Спецпроекты

Госорганы Ирана атакованы шифровальщиком-вымогателем

Безопасность ИТ в госсекторе

Власти Ирана признали факт кибератаки на два госучреждения, отметив, что их ИТ-системы пришлось в профилактических целях отключить. Это далеко не первый подобный эпизод.

Существенные атаки в Иране

Иран объявил о том, что два государственных учреждения страны подверглись кибератакам. Их ИТ-системы пришлось отключить в порядке профилактики, что, вероятнее всего, указывает на использование хакеров шифровальщика-вымогателя.

Атаки названы «существенными»; власти страны ведут расследование случившегося. Кто мог стоять за атаками, государственные СМИ не сообщают.

Это далеко не первый случай, когда Иран объявляет о кибератаках на свою инфраструктуру. Так, в декабре 2019 г. министр телекоммуникаций страны Мухаммед Джавад Азари Джахроми (Mohammad Javad Azari Jahromi) дважды за одну неделю объявлял об отражении кибератак на инфраструктуру Ирана с помощью «национального цифрового щита». При этом в организации нападения Джахроми обвинил китайскую группировку APT27.

haker600.jpg
Иранские органы власти подверглись кибератаке

«Подобные атаки — лишь один из множества эпизодов холодной кибервойны всех со всеми, где в целом нет уже ни правых, ни виноватых, — полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Не приходится ожидать, что она в ближайшее время закончится, но так или иначе возможность любых кибератак обеспечивается либо программными уязвимостями, либо недостаточной подготовленностью жертв фишинга к противодействию. Нынешний инцидент, судя по всему, не исключение».

Перманентное обострение

Инцидент был достаточно неожиданным, учитывая, что в большей части случаев Иран обвиняет в попытках кибератак США. После возобновления санкций против Ирана со стороны США в 2018 г. отношения между странами в очередной раз обострились. США в 2019 г. обвиняли Иран в атаках на нефтяные танкеры и уничтожении беспилотника, а власти Ирана объявили, что «опасаются» кибератак со стороны США.

В январе 2020 г. американский беспилотник был использован для убийства в Багдаде иранского генерала Касима Сулеймани (Qasem Soleimani), приказ на ликвидацию которого отдал президент США Дональд Трамп. По утверждению последнего, Сулеймани готовил серию атак на американских военнослужащих в Ираке.

Также в январе Министерство внутренней безопасности США выпустило бюллетень, в котором утверждалось, что связанные с Ираном кибергруппировки готовятся нанести удар по инфраструктуре США.

Кто первый начал

Иран формально является первой в истории страной, ставшей жертвой применения кибероружия: в 2011 г. червь Stuxnet был использован для нанесения физического ущерба заводу по обогащению урана в Натанце. По мнению разведок США и Израиля, назначение завода было сугубо военным, хотя Иран это отрицал. Ущерб от Stuxnet оказался намного меньшим, чем ожидали его разработчики, кроме того, вопреки первоначальным планам, он распространился далеко за пределы инфраструктуры целевого предприятия и в итоге был перехвачен в Белоруссии.

В вышедшем в 2016 г. документальном фильме ZeroDays («Нулевые дни») утверждалось, что Stuxnet был лишь одной из составляющих более масштабной программы, предполагавшей вывод из строя военной и гражданской инфраструктуры Ирана в случае военного нападения на Израиль или других союзников США.

Вскоре после обнаружения Stuxnet, все государства с развитой цифровой инфраструктурой поспешно обзавелись наступательными средствами для противостояния в киберпространстве.

В 2015 г. «Лаборатория Касперского» объявила об обнаружении вредоносного ПО APT-группировки Equation, действовавшей, по меньшей мере, с 2001 г. (домены для некоторых командных серверов были зарегистрированы и вовсе в 1996 г.). В исследовании «Лаборатории» указывалось, что Equation взаимодействовала с операторами вредоносов Flame и разработчиками Stuxnet «каждый раз с позиции превосходства».

Equation и все-все-все

В дальнейшем Equation проассоциировали с Агентством национальной безопасности; в 2016 г. неизвестная группировка ShadowBrokers организовала «слив» значительной части инструментария, использовавшегося Equation. Названия некоторых инструментов оказались исследователям знакомыми: они фигурировали в документах, в 2013 г. опубликованных Эдвардом Сноуденом (Edward Snowden).

Слив ShadowBrokers имел катастрофические последствия: мировая эпидемия шифровальщика WannaCry и множественные атаки с помощью шифровальщика-вайпера NotPetya стали в принципе возможны благодаря использованию эксплойтов Equation, в первую очередь, EternalBlue. Некоторые другие эксплойты из этой группы также впоследствии использовались для совершения сугубо криминальных или кибершпионских атак.

В свою очередь, Ирану также приписываются многочисленные кибератаки на инфраструктуру и коммерческие компании других стран. В частности, печально знаменитый вайпер Shamoon, нанесший в 2012 г. ущерб нефтяной компании SaudiAramco, считается детищем кибершпионской группировки APT33, связанной с властями Ирана.