинговый видеоканал «YouTube».

Исследователями отмечалось, что через анонимные сайты и страницы пользователей в соцсетях проводятся информационные вбросы, контент для которых формируется источниками, напрямую или косвенно связанными с иранским правительством (в частности, государственными СМИ типа PressTV, информационного агентства FARS или телекомпании Al Manar, подконтрольной шиитскому движению «Хезболла»). В числе активных участников данной кампании указывалась организация «Международный союз виртуальных СМИ» (IUVM TV), который через сеть сайтов, страниц в глобальных соцсетях и канал на YouTube распространял агитационный контент, направленный против США, западноевропейских стран, Саудовской Аравии и Израиля.

Информация, опубликованная агентством «Reuters», подтверждалась и результатами анализа технических индикаторов вышеупомянутых сайтов. Анализ проводился американской компанией по кибербезопасности FireEye Inc. и израильской компанией «ClearSky». По их данным, все выявленные сайты были связаны с организацией под названием «Международный союз виртуальных СМИ» (International Union of Virtual Media, IUVM), серверные мощности которой расположены в Иране. Отмечалось, что после публикации агентства Reuters о блокировании канала IUVM TV было заявлено администрацией видеохостинга «YouTube», а компания «Twitter Inc.» сообщила, что кроме 284 заблокированных в середине августа 2018 г. аккаунтов, связанных с Ираном, к концу месяца были заблокированы еще 486 аккаунтов за нарушения условий использования сервиса микроблогов.
Кибернадзор за глобальными интернет-сервисами и социальными сетями
Тегеран однозначно квалифицирует протестные выступления иранской оппозиции в интернет-пространстве в качестве составляющих координируемой внешнеполитическими противниками кибервойны, поэтому необходимость мониторинга и контроля за интернет-трафиком и контентом диктуется необходимостью нивелирования вероятных рисков использования внешнеполитическими противниками масскоммуникационных возможностей для координирования деятельности иранских оппозиционных сил.

Необходимо отметить, что Тегеран уже неоднократно сталкивался с прецедентами проводившейся из-за рубежа координации через телекоммуникационные и социальные сети в интернете массовых протестных выступлений иранской оппозиции. В их числе — активная зарубежная поддержка в 2009–2013 гг. протестного «Зеленого движения» («Green Movement») против результатов президентских выборов 2009 г. Акция была проведена посредством публикаций на Facebook, Twitter, YouTube и в прочих соцсетях, в т. ч. с прямой подачи чиновников администрации президента США Барака Обамы и Госдепартамента США. Немалую роль сыграли публикации в глобальных социальных сетях и в координировании массовых протестных выступлений, прошедших в Иране в конце 2017 – начале 2018 г.

Первоначально инструментарий контроля иранских госструктур за интернет-средой ограничивался введением обязательной фильтрации и блокированием доступа к контенту, классифицируемому в качестве подрывающего культурно-социальные и религиозные устои иранского общества либо содержащего в себе элементы политической пропаганды. Впоследствии, с появлением новых угроз и в ходе качественного изменения интернет-среды и информационных потоков, иранские спецслужбы стали переходить к более активным действиям в форме киберопераций по блокированию веб-ресурсов и нарушению их работы.

В период активной деятельности так называемого «Зеленого движения» (Green Movement) в 2009–2013 гг. иранские кибергруппы занимались мониторингом Интернет-трафика и телекоммуникационных сетей, проведением многопользовательских кибератак, блокировкой и нарушением работы оппозиционных веб-сайтов. По данным иранского оппозиционного движения National Council of Resistance of Iran (NCRI), в 2010 г. иранскими спецслужбами было взломано около 500 веб-сайтов и аккаунтов в соцсетях пользователей, подозреваемых в нелояльном отношении к режиму.

В преддверии президентской предвыборной кампании 2013 г. иранскими оппозиционными движениями отмечалось, что в дополнение к традиционному ужесточению цензуры в отношении медиаресурсов на персидском языке и к прочим жестким мерам воздействия в виде арестов журналистов иранскими спецслужбами был введен жесткий режим информационного контроля и ограничения Интернет-трафика до объявления итогов выборов. Это было сделано во избежание повторения массовых оппозиционных выступлений, аналогичных Green Movement. В период антиправительственных выступлений в конце 2017– начале 2018 г. иранскими властями ограничивалось не только функционирование глобальных соцсетей и мессенджеров, но в ряде провинций полностью блокировался доступ к сети интернет, спутниковым каналам и сотовой связи.

Иранские власти исходно рассматривали интернет-ресурсы типа Telegram, WeChat, Viber и пр. как каналы для сбора западными спецслужбами разведывательной информации и инструмент для продвижения западных ценностей, а также как возможные каналы для координирования социальных протестных мероприятий, особенно с учетом возможности сохранения этими сервисами анонимности пользователей. В условиях возрастающего контроля за иранскими интернет-сервисами все большее количество иранских пользователей стали переносить информационный обмен на глобальные ресурсы, такие как Viber, Skype, Telegram, которые, в отличие от внутренних Интернет-провайдеров и социальных сетей, в силу зарубежного нахождения их интернет-платформ, в значительной мере либо полностью были защищены от воздействия традиционных инструментов доступа и надзора со стороны спецслужб. Поэтому они стали целью мониторинга спецслужб.

В зарубежных источниках приводились свидетельства прямого содействия со стороны иранских телекоммуникационных компаний в предоставлении госструктурам доступа к учетным записям пользователей в популярных мессенджерах типа «Google, Telegram и др. К примеру, в июне 2013 г. компания Google Inc. заявила о фишинговых атаках на аккаунты нескольких тысяч иранских пользователей в почтовом интерне-сервисе Gmail и указала на однозначную причастность к кибератакам иранских госструктур.

Также функционирование большей части популярных социальных сетей и информационных сервисов в Иране периодически ограничивалась либо вообще запрещалась. Так, в 2009 г. были приняты решения о запрете функционирования соцсетей «Instagram», «Facebook», «Twitter» и видеохостинга «YouTube» на территории Ирана. В сентябре 2014 г. судебными властями было выдано предписание Министерству связи и информационных технологий Ирана о блокировании мобильных сервисов WhatsApp, Viber и Tango. Также объектом последовательного агрессивного давления иранских спецслужб стал мессенджер «Telegram», наиболее популярный у иранских пользователей в силу специфики шифрования контента и, как следствие, его практической недоступности для мониторинга (по данным иранских и зарубежных источников, количество пользователей службы «Telegram» в Иране на начало 2017 г. превышало 40 млн человек). Периодически проводилось блокирование Telegram, в т. ч. в октябре 2015 г. из-за игнорирования запросов властей по предоставлению доступа к данным пользователей. В декабре 2017 г. сервис блокировался как информационный ресурс, использовавшийся для координации организаторами протестных выступлений. Также фиксировались попытки мониторинга и получения доступа к учетным записям пользователей посредством контроля за мобильными телефонами. Более того, известны случаи ареста иранских администраторов ресурса. Например, в августе 2016 г. была идентифицирована кибероперация иранской группы Rocket Kitten по взлому мессенджера, в ходе которой был получен доступ к идентификационным данным и телефонным номерам порядка 15 млн иранских пользователей Telegram. В конечном итоге в апреле 2018 г. судебным решением было официально запрещено функционирование мессенджера «Telegram» на территории Ирана, и интернет-провайдерам было дано указание блокировать доступ к сервису.

Альтернативное развитие Ираном национальных социальных сетей и мессенджеров для переориентации пользователей с глобальных ресурсов также было поставлено под надзор спецслужб и КСИР. Иранским оппозиционным движением National Council of Resistance of Iran, к примеру, сообщалось о контроле КСИР над функционированием интернет-маркета Café Bazaar и мессенджера Mobogram, а также о встроенном последний программном обеспечении по мониторингу и идентификации пользователей и их контактов, используемом иранскими спецслужбами в целях шпионажа.

В части применения властями технических ограничений западными исследователями отмечается наличие у иранских интернет-пользователей сбоев использования протокола защищенного доступа к сайтам HTTPS и криптографического протокола SSL, обеспечивающего безопасность Интернет-соединения. Это фактически ограничивает доступ иранских пользователей к сервисам Facebook, Google, Twitter и др., т.е. сервисам, использующим протокол HTTPS для защиты данных пользователей. В целях всеобъемлющего контроля над интернет-пространством в Иране заблокировано использование узлов VPN и Tor, что фактически исключает анонимность пользователей в интернете.

Значительно ужесточились и требования к компаниям, предоставляющим услуги общественного доступа к сети интернет, в частности к интернет-кафе. В 2011 г. Министерством связи и информационных технологий Ирана было введено положение о порядке регулирования деятельности интернет-кафе, требующее фиксирования личности и контактных данных посетителей, истории их посещений, а также ведения видеозаписи с хранением информации не менее шести месяцев. Надзор за исполнением был возложен на киберполицию Ирана (Iranian Cyber Police/FATA). Западными источниками сообщалось, что в 2016 г. Министерством связи и информационных технологий было ассигновано 1 трлн риалов (33 млн долл.) на создание системы по мониторингу и фильтрации интернет-контента.

Кибернаблюдение в отношении иранских политиков
Характерной чертой иранских спецслужб по киберконтролю является надзор за чиновниками госаппарата, особенно работавшими в администрациях, а также за реформистскими лидерами Ирана и их окружением и родственниками. При этом, по информации приводившейся в зарубежных источниках, данные мониторинга использования веб-ресурсов нередко становились основанием для арестов и репрессий госчиновников и политиков.

Иранскими оппозиционными изданиями и западными источниками, к примеру, отмечались многочисленные случаи проведения иранскими спецслужбами операций по киберконтролю за окружением бывшего президента Мохаммада Хатами, возглавлявшего Иран в 1997–2005 гг. и относимого к политикам-реформаторам. Резонансным случаем стал взлом в 2005 г. блога заместителя министра культуры и исламского развития Мохаммада Али Абтахи, работавшего в администрации президента Мохаммада Хатами. Взлом был осуществлен после размещения им публикации об аресте иранскими спецслужбами блоггеров. Впоследствии Али Абтахи неоднократно становился объектом кибервоздействия, причем с его аккаунта после взлома осуществлялась информационная рассылка и попытки проникновения на аккаунты других пользователей, в частности, правозащитников (как предполагается, операции проводились кибергруппой «Rocket Kitten»).

Зарубежные источники также упоминали об имевшем место блокировании по решению Комитета по выявлению несанкционированных интернет-сайтов (Committee to Identify Unauthorized Internet Sites) сайта бывшего президента Ирана Акбара Хашеми Рафсанджани (1989–1997 гг.). Это было сделано с целью оказать давление на Рафсанджани и заставить его удалить некоторые из опубликованных им воспоминаний. Зарубежными источниками также упоминались резонансные случаи взлома в декабре 2015 г. аккаунта в сети Facebook (как предполагалось, кибергруппой «Rocket Kitten») иранского политического активиста Голама Али Раджаи, близкого к окружению Рафсанджани. Впоследствии хакеры использовали взломанный аккаунт для отслеживания информационного обмена связанных с ним лиц и журналистов. Также следует упомянуть взлом в апреле 2016 г. кибергруппой «Rocket Kitten» аккаунтов в Google и Facebook вице-президента Ирана по делам женщин и семьи Шахиндокт Молаверди. Примечательно, что взломанные аккаунты были использованы для информационных рассылок в рамках акции против иранских активистов по защите прав женщин. Эксперты отмечают, что подобные операции проводятся и в отношении членов правительства действующего президента Хасана Рухани.

В числе наиболее частых и приоритетных объектов кибермониторинга за работниками госаппарата также указывались чиновники Министерства иностранных дел Ирана. Особенно жесткий режим киберконтроля действовал в период подготовки к заключению соглашения по ядерной программе Ирана в 2015 г., когда радикальными политиками и религиозными лидерами была инициирована кампания по критике данной сделки, предающей, по их мнению, национальные интересы Ирана. Например, отмечалось, что в тот период в числе прочих госчиновников министр иностранных дел Ирана Джавад Зариф, его окружение и члены его семьи также стал объектом пристального наблюдения со стороны спецслужб в киберсфере, включая попытки получения доступа к учетным данным электронной почты и аккаунтов на веб-ресурсах.

Западными источниками отмечалось проведение иранскими спецслужбами и контролируемыми ими кибергруппами надзора за государственными СМИ и аналитическими центрами. В частности известны случаи проникновения группой «Magic Kitten» на веб-ресурсы государственной телевизионной сети (Islamic Republic of Iran Broadcasting state television network) и Центра стратегических исследований (Center for Strategic Research) при иранском Совете по определению политической целесообразности (Expediency Discernment Council). Также отмечались случаи проведения кибератак по взлому веб-ресурсов и аккаунтов представителей религиозных кругов, в частности, Центра обслуживания студентов исламских семинарий (Center for Services of Islamic Seminaries) и Управления исламской пропаганды (Islamic Propagation Office).

Одним из приоритетных объектов кибершпионажа и фишинговых атак являются иранские журналисты, работающие в неправительственных СМИ реформистского толка и международных изданиях. Примером первой масштабной компании по установлению тотального контроля за медиа-ресурсами и журналистским сообществом, стала предвыборная компания президентских выборов 2013 г., когда иранскими спецслужбами до объявления итогов выборов были предприняты беспрецедентные меры по установлению информационного контроля и ограничения интернет-трафика, а также предприняты аресты отдельных журналистов.

Как отмечалось отдельными исследователями, зачастую кибератаки на веб-ресурсы предшествовали блокированию иранскими службами безопасности работы «проблемных» СМИ или задержаниям журналистов. Например, указывалось, что аресту в июле 2014 г. корреспондента The Washington Post в Иране Джейсона Резайана предшествовала серия кибератак на его аккаунты в Hotmail и Gmail кибергруппой Flying Kitten. Целью атаки был перехват учетных записей посредством рассылок с фиктивных адресов. В числе хакерских групп, причастных к фишинговым атакам сайтов и почтовых аккаунтов иранских СМИ и журналистов, также указывалась группа «Magic Kitten».
Оппозиционные партии и диссиденты
Для Ирана, как и для любого политического режима с жестко централизованным госаппаратом, приоритетным сегментом для мониторинга и контрмер во внутреннем информационном пространстве являются оппозиционные политические движения, тем более что Тегеран уже неоднократно сталкивался с прецедентами координации массовых протестных выступлений через телекоммуникационные и социальные сети в интернете.

Западными источниками и иранскими источниками в эмиграции сообщалось, что иранские кибергруппы, связанные с КСИР (в числе которых упоминались Flying Kitten, Infy, Magic Kitten) проводили мониторинг аккаунтов иранских оппозиционных движений и диссидентов и хакерские атаки на сайты и аккаунты в социальных сетях иранских оппозиционных партий и группировок. В результате этих атак обеспечивался доступ к группам в соцсетях, данным, касающимся планирования различных акций и мероприятий, каналов распространения информации.

Зарубежными и иранскими оппозиционными источниками упоминался ряд акций, направленных на блокирование веб-ресурсов иранских оппозиционных сил. Среди них: операция группы «Iranian Cyber Army» под кодовым названием Gerdab (февраль–март 2009 г.) по блокированию порядка 90-та интернет-сайтов «аморального и антиисламского содержания»; атаки на сайт и онлайн-форум оппозиционного движения Green Freedom Wave (декабрь 2009 г.), на сайт эмигрантской радиостанции Radio Zamaneh (январь 2010 г.) и сайт эмигрантской радиостанции Farsi1 (ноябрь 2010 г.), также проводившиеся Iranian Cyber Army; операция по взлому и блокированию 29 сайтов иранских правозащитных организаций и оппозиционных партий под предлогом их связей «со шпионской сетью, координируемой США», проведенная в марте 2010 г. хакерскими группами, координируемыми КСИР; взлом в мае 2013 г. оппозиционного новостного сайта JARAS; взлом группой «Iranian Cyber Army» 13-ти сайтов и блогов иранских оппозиционных партий и политиков в июне 2013 г. в период президентских выборов; арест спецслужбами КСИР в октябре 2013 г. группы иранских программистов, обвинявшихся в причастности к деятельности оппозиционных веб-сайтов; хакерская атака в декабре 2013 г. по взлому девяти оппозиционных сайтов (Neday-e Sabz-e Azadi, Sabznameh, Norooz, Ostanban, 30mail, Nogam, Iran Opinion и Degarvajeh), обвиненных в антиисламской пропаганде.

Объектами неоднократных хакерских атак группы Flying Kitten становились политические группировки «Организация моджахедов иранского народа», Iranian American Society of Texas и связанный с ними телеканал «Simay Azadi», партии марксистского и коммунистического толка типа «Marxist-Leninist Fedaian» и «Communist Party of Iran». Кибергруппой Infy проводились атаки на сайты информационного агентства «Taftaan News Agency» и сепаратистской группировки «Jonbeshe Moqavemate Mardomie».

Объектами киберопераций становились и зарубежные правозащитные организации, деятельность которых была ориентирована на Иран. Упоминалась серия кибератак группы «Flying Kitten» на веб-ресурсы американского неправительственного образовательного фонда «Eurasia Foundation», проводящего образовательные программы в государствах Ближнего Востока, СНГ и в Китае. Фонд в рамках программ социального развития, ориентированных на Иран, вел онлайн-программы на персидском языке по вопросам социального предпринимательства и семейного права, социальной занятости женщин. Серия кибератак была проведена в 2014 г. посредством взлома аккаунтов пользователей и рассылки вирусных программ. Также проводились атаки против различных американских неправительственных организаций, таких, как Американский институт предпринимательства (American Enterprise Institute) и Совет по внешним связям (Council on Foreign Relations). В числе объектов мониторинга и кибератак оказался и персонал иностранных дипмиссий в Иране, а также сотрудники зарубежных информационных агентств, ориентированных на освещение ситуации в Иране либо ведущих вещание на Иран. В качестве примера можно привести DDoS-атаку в январе 2010 г. на сайт расположенной в Нидерландах радиостанции «Radio Zamaneh», а также атаку в 2011 г. на сайт «Radio Farda» (иранская служба радиостанции «Голос Америки»).

Также эксперты указывали на факты скоординированного использования для проведения хакерских атак против зарубежных объектов компьютеров и аккаунтов лиц, находящихся под надзором иранских спецслужб и КСИР, либо аккаунтов иранских оппозиционных политиков и проживающих за рубежом бизнесменов иранского происхождения. К примеру, отмечались резонансные случаи использования для фишинговой атаки на сайты и профили в соцсетях чиновников госведомств и пользователей на территории США аккаунтов проживавшего в Дубае ученого иранского происхождения Сиамака Намази в период его содержания иранскими властями под арестом (он был арестован при посещении Ирана в октябре 2015 г.). В 2016 г. аналогичным образом использовались серверы компании «Sorinet», принадлежавшей датскому бизнесмену иранского происхождения Бабаку Занджани.
Сфера культуры и шоу-бизнеса
Западными исследователями отмечается, что в число объектов мониторинга и атак иранских спецслужб и действующих в их интересах хакерских групп попадают и иранские деятели культуры и шоу-бизнеса – как находящиеся в Иране, так и эмигрировавшие. Особый акцент делается на тех, кто попадает в «группы риска» – негативно (аморально), по мнению власти, воздействует своим творчеством на социально-культурные устои общества, был замечен в симпатиях к политической оппозиции или критически высказывался в отношении режима. В частности, упоминалась проводившаяся киберполицией FATA в январе 2012 г. операция по мониторингу и последующему аресту четверых администраторов группы в соцсети «Facebook» за организацию онлайн конкурса красоты. Организаторы конкурса были обвинены в коррупции и распространении безнравственности. В иранских СМИ также освещалась проведенная связанными с КСИР хакерами в январе 2016 г. резонансная акция «Operation Spider» — акция по блокированию и удалению учетных записей в социальных сетях представителей модельного бизнеса, обвиненных в пропаганде аморального поведения в интернете. Впоследствии они были арестованы. Также известна кибероперация по блокированию аккаунтов в соцсетях сотрудников музыкального канала «AAAMusic», позднее также арестованных. В качестве исполнителей этих киберопераций зарубежными исследователями называлась группа Flying Kitten, неоднократно замеченная в проведении интернет-мониторинга представителей иранской индустрии моды и развлечений.
Национальные и религиозные меньшинств
Объектами киберопераций иранских хакерских групп также становятся этнические меньшинства, выступающие за предоставление автономии. В их числе этническая группа белуджи — это сунниты по вероисповеданию, проживающие на территориях Ирана и Пакистана и имеющие собственную боевую организацию «Джундалла». Иранскими спецслужбами в июле 2010 г. проводилась кибероперация по блокированию сайтов «Джундалла» посредством внедрения вредоносного программного обеспечения. Отмечалось, что впоследствии через атакованный сайт иранскими хакерами осуществлялась рассылка вредоносного программного обеспечения на веб-ресурсы «Свободной сирийской армии».

Также периодически проводятся кибероперации против курдских организаций на территории Ирана и за рубежом. Экспертами отмечались акции по блокировке курдской спутниковой телевизионной станции «Newroz TV» (проводились в 2014 г. группой «Flying Kitten»), использование фиктивных профилей в LinkedIn для подключения к представителям Регионального правительства Курдистана в Ираке, проводившиеся с 2015 г. хакерские атаки по рассылке вредоносного ПО на веб-ресурсы курдской партии «Free Life Party of Kurdistan» (PJAK), военизированной фракции Марксистско-ленинской рабочей партии Курдистана.

Одним из постоянных объектов воздействия иранских кибергрупп является религиозная группа веры бахаи, классифицируемая иранскими спецслужбами как антиисламская и антиправительственная. К примеру, в апреле 2014 г. сообщалось о полученном иранскими спецслужбами доступе к аккаунту на Gmail бывшего директора по внешним связям организации общины бахаи в США. В результате этого была идентифицирована передача от Всемирной общины Бахаи информации Конгрессу США о статусе религиозных меньшинств в Иране. С использованием ранее взломанных иранскими кибергруппами фиктивных профилей в ресурсе «LinkedIn» и соцсетях иранскими спецслужбами были предприняты попытки взлома веб-ресурсов общины с использованием фишинговых сообщений по тематике религиозных преследованиях в Иране. В дальнейшем отмечались неоднократные попытки кибератак в отношении веб-ресурсов общины — например, масштабная кибератака по взлому и блокированию сайтов общины в феврале 2017 г.

Мониторингу подвергаются веб-ресурсы и религиозных меньшинств, даже таких толерантных, как мусульмане-сунниты, христиане, евреи, зороастрийцы. Сообщалось о хакерских операциях по взлому с помощью вредоносного ПО сайта еврейской общины, когда ее руководство пыталось организовать выпуск местного религиозного издания. В январе 2016 г. сообщалось об аналогичной кибератаке группы Infy на веб-ресурс христианской общины с использованием фиктивных профилей.
Кибероперации против сепаратистских и террористических организаций
Как и для любого государства, для Ирана естественным объектом внимания в информационном пространстве являются террористические и сепаратистские группировки, особенно учитывая, что на международном уровне нормой стало обеспечение национальной информационной безопасности путем мониторинга и организации киберопераций для противодействия террористическим группировкам и проведению финансовых махинаций. По геополитическим причинам кибероперации иранских спецслужб по сбору разведданных и подавлению веб-ресурсов нацелены на террористические организации, действующие на Ближнем Востоке и в Северной Африке, а также в Афганистане и Пакистане. Среди них приоритетными объектами являлись наиболее крупные движения, такие как «аль-Каида» (здесь и далее — организация признана террористической, ее деятельность запрещена в РФ) и ИГ (здесь и далее — организация признана террористической, ее деятельность запрещена в РФ).

Зарубежными исследователями отмечались проводившиеся иранскими спецслужбами кибероперации против суннитских джихадистов и ИГ посредством взлома веб-ресурсов, внедрения шпионского и вредоносного программного обеспечения. В качестве примера подобных киберопераций приводятся факты создания фишинговых сайтов со ссылками на страницы в Facebook различных исламских террористических организаций, таких, как Salafe Kurdistan, пакистанская Lashkar-e-Khorasan, а также так называемое Министерство информации движения «Исламское государство» и филиалы «Аль-Каиды». Для распространения и внедрения вредоносного программного обеспечения на веб-ресурсы террористических организаций иранские кибергруппы также активно использовали фиктивные рассылки на персидском и арабском языках от имени крупных региональных медиаструктур, таких, как Al Jazeera и Al Arabiya. В частности, исследователями отмечались операции группы Flying Kitten по распространению вредоносного контента посредством размещения комментариев на странице Al Arabiya в Facebook, использовавшейся для пропаганды джихадизма.

Автор: Артур Хетагуров

Независимый аналитик рынков вооружений, эксперт РСМД