Инциденты ИБ во время ирано-израильской войны в июне

Конфликт между Израилем и Ираном привел к интенсивному росту инцидентов ИБ. На фоне войны инциденты ИБ были связаны с воздействием на устройства IoT, со взломом информационных систем, фишинговыми атаками на значимых персон. Кроме того, была нарушена финансовая система Ирана. Эксперты ожидают возникновения регулярных инцидентов ИБ даже после установления хрупкого мира между участниками войны. 

Давний конфликт между двумя странами на Востоке вступил в новую горячую фазу 13 июня, когда Израиль начал военную операцию против Ирана, нанеся удары по объектам ядерной инфраструктуры, военным базам и другим целям в исламском государстве. В ответ Иран начал запускать ракеты по Израилю. 

На фоне обострения наземного конфликта горячие события стали разыгрываться и на киберфронтах. 

Практически одновременно с военными ударами по объектам, связанным с ядерной программой Ирана, произраильские хакеры провели ряд результативных кибератак на организации противника. Так, группировка Gonjeshke Darande (Predatory Sparrow) 18 июня заявила о взломе Sepah Bank, одного из крупнейших государственных банков Ирана. После атаки клиенты этой организации жаловались на сбои в работе сервисов, проблемы с оплатой картами и снятием денег в банкоматах. На следующий день хакеры атаковали криптобиржу Nobitex. По данным консалтинговой компании Elliptic, злоумышленники вывели с кошельков клиентов порядка 90 млн долларов. Правда, хакеры не смогут воспользоваться этими активами, так как средства в криптовалюте были выведены «в один конец», то есть направлены на так называемые «адреса тщеславия» - одноразовые кошельки без возможности получения ключей доступа. 

Отметим, что Predatory Sparrow имеет длительную историю нападений на иранские объекты. Ранее участники группировки хвастались атаками на сталелитейные заводы, а также выводили из строя системы железнодорожного транспорта и газовых станций. 

Специалисты по кибербезопасности заявили, что в июне усилились атаки на Израиль со стороны иранских APT-группировок, связанных с Корпусом стражей исламской революции (КСИР) - элитного силового формирования Ирана. В частности, хакеры организуют фишинговые атаки на израильских технических экспертов, ученых и журналистов, используя средства искусственного интеллекта. Выдавая себя за помощников руководителей или исследователей, злоумышленники высылали приглашения через WhatsApp и другие платформы, чтобы обманом заставить жертв кликнуть по ссылкам и развернуть вредоносное ПО на своих устройствах. 

В бюллетене, который в воскресенье, 22 июня, выпустило министерство внутренней безопасности США, отмечается, что иранские субъекты угроз усилят кибератаки против Соединенных Штатов после решения президента Трампа нанести авиаудары по Ирану. Хактивисты и хакеры, связанные с властями Ирана, регулярно атакуют плохо защищенные сети США и подключенные к Сети устройства, подчеркивается в материалах Национальной системы по борьбе с терроризмом (NTAS). 

Спонсируемая иранским государство группировка, позиционирующая себя как коллектив хактивистов CyberAv3ngers, разработала вредоносное ПО под названием IOControl, которое использовалось для атак на устройства IoT и OT в США и Израиле. Впервые эта вредоносная программа привлекла внимание специалистов по кибербезопасности в декабре 2024 г. Оно могло использоваться для воздействия на камеры видеонаблюдения, маршрутизаторы и другие устройства. 

Как полагают многие эксперты, несмотря на то, что в конфликте между Израилем и Ираном к концу июня отмечено прекращение огня, в киберпространстве хрупкое перемирие вряд ли будет долгим. Обмен киберударами вскоре может разгореться с новой силой.  Правда, возможности Ирана в последние недели оказались подорваны, на создание новых ресурсов для доступа и получение разведданных исламской республике могут потребоваться долгие месяцы.

Между тем, злоумышленники, которые специализируются на реализации украденных данных, пытаются использовать ирано-израильское противостояние в своих целях. На одной из хакерских площадок к дарквебе появилось объявление о продаже данных из NPPD, одной из организаций в сфере атомной энергетики Ирана. Киберпреступники заявили, что им удалось получить 25 гигабайт конфиденциальных данных, включая имена сотрудников, сведения об удостоверениях личности,  различные документы о ядерной энергетической программе Ирана и даже информацию о количестве криптовалюты, принадлежащей определенным сотрудникам. Однако, вскоре выяснилось, что эти сведения получены давно. Исследователи группы Cybernews, изучив образец представленных данных, пришли к выводу, что эта информация взята из более ранней утечки информации, которая произошла примерно в 2019-2020 годах. Автор объявления просто переупаковал старые данные.