Excel-таблицы, тикеты и сплошная рутина. Как на самом деле устроена «бухгалтерия вторжения» иранских хакеров
NewsMakerГромкие атаки оказались результатом скучных квартальных планов и госконтрактов.
Утечка четвёртого эпизода , связанного с хакерской группировкой APT35, также известной как Charming Kitten, резко меняет представление об этой структуре. Ранее в трёх выпусках, подробно разобранных исследователем Нариманом Гарибом, внимание сосредотачивалось на внутренней организации группы, включая мужские и женские хакерские команды, а так же примерные зарплаты исполнителей. В последней порции опубликованных данных продолжается эта тенденция: речь идёт о бухгалтерии, управлении инфраструктурой и логистике киберопераций.
Обнародованные файлы демонстрируют, как государственная структура маскируется под неформальную хакерскую группу. Вместо эксплойтов — таблицы Excel с перечнями серверов, учётных данных, платёжных транзакций в криптовалюте и заказов на аренду VPS. В центре этого цикла не креатив, а отчётность. Каждое действие подтверждается тикетом, ценой, датой и номером заказа. Вся система построена по принципу внутренней аудируемости — всё как в обычной государственной организации, только вместо товаров и услуг — инфраструктура для кибершпионажа.
Саморазоблачение APT35 стало результатом собственной небрежности. После утечки операторы не удосужились закрыть доступ к своим серверам, паролям и аккаунтам — в течение недель части инфраструктуры оставались активными. Эта халатность подчёркивает странную двойственность Charming Kitten: на уровне процессов — строгая исполнительность, на уровне безопасности — полное пренебрежение базовыми правилами.
Среди наиболее интересных находок — таблица с платёжными операциями через платформу Cryptomus. Она содержит десятки транзакций с суммами от €12 до €18, проведённых под фиктивными именами через псевдоевропейские аккаунты. Каждому платежу соответствует внутренняя заявка, а вся схема рассчитана на то, чтобы остаться незамеченной для финансового надзора. Отсутствие крупных переводов и однотипность операций создают иллюзию обычных покупок частных пользователей.
Утечка четвёртого эпизода , связанного с хакерской группировкой APT35, также известной как Charming Kitten, резко меняет представление об этой структуре. Ранее в трёх выпусках, подробно разобранных исследователем Нариманом Гарибом, внимание сосредотачивалось на внутренней организации группы, включая мужские и женские хакерские команды, а так же примерные зарплаты исполнителей. В последней порции опубликованных данных продолжается эта тенденция: речь идёт о бухгалтерии, управлении инфраструктурой и логистике киберопераций.
Обнародованные файлы демонстрируют, как государственная структура маскируется под неформальную хакерскую группу. Вместо эксплойтов — таблицы Excel с перечнями серверов, учётных данных, платёжных транзакций в криптовалюте и заказов на аренду VPS. В центре этого цикла не креатив, а отчётность. Каждое действие подтверждается тикетом, ценой, датой и номером заказа. Вся система построена по принципу внутренней аудируемости — всё как в обычной государственной организации, только вместо товаров и услуг — инфраструктура для кибершпионажа.
Саморазоблачение APT35 стало результатом собственной небрежности. После утечки операторы не удосужились закрыть доступ к своим серверам, паролям и аккаунтам — в течение недель части инфраструктуры оставались активными. Эта халатность подчёркивает странную двойственность Charming Kitten: на уровне процессов — строгая исполнительность, на уровне безопасности — полное пренебрежение базовыми правилами.
Среди наиболее интересных находок — таблица с платёжными операциями через платформу Cryptomus. Она содержит десятки транзакций с суммами от €12 до €18, проведённых под фиктивными именами через псевдоевропейские аккаунты. Каждому платежу соответствует внутренняя заявка, а вся схема рассчитана на то, чтобы остаться незамеченной для финансового надзора. Отсутствие крупных переводов и однотипность операций создают иллюзию обычных покупок частных пользователей.