Никто не знает о персидских котах: группировка «Charming Kitten» и стратегия безопасности Тегерана

Активное использование хакерских группировок для достижения целей стало неотъемлемой частью иранской геополитической стратегии. Существование большого количества «патриотически настроенных и действующих независимо» группировок позволяет Исламской Республике добиваться своих целей, но при этом «отдавать лавры» независимым силам.

Среди большого количества киберкоманд особо выделяется группировка «Очаровательный котенок» («Charming Kitten»), ставшая одним из неформальных символов «иранского цифрового сопротивления». В условиях трансформации системы региональных отношений, происходящей сегодня на Ближнем Востоке, представляется интересным оценить, как данное киберподразделение работает на имидж Тегерана, и какая роль ему уготована иранскими властями в ближайшем будущем.

Создаваемая вокруг Charming Kitten шумиха в западных медиа может стать для иранских властей удобной опорой для дальнейшей «раскрутки» медийного образа «Котят». Учитывая, что проиранскому хакерскому подполью в последнее время остро не хватает «группировки-ньюсмейкера» — в свете частичной переориентации Iranian Cyber Army на проведение комплексных информационных операций — выход «Котят» на передний план позволил бы отчасти закрыть эту потребность. С другой стороны, отсутствие консенсуса среди иранских официальных лиц об итоговом позиционировании «цифрового сопротивления» (сохранять его «многоликость» или стремиться к «персонализации»?) может затормозить данный процесс.

Так или иначе не вызывает сомнений, что активность Тегерана в киберпространстве будет только возрастать — даже в условиях продолжающейся региональной разрядки, — а Charming Kitten продолжит играть заметную роль в цифровых акциях Исламской Республики.

Активное использование хакерских группировок для достижения целей стало неотъемлемой частью иранской геополитической стратегии. Существование большого количества «патриотически настроенных и действующих независимо» группировок (де-факто находящихся под управлением иранских силовиков) позволяет Исламской Республике добиваться своих целей, но при этом «отдавать лавры» независимым силам.

Среди большого количества киберкоманд особо выделяется группировка «Очаровательный котенок» («Charming Kitten») [1], ставшая одним из неформальных символов «иранского цифрового сопротивления». В условиях трансформации системы региональных отношений, происходящей сегодня на Ближнем Востоке, представляется интересным оценить, как данное киберподразделение работает на имидж Тегерана, и какая роль ему уготована иранскими властями в ближайшем будущем.

Становление «Котят»

Леонид Цуканов:
Проиранские хакеры: «пояс безопасности» Тегерана?

Принято считать, что группировка (в ее текущем виде) сформировалась к 2013 г. и была призвана стать ответом на «участившиеся антииранские выпады» в киберпространстве. Численность подразделения на начальном этапе составляла, по разным оценкам, от 10 до 25 человек.

Становление «Котят» часто связывают с именем Моники Уитт — американской перебежчицы, снабдившей иранских хакеров ценными сведениями о режиме киберзащиты предприятий оборонного комплекса США и сыгравшей впоследствии важную роль в операции «Шафрановая роза» (2013 г.). Однако некоторые эксперты считают, что костяк группировки был сформирован задолго до событий «Шафрановой розы». В частности, известно, что еще в 2007 г. КСИР вел работу по вербовке на службу талантливых компьютерных специалистов, а также по расширению связей среди международного хакерского движения. Однако в силу того, что выстраивание киберобороны долгое время не входило в число приоритетных направлений деятельности Тегерана, взаимодействие носило эпизодический характер.

Атака на иранские ядерные объекты в Нетензе с использованием вируса «Stuxnet» (2010 г.) и ее рецидив в 2012 г. обеспечили ускоренное «цементирование» нового подхода к обеспечению безопасности и подтолкнули Тегеран к более активным действиям в киберпространстве — в том числе с использованием хакеров-лоялистов. В сложившихся условиях Charming Kitten стала одной из первых иранских киберкоманд, которые полноценно включились в борьбу с врагами Исламской Республики.

Во второй половине 2010-х гг. группировка постепенно перешла в разряд «приближенных ко двору» (что стало заметно в том числе по уровню возлагавшихся на нее задач) и получила дополнительные ресурсы для развития. Согласно данным, содержащимся в отчетах Управления по контролю за иностранными активами Министерства финансов США (OFAC), сегодня группировка состоит преимущественно из сотрудников компаний «Najee Technology» и «Afkar System» (обе тесно связаны с КСИР). Общая численность «Котят», включая «информаторов» и «кураторов», может достигать 100 человек.

Профессиональный почерк

«Котята» являются одной из постоянно действующих иранских кибергрупп и за годы существования успели выработать узнаваемый «почерк». Так, «визитной карточкой» группировки стало использование SMS-сервисов для проведения массированных фишинговых и информационных атак и создание клонов новостных ресурсов и информационных порталов «для распространения ложных сведений». Кроме того, группировка долгое время специализировалась на хищении данных аутентификации пользователей и отметилась использованием программ-вымогателей (Momento, Bitlocker).

Леонид Цуканов:
«Кибермухи» отдельно: будущее хакерского движения в Саудовской Аравии

Кроме того, в задачи Charming Kitten входило противодействие «вредоносным элементам» — лицам, транслирующим антииранские (в некоторых случаях также антиисламские) настроения и «ведущим деструктивную пропаганду» в сети Интернет. Это отчасти роднит «Котят» с «киберармиями», отстаивающими интересы аравийских монархий — например, с саудовскими «Кибермухами».

При этом, в отличие от саудовских коллег, «Котята» не уделяли значительного внимания работе над собственным имиджем. Группировка долгое время держалась в тени и не имела «официального рупора» в сети (за исключением нескольких «фанатских» групп в Facebook (принадлежит Meta, признанной экстремистской организацией в России), замороженных в 2018 г.), а все заявления от лица хакеров распространялись как правило на профильных форумах или в прессе.

Характерно, что сторонники Charming Kitten используют при атаках довольно продвинутый метод фишинга, имитирующий многостороннюю переписку, что позволяет усыплять внимание жертв и создавать ложные впечатление о легитимности того или иного адресата. Это отличает их от большинства кибергрупп, воюющих на «имиджевом» направлении.

Кошки-мышки и новые условия игры

В период активной деятельности группировки ее «зоной ответственности», помимо США, были также страны Ближнего Востока — и, в первую очередь, региональные союзники Вашингтона. Признанным рекордсменом среди ближневосточных государств по числу выпадов можно считать Саудовскую Аравию. Так, в период наибольшей активности Charming Kitten (2017–2021 гг.) атакам подвергались крупнейшие саудовские компании (включая нефтегазового гиганта Saudi Aramco), банки и медиа, а также частные лица (включая их цифровые почтовые ящики и аккаунты в социальных сетях). Суммарный урон, нанесенный саудовской инфраструктуре в этот период, оценивается в несколько миллиардов долларов.

Следует отметить, что при проведении атак против США и его союзников «Котята» в большинстве случаев действовали в составе «ударных кулаков» (в которые могли входить одновременно до нескольких десятков проиранских группировок) и не играли первостепенной роли, однако именно на саудовском направлении их атаки чаще всего проводились «сольно». С другой стороны, хакеры Charming Kitten старались избегать «персонификации» угрозы и не ставили саудитов во главу угла. При распространении информации об удачных кибератаках они предпочитали использовать более обтекаемое «противники Исламской Республики».

Леонид Цуканов:
Йеменская киберармия: раунд второй?

Со стартом полноценной нормализации отношений с Эр-Риядом Тегеран временно вывел «Котят» (как и большинство других активных группировок) из игры: акции против саудовских пользователей были сведены к минимуму. Было также зафиксировано снижение ударов по цифровой инфраструктуре Катара, ОАЭ и Бахрейна, что позиционировалось как вклад Исламской Республики в дело «региональной разрядки».

Тем не менее говорить о том, что фактор кулуарной цифровой борьбы полностью исчез из сложной системы отношений между Ираном и аравийскими монархиями, все же преждевременно. Так, после ухода Charming Kitten в тень часть обязанностей по отстаиванию «кулуарных интересов» Ирана в киберпространстве взяли на себя сторонники йеменской группировки «OilAlpha», которую связывают с движением хуситов. Ее сторонники за последние месяцы нарастили количество выпадов против саудовских и эмиратских целей (включая лояльные Эр-Рияду и Абу-Даби силы внутри Йемена). Учитывая, что почерк OilAlpha во многом напоминает Charming Kitten (хотя и с поправкой на более скромную квалификацию хакеров), можно предположить, что Тегеран пытается использовать потенциал лояльных группировок, не нарушая достигнутых ранее договоренностей.

«Кошки» против «Воробьев»

Совершенно иначе цифровой фактор сегодня раскрывается в ирано-израильском противостоянии. Нормализация (и фактическое «выбывание» саудитов из киберконфликта) подтолкнуло израильское руководство к пересмотру тактики борьбы в киберпространстве, вынудив его, в частности, более активно использовать хакерские команды (как собственные, так и дружественные) в рамках «проактивной обороны». На острие борьбы, среди прочих, оказалась группировка «Хищный воробей» («Predatory Sparrow» [2]), которую принято считать ключевым проводником интересов израильских силовых структур. На ее счету несколько резонансных кибератак на объекты критической инфраструктуры Ирана — например, нарушение работы сталелитейных заводов в июне 2022 г. При этом группировка какое-то время позиционировала себя как «диссидентскую», что позволяло обставлять происходящее как «гражданскую кибервойну» внутри Исламской Республики.

Некоторые исследователи склонны полагать, что именно «Воробьи» под видом иранских хакеров провели масштабную атаку против цифровой инфраструктуры Албании летом 2022 г., тем самым серьезно дискредитировав Тегеран и спровоцировав его на необдуманные действия. Операция, выполненная «под чужим флагом», достигла и других практических результатов — в частности, на фоне «многократно возросшей угрозы» Албания и Израиль смогли договориться о совместном обеспечении кибербезопасности в октябре 2022 г. Впоследствии на албанском рынке укрепил позиции и израильский кибербизнес, «продемонстрировавший готовность» участвовать в повышении уровня цифровой готовности Албании и «совместно бороться» с иранской угрозой в киберпространстве.

Учитывая, что «профессиональный почерк» и уровень подготовки двух группировок во многом схожи, велика вероятность, что именно они в перспективе станут «лицом» раскручивающегося ирано-израильского киберконфликта.

Все «кошки» серы?

Николай Сурков:
Деэскалация для Залива, успех и вызов для Китая

Последняя крупная кибератака, реализованная Charming Kitten, относится к июлю 2023 г. По данным мониторинговых агентств, хакеры сделали ставку на вредоносную программу «NokNok», использующую уязвимости MacOS и Windows. В качестве первостепенной цели для удара были выбраны специалисты по иранской проблематике разного ранга и уровня квалификации, а сами хакеры использовали в качестве «ложного флага» идентификационные данные специалистов ведущих аналитических центров США и Великобритании.

Резкую активизацию «Котят» и их решение бить по «ядерной» теме можно связать и с продолжающимися переговорами по возобновлению «ядерной сделки» (Совместный всеобъемлющий план действий, СВПД). Учитывая, что диалог по СВПД в течение долгого времени не удается сдвинуть с мертвой точки, а европейские дипломаты «демонстрируют недвусмысленную усталость» от безрезультатного процесса и все больше склоняются к окончательному закрытию вопроса (в том числе под влиянием позиции экспертного сообщества), Иран заинтересован в том, чтобы «заглушить» голоса алармистов. Кроме того, подобные «булавочные уколы» призваны намекнуть оппонентам, что Тегеран вполне способен отстаивать собственные интересы и без обретения ядерного оружия, а также может отреагировать на нарушение договоренностей расширением географии атак.

Вместе с тем, создаваемая вокруг Charming Kitten шумиха в западных медиа может стать для иранских властей удобной опорой для дальнейшей «раскрутки» медийного образа «Котят». Учитывая, что проиранскому хакерскому подполью в последнее время остро не хватает «группировки-ньюсмейкера» [группировки, которая бы ассоциировалась в массовом сознании с иранской кибермощью — прим. авт.] — в свете частичной переориентации Iranian Cyber Army [3] на проведение комплексных информационных операций — выход «Котят» на передний план позволил бы отчасти закрыть эту потребность. С другой стороны, отсутствие консенсуса среди иранских официальных лиц об итоговом позиционировании «цифрового сопротивления» (сохранять его «многоликость» или стремиться к «персонализации»?) может затормозить данный процесс.

Так или иначе не вызывает сомнений, что активность Тегерана в киберпространстве будет только возрастать — даже в условиях продолжающейся региональной разрядки, — а Charming Kitten продолжит играть заметную роль в цифровых акциях Исламской Республики.

1. Также в разное время атрибутировалась как «APT35», «Newscaster», «Rocket Kitten», «Phosphorus», «Saffron Rose» и др. Для удобства в статье использовано название «Charming Kitten».

2. Также известна под персоязычным названием «Gonjeshke Darande» (поскольку ранее позиционировалась как иранская оппозиционная хакерская команда).

3. «Iranian Cyber Army» (ICA) – иранская хакерская группировка, предположительно связанная с правительством Исламской Республики; считается «ядром» иранской системы кибербезопасности.