Зачем писать свои вирусы, если можно купить готовые? Иранская разведка осваивает бюджетный шпионаж
NewsMakerОказалось, что даже для большой игры достаточно чужого киберарсенала.
Иранские структуры всё активнее используют инструменты и инфраструктуру киберпреступного мира для проведения операций, связанных с государственными задачами. Такой подход помогает расширять технические возможности атак и одновременно усложняет поиск настоящего организатора. Наиболее заметна новая тенденция в деятельности групп, связанных с Министерством разведки и безопасности Ирана.
Специалисты Check Point Research обратили внимание на изменение тактики иранских операторов. Ранее атаки нередко маскировали под обычную киберпреступность или действия хактивистов. Чаще всего злоумышленники выдавали операции за атаки программ-вымогателей. Теперь ситуация меняется. Отдельные группы начали напрямую пользоваться инфраструктурой преступных сервисов — вредоносным программным обеспечением, подпольными маркетплейсами и партнёрскими схемами распространения вредоносного софта.
Подобная модель напоминает подход, который иранские спецслужбы давно применяют в офлайн-операциях. В разных странах разведка сотрудничала с криминальными сетями для слежки, похищений и нападений на политических противников. Американское Министерство финансов связывало одну из таких схем с наркоторговцем Наджи Ибрагимом Шарифи Зиндаштти. По данным американских властей, его сеть действовала по поручению иранской разведки и преследовала диссидентов. Похожие выводы сделали и шведские спецслужбы, которые заявляли об использовании криминальных группировок для атак на противников режима.
Похожая логика постепенно переносится в киберпространство. Среди наиболее активных групп специалисты выделяют Void Manticore, известную также под псевдонимом Handala Hack. Операторы использовали различные маски хактивистов и проводили операции против Албании и Израиля. В нескольких кампаниях злоумышленники применяли коммерческий инструмент для кражи данных Rhadamanthys , который продаётся на подпольных форумах. Вредоносную программу распространяли через фишинговые письма, выдавая их за сообщения израильского национального управления кибербезопасности. Заражённые файлы маскировали под обновления программного обеспечения F5.
Иранские структуры всё активнее используют инструменты и инфраструктуру киберпреступного мира для проведения операций, связанных с государственными задачами. Такой подход помогает расширять технические возможности атак и одновременно усложняет поиск настоящего организатора. Наиболее заметна новая тенденция в деятельности групп, связанных с Министерством разведки и безопасности Ирана.
Специалисты Check Point Research обратили внимание на изменение тактики иранских операторов. Ранее атаки нередко маскировали под обычную киберпреступность или действия хактивистов. Чаще всего злоумышленники выдавали операции за атаки программ-вымогателей. Теперь ситуация меняется. Отдельные группы начали напрямую пользоваться инфраструктурой преступных сервисов — вредоносным программным обеспечением, подпольными маркетплейсами и партнёрскими схемами распространения вредоносного софта.
Подобная модель напоминает подход, который иранские спецслужбы давно применяют в офлайн-операциях. В разных странах разведка сотрудничала с криминальными сетями для слежки, похищений и нападений на политических противников. Американское Министерство финансов связывало одну из таких схем с наркоторговцем Наджи Ибрагимом Шарифи Зиндаштти. По данным американских властей, его сеть действовала по поручению иранской разведки и преследовала диссидентов. Похожие выводы сделали и шведские спецслужбы, которые заявляли об использовании криминальных группировок для атак на противников режима.
Похожая логика постепенно переносится в киберпространство. Среди наиболее активных групп специалисты выделяют Void Manticore, известную также под псевдонимом Handala Hack. Операторы использовали различные маски хактивистов и проводили операции против Албании и Израиля. В нескольких кампаниях злоумышленники применяли коммерческий инструмент для кражи данных Rhadamanthys , который продаётся на подпольных форумах. Вредоносную программу распространяли через фишинговые письма, выдавая их за сообщения израильского национального управления кибербезопасности. Заражённые файлы маскировали под обновления программного обеспечения F5.