Актуальные киберугрозы стран Ближнего Востока: влияние цифровизации, активность APT-группировок и теневой рынок

Страны Ближнего Востока обладают развитой промышленностью, современной инфраструктурой, а также амбициозными программами цифровой трансформации. Регион активно инвестирует в инновационные технологии, включая искусственный интеллект, интернет вещей (IoT), облачные решения и автоматизацию рутинных задач, что делает его одним из наиболее динамично развивающихся цифровых пространств мира. Однако стремительное развитие технологий сопровождается расширением цифрового периметра, что увеличивает поверхность потенциальных кибератак. Уязвимости, в том числе создаваемые новыми технологиями, а также вопросы геополитического характера делают Ближний Восток целью для хактивистов и APT-группировок.

Настоящее исследование охватывает период с начала 2024 года по первый квартал 2025 года включительно и направлено на анализ ландшафта киберугроз в странах региона. Под странами региона рассматривались: Бахрейн, Египет, Израиль, Иордания, Ирак, Йемен, Катар, Кипр, Кувейт, Ливан, Объединенные Арабские Эмираты (ОАЭ), Оман, Палестина, Саудовская Аравия, Сирия.

Задачами исследования являются:

• анализ активности APT-группировок, атакующих организации региона;
• определение текущего состояния цифрового ландшафта региона с точки зрения кибербезопасности;
• обзор используемых техник и тактик злоумышленников;
• оценка активности в дарквебе, связанной со странами региона.

По нашей оценке, большинство кибератак не предаются огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

Наша база инцидентов регулярно обновляется. Следует отметить, что информация о некоторых инцидентах может поступать в сеть значительно позже фактического времени кибератаки. Таким образом, данные, представленные в этом  исследовании, актуальны на момент его публикации. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.

Технологический ландшафт Ближнего Востока находится на стадии активного развития, затрагивая множество отраслей экономики, общество, культуру и государственное управление. Страны региона, в особенности такие как Саудовская Аравия и ОАЭ, активно инвестируют в инновационные технологии, стремясь не только модернизировать существующую инфраструктуру, но и создать новые направления развития. Этот подход продиктован стремлением диверсифицировать экономики стран региона, уменьшая зависимость от нефтяных доходов, и занять лидирующие позиции в глобальной технологической гонке. Новые технологии, такие как искусственный интеллект, интернет вещей, машинное обучение и технологии блокчейн, находят благоприятную атмосферу для развития в этом регионе.

В контексте стремительной цифровизации особую актуальность приобретает вопрос кибербезопасности в регионе. Страны Ближнего Востока сталкиваются с растущими киберугрозами, включая целенаправленные атаки на критическую инфраструктуру, финансовые организации и государственные учреждения. Для борьбы с этими угрозами, страны формируют стратегии кибербезопасности, создают центры реагирования и противодействия киберугрозам и укрепляют международное сотрудничество в области информационной безопасности.

Цифровизация ведет к расширению цифрового периметра страны, охватывая все новые сферы экономики, государственного управления и общества. Каждая инициатива, направленная на цифровизацию, так или иначе увеличивает объем данных, систем и технологий, подключенных к сети. Это неизбежно расширяет вектор возможных атак, создавая новые уязвимости. В результате, развитие цифровых инициатив сопровождается увеличением числа кибератак, так как киберугрозы становятся более разнообразными и сложными, охватывая все более широкий спектр инфраструктуры.

Страны Ближнего Востока активно внедряют искусственный интеллект в различные отрасли, что свидетельствует о стремительном развитии данной технологии в регионе. ОАЭ стала первой страной, учредившей Министерство ИИ, которое уже дает результаты своей работы. Так, Министерство ИИ утвердило стратегию, направленную на формирование благоприятной экосистемы: интеграцию ИИ в сферы обслуживания для повышения качества жизни и труда, а также привлечение ведущих мировых специалистов в области искусственного интеллекта. Инвестиции Саудовской Аравии в технологии ИИ свидетельствуют об их важности для развития региона. Королевство активно сотрудничает с зарубежными компаниями для обмена технологическим опытом и повышения качества сервисов.

Несмотря на все преимущества от внедрения этой технологии, она также является одновременно целью и инструментом при кибератаках. Ранее аналитики Positive Technologies уже публиковали исследование, посвященное уязвимостям искусственного интеллекта и его применению в хакерских атаках. Алгоритмы могут генерировать ответы на различные неэтичные или запрещенные темы, формировать сложные фишинговые письма, генерировать вредоносный код или создавать deepfake-видео для реализации умысла злоумышленников. Так, в прошлом году хакерская группировка Cotton SandStorm нарушила работу одного из стриминговых сервисов в ОАЭ и транслировала фейковый новостной репортаж, созданный с помощью алгоритмов ИИ.

Хакерские группировки, такие как Funksec, около 20% всех операций производят при помощи алгоритмов ИИ. Анализируя информацию в дарквебе, мы смогли найти более десятка объявлений и упоминаний, как обойти защитные алгоритмы искусственного интеллекта и принудить к выполнению всех запросов.

Благодаря подобным инструкциям любой хакер с минимальным опытом может значительно повысить вероятность успеха своих атак. Согласно опросу, проводимому Bug Crowd, 93% этичных хакеров считают, что применение искусственного интеллекта в бизнес-процессах организаций создает новые векторы атак.

Чтобы нивелировать преимущества злоумышленников в виде алгоритмов ИИ, технологии искусственного интеллекта предлагается также применять для обеспечения киберустойчивости организаций. Согласно исследованию IBM, организации, использующие ИИ в защите, смогли сохранить 2,2 миллиона долларов при атаках, связанных с утечками данных. Positive Technologies интегрирует эти технологии в свои метапродукты, MaxPatrol Carbon и MaxPatrol O2, позволяющие в автономном режиме выявлять потенциальные маршруты кибератак и пресекать деятельность хакеров до наступления недопустимых событий.

Ближний Восток, обладая значительными экономическими ресурсами, успешно адаптирует современные технологии для оптимизации человеческого труда, улучшения качества жизни населения и роста производительности в различных отраслях. Все больше IoT-устройств интегрируются в современную жизнь стран региона. Они встречаются в транспортной и энергетической отраслях, здравоохранении и множестве других направлений. Глобальные программы цифровизации региона объединяют описанные выше технологии в масштабные идеи по созданию умных городов.

Среди самых амбициозных проектов следует выделить инициативы NEOM в Саудовской Аравии, Digital Dubai и Masdar City в ОАЭ. В частности, проект NEOM стоимостью 500 миллиардов долларов предполагает создание полностью автономного мегаполиса, работающего на возобновляемых источниках энергии и управляемого системами искусственного интеллекта. Masdar City — развивающийся город, стремящийся к статусу города с нулевым выбросом углерода. Digital Dubai — одна из основных инициатив по созданию умного города, в рамках которой используется IoT для управления уличным освещением, дорожным движением и коммунальными услугами.

В контексте развития таких мегапроектов, как NEOM, где основные аспекты городской жизни будут управляться искусственным интеллектом, вопросы кибербезопасности приобретают приоритетный статус. Несомненно, в случае компрометации автоматизированных систем такого города последствия кибератак могут быть катастрофическими. Злоумышленники способны парализовать работу критической инфраструктуры, нарушить работу транспортной системы или устроить сбой в энергоснабжении и системах жизнеобеспечения, тем более что в дарквебе уже размещаются сообщения о продаже доступов к выстраиваемой инфраструктуре.

В рамках цифровизации в странах Ближнего Востока активно развиваются системы электронного правительства. ОАЭ можно назвать новаторами региона в области интеграции информационно-коммуникационных технологий в государственные структуры. Инициатива по созданию цифрового правительства была принята в 2002 году и сейчас предлагает гражданам ОАЭ более сотни государственных услуг онлайн. Саудовская Аравия также демонстрирует успехи в реализации глобальной инициативы Vision 2030, в рамках которой развивается портал Absher, предоставляющий широкий спектр электронных государственных сервисов. Перечисленные выше программы представляют собой лишь небольшую часть всех инициатив в регионе, реализующих концепцию цифрового правительства. Эти инициативы направлены на повышение эффективности государственного управления, снижение бюрократической нагрузки и улучшение качества предоставляемых услуг населению.

С точки зрения кибербезопасности сервисы цифрового правительства могут быть интересны как обычным хакерам, желающим получить доступ к персональным данным граждан для последующего мошенничества, так и APT-группировкам с целью дестабилизировать работу государственных структур.

Политики безопасности служб, отвечающих за функционирование систем, относящихся к инициативам цифрового правительства, должны разрабатываться с учетом риска компрометации аутентификационных данных администратора такой системы. Доступ к критическим системам должен быть усилен следующим образом:

• Ужесточены политики управления доступом (применение принципа минимально необходимого доступа).
• Используется многофакторная аутентификация.
•  Применяется подход нулевого доверия Zero Trust.
• Усилен мониторинг активности внутри защищенных сегментов.
• Применяются высокие требования ИБ к подрядчикам, имеющим доступ к конфиденциальной информации.

Применение перечисленных мер повысит киберустойчивость инфраструктуры, а также поможет оперативно обнаружить нарушителя и принять необходимые меры.

Проекты цифровой экономики направлены на всестороннее изменение традиционной экономической модели с помощью современных цифровых технологий. В рамках цифровизации экономики страны Ближнего Востока активно развивают комплексные финтех-экосистемы, создавая инновационные решения в области цифровых платежей, мобильного банкинга и блокчейн-технологий. Среди лидеров этого направления можно выделить Объединенные Арабские Эмираты. Центральный банк ОАЭ активно поддерживает развитие финтех-стартапов через платформу DIFC FinTech Hive, а цифровые банки, такие как Liv, предлагают удобные решения для бизнеса и частных лиц без необходимости физического посещения отделений банка.

Саудовская Аравия внедряет технологии бесконтактных платежей и цифровые финансовые сервисы. Так, финансовый регулятор страны (SAMA) создал Regulatory Sandbox, позволяющий финтех-компаниям тестировать новые технологии в безопасных условиях. А Бахрейн, помимо развития финтех-хаба Bahrain FinTech Bay, стимулирует развитие сектора криптовалюты, привлекая в страну крупные платежные системы.

Однако стремительное развитие цифровых финансовых решений ведет к расширению цифрового периметра, охватывая все больше систем, пользователей и платформ, подключенных к сети. Это создает новые точки проникновения и увеличивает уязвимость финансовой инфраструктуры. Мобильный банкинг, криптокошельки, платежные шлюзы, все эти устройства размывают границы периметра, создавая новые точки проникновения и новые точки приложения усилий для хакеров.

В контексте кибербезопасности финтех-отрасль также привлекает злоумышленников. Их основные цели следующие:

• Кража денег
• Компрометация данных клиентов, включая информацию о банковских картах
• Вымогательство
• Мошеннические операции

Преступники нацелены на финансовую выгоду, используя уязвимости цифровых финансовых сервисов для незаконного обогащения.

Также среди недопустимых событий¹для национальных платежных систем и финансовой инфраструктуры можно выделить нарушение непрерывности функционирования платежной системы, поскольку это может привести к остановке финансовых операций, подрыву доверия финансовым организациям, а также массовой панике и волнениям в обществе. Так, например, хакерская группа BlackMeta (также известная как DarkMeta) провела DDoS-атаку на финансовый институт в ОАЭ длительностью около 100 часов. Последствия для учреждения не разглашаются, однако эксперты заявляют, что на протяжении шести дней работа сервисов была ограничена. За несколько месяцев до этого ряд банков Ирана были атакованы группировкой IRLeaks. В результате атаки были парализованы 20 из 29 банков страны, данные клиентов были скомпрометированы и размещены для продажи в даркнете, а на экранах банкоматов отображались провокационные записи политического характера.

В странах Ближнего Востока активно развивается сектор образовательных технологий (EdTech). Правительства этих стран инвестируют значительные средства в цифровизацию образования и создание современной образовательной инфраструктуры. Правительство Арабских Эмиратов инвестирует средства в образовательные программы, учрежденные премьер-министром ОАЭ Мохаммедом ибн Рашидом Аль Мактумом, в том числе в The Digital School, обеспечивающую доступ к современным образовательным платформам и учебным материалам всем желающим. Саудовская Аравия развивает национальную образовательную платформу Madrasati, которая объединяет учителей и учеников в единой цифровой среде и реализуется в рамках программы Vision 2030.

Учебные заведения обрабатывают большое число конфиденциальных данных, таких как персональные данные учащихся, академические записи, финансовые документы и результаты исследований. При этом за счет обучающихся студентов, использующих вычислительные мощности образовательного учреждения, цифровой периметр учебной цифровой инфраструктуры размывается и растет. Студенты часто подключаются к сети учебного заведения с личных устройств, которые могут быть недостаточно защищены или уже заражены, что создает дополнительные точки проникновения. Из-за большого числа пользователей и разнообразия используемых ими устройств сложность мониторинга и управления доступом к сети значительно затрудняет задачу обеспечения кибербезопасности. По этим причинам образовательные учреждения становятся целями для злоумышленников. Их привлекает возможность получить доступ к плохо защищенным конфиденциальным данным, влиять на учебный процесс или нарушать его, а также использовать вычислительные ресурсы учебного заведения для своих целей, например для майнинга криптовалюты или проведения DDoS-атак. Похищенные данные или права доступа к информационным ресурсам учебных заведений являются предметом продажи на различных платформах дарквеба.

Одно из таких объявлений нам удалось найти. В объявлении хакер сообщает, что продает доступ к электронной почте Министерства образования Королевства Саудовская Аравия. Стоимость такого доступа составляет $500. Автор поста не уточняет, но согласно скриншоту, скорее всего, это доступ к почтовому ящику одного из представителей Министерства образования. Как бы то ни было, сам почтовый ящик может содержать чувствительную информацию, которая может быть похищена, а доступ к списку адресов может использоваться для дальнейшего развития атаки с помощью рассылки фишинговых писем с вредоносным ПО.

Стоит понимать, что противостоять попыткам хакера проникнуть внутрь инфраструктуры — задача сложная, поэтому следует выстраивать процессы реагирования на инциденты. В истории образовательного центра GEMS, расположенного в Дубае, есть положительный опыт реагирования на кибератаку, когда специалисты кибербезопасности смогли вовремя обнаружить и пресечь действия хакера и максимально нивелировать последствия атаки.

Глобальная цифровизация на Ближнем Востоке также затронула объекты критической инфраструктуры. Это коснулось всех основных направлений, в том числе энергетики, транспорта, здравоохранения, телекоммуникации и оборонной промышленности. В 2024 году Международный аэропорт Заеда в Абу-Даби поставил очередной рекорд, обслужив 29,4 млн пассажиров. Такой успех стал возможен благодаря интеграциям между базами данных различных служб и внедрению системы Biometric Smart Travel, использующей алгоритмы искусственного интеллекта для оптимизации процессов анализа пассажиропотока.

Изменения наблюдаются и в энергетическом секторе Саудовской Аравии. Королевство в лице Saudi Electricity Company совместно с китайской компанией BYD намерено построить крупнейшее в мире аккумуляторное энергохранилище. Эта инициатива призвана оптимизировать переход страны к возобновляемым источникам энергии и нивелировать просадки в электросети зависимых объектов. Также цифровизируется военно-промышленный комплекс. Одно из крупнейших оборонных предприятий Израиля разрабатывает и производит широкий спектр продукции, основанной на технологиях машинного зрения и искусственного интеллекта. Причем данная продукция выпускается не только для военных целей, как, например, системы визуальной разведки (IMINT), но и для гражданского использования, например METRO DOME, системы контроля воздушного пространства для беспилотных летательных аппаратов.

Однако вместе с технологическим прогрессом происходит расширение цифрового периметра, что делает критическую инфраструктуру еще более уязвимой к кибератакам. Рост числа подключенных устройств, интеграция разнородных систем, удаленный доступ для подрядчиков и сотрудников, внедрение облачных решений и интернет вещей (IoT) — все это создает дополнительные точки проникновения для злоумышленников. Среди них особенно опасны:

• удаленный доступ (VPN, RDP);
• уязвимые веб-приложения;
•  IoT-устройства без надлежащей защиты;
• слабые звенья в цепочке поставок;
• скомпрометированные учетные записи сотрудников и подрядчиков.

Критическая инфраструктура представляет особый интерес как для обычных хакеров, так и для продвинутых APT-группировок. Основными мотиваторами выступают финансовая выгода (вымогательство, кража данных), политическое давление, подрыв национальной безопасности и даже кибертерроризм. Атаки программ-вымогателей, например, на энергетические компании или больницы могут вызвать серьезные сбои в работе и создать угрозу жизни и здоровью граждан.

До сих пор атака с помощью вируса Shamoon на компанию Saudi Aramco остается самым крупным инцидентом в нефтегазовой отрасли в регионе. Спустя некоторое время хакерская группировка ZeroX попыталась также повторить атаку на инфраструктуру Saudi Aramco, но в этот раз хакеры смогли получить доступ к данным компании через одну из партнерских организаций. В итоге злоумышленникам удалось похитить около 1 ТБ данных, включающих спецификации различных систем, карты информационных сетей, данные о клиентах и другую ценную информацию. Похищенные данные были выставлены на продажу в дарквебе за 50 миллионов долларов.

Последствия инцидента еще не известны, однако исходя из того, что на протяжении более 10 лет злоумышленники не переставали интересоваться одной из ведущих компаний, можно говорить о том, что объект представляет значительную ценность для киберпреступников как с точки зрения атак, мотивированных финансовой выгодой (выкуп, вымогательство), так и с точки зрения кибертерроризма.

За рассматриваемый период самым распространенным способом атак на организации оказалось применение социальной инженерии, что составило 61% от общего числа успешных атак на организации региона в рассматриваемый период. Показатель использования ВПО несколько ниже — 51%, однако стоит отметить, что социальная инженерия часто применяется в атаках в связке с использованием ВПО. Подобный инцидент произошел в Бахрейне в 2024 году, когда компания McAfee обнаружила вирус для смартфонов на базе ОС Android, замаскированный под официальное приложение правительства Бахрейна. Этот вирус распространялся через фейковые страницы в социальных сетях и через SMS-сообщения, в которых говорилось об обновлении приложения для доступа к государственным услугам. В реальности же после установки приложение собирало личные данные пользователей (пароли, номера банковских карт и другую конфиденциальную информацию) и затем передавало их злоумышленникам.

В начале 2024 года одна из крупнейших авиакомпаний ОАЭ FlyDubai подверглась DDoS атаке. Ответственность за атаку взяла на себя хакерская группировка Anonymous Sudan. В своем телеграм-канале она утверждала, что якобы вся инфраструктура авиакомпании, включая систему бронирования, серьезно пострадала и единственным рабочим ресурсом оставался веб-сайт. Заявлений от самой авиакомпании по этому поводу не поступало. Возможно, заявления Anonymous преувеличены, однако многие организации не дают никакой информации в СМИ, поскольку это негативно сказывается на репутации.

Статистическое превосходство методов социальной инженерии над остальными способами компрометации можно обосновать тем, что человеческий фактор — независимо от развития технологий — остается самым уязвимым звеном в системе кибербезопасности, чем и пользуются злоумышленники. А применение ВПО позволяет не только автоматизировать рутинные действия хакера, но и скрывать его присутствие в инфраструктуре жертвы.

Киберпреступники постоянно адаптируют свои методы, выбирая вредоносное ПО, наиболее эффективное для достижения их целей. Как уже неоднократно отмечалось в квартальных исследованиях Positive Technologies, использование ВПО для удаленного управления и шифрования является самым популярным инструментом злоумышленников во всем мире. Этот же тренд подтверждается и в данных по инцидентам Ближневосточного региона. Согласно представленной статистике, абсолютным лидером является ВПО для удаленного управления — 27%. Эта популярность объясняется широкими возможностями, которые оно предоставляет злоумышленникам. Получив удаленный доступ к инфицированной системе, нарушители могут похищать конфиденциальные данные, устанавливать дополнительное вредоносное ПО, а также скрывать следы своего присутствия. Высокие показатели этого типа ВПО косвенно свидетельствуют о том, что многие атаки были направлены с целью долгосрочного нахождения внутри инфраструктуры жертвы.

Вредоносное ПО, предназначенное для уничтожения данных, хоть и встречается реже, чем загрузчики или шпионское ПО (9% против 11%), представляет собой серьезную угрозу. Уничтожение данных может нанести жертве колоссальный ущерб, приводя к значительным финансовым и репутационным потерям. Этот тип вредоносного ПО часто используется в атаках, целью которых является нанесение максимального вреда, а не просто кража данных или контроль над системами. В отличие от программ-вымогателей, которые оставляют возможность восстановить данные после уплаты выкупа, вредоносное ПО, удаляющее данные, может привести к безвозвратной потере информации, что делает его особенно опасным инструментом в руках злоумышленников.

8 октября 2024 года хакеры, предположительно связанные с APT-группировкой Wirte, получили доступ к серверу израильского дистрибьютора ESET. Это позволило им воспользоваться легитимным доменом и от имени организации разослать фишинговые письма со ссылкой на зараженный файл, выдаваемый за антивирус. При запуске загруженного файла вредоносное ПО уничтожало данные на компьютере жертвы. Атаке подверглись государственные организации, в том числе больницы, а также частные компании. Подробности инцидента не разглашаются.

Анализ киберинцидентов на Ближнем Востоке демонстрирует, что наибольшая доля атак (80%) привела к утечкам конфиденциальной информации. Согласно собранным данным, хакеры проявляли особый интерес к учетным данным — 29%, информации, составляющей коммерческую тайну, — 29% и персональным данным — 20%. Как правило, данные похищались с целью реализации в дарквебе или шантажа с угрозой их опубликовать.

Один из таких инцидентов произошел в Саудовской Аравии. Крупная строительная компания в Эр-Рияде стала жертвой хакеров. В результате кибератак, злоумышленники похитили более 6 терабайт конфиденциальных данных. О взломе стало известно 14 февраля 2025 года, когда хакеры на своей страничке в дарквебе сообщили о случившемся и потребовали выкуп за то, что не будут публиковать украденную информацию. Крайний срок выплаты был установлен на 27 февраля — всего за день до начала Рамадана. По достижении этого срока DragonForce опубликовала все украденные данные, включая конфиденциальные документы, связанные с операционной деятельностью и данными клиентов.

Нарушение основной деятельности организаций наблюдалось в 38% случаев. Это выражалось в остановке бизнес-процессов, приостановке оказания услуг, сбоях в ИТ-инфраструктуре и других нарушениях стабильной работы организаций. Особенно остро подобные нарушения отражаются на здравоохранении, транспорте и государственных услугах, где даже кратковременный сбой может иметь серьезные последствия для населения. Так, в сентябре 2024 года Министерство здравоохранения Кувейта подверглось кибератаке. В результате атаки хакеры смогли отключить критически важные системы, чем парализовали работу нескольких больниц. Министерство здравоохранения сумело оперативно восстановить работу важных систем, используя резервные копии данных. Совместно с государственными органами безопасности были приняты меры по предотвращению распространения угрозы и усилению защиты инфраструктуры. Хотя основные базы данных не пострадали, некоторые системы были временно отключены для установки обновлений безопасности. На момент публикации официальные лица не предоставили точный график полного восстановления всех систем. Ни одна из известных групп вымогателей не взяла на себя ответственность за атаку.

За хакерскими атаками стоят разные категории злоумышленников. Их отличает уровень подготовки, а также мотивация. Самой же опасной категорией являются APT-группировки ввиду наличия у них финансовых ресурсов и вычислительных мощностей. За прошедший 2024 год на APT-группировки приходилось 32% от общего числа атак. Особенно активными были хакерские группировки, нацеленные на госучреждения и объекты критической инфраструктуры, что связано с геополитическим напряжением в регионе. Такие атаки зачастую выходят за рамки обычной киберпреступности, приобретая характер кибершпионажа или кибервойны. Их целью может быть не только компрометация чувствительных данных, но и дестабилизация ключевых систем, подрыв доверия к государственным институтам и демонстрация силы в цифровом измерении.

Проводя анализ инцидентов в регионе, аналитики Positive Technologies рассмотрели все случаи и выделили наиболее активные группировки по количеству атак за 2024 г. — Q1 2025 г.:

MuddyWater (также известна как Static Kitten, Seedworm, TEMP.Zagros, Mercury) —специализируется на атаках на государственный и частный сектор стран Ближнего Востока, Центральной и Южной Азии, Европы, Африки и Северной Америки. Основными мотивами группы являются шпионаж и сбор разведывательных данных. Группировка проявляет повышенный интерес к правительственным организациям, телекоммуникационным компаниям, энергетическому сектору и оборонной отрасли.

Используют:

• Фишинговые рассылки с вредоносными вложениями внутри писем
• ВПО для кражи паролей (LaZagne)
• PowerShell-эксплойты (PowGoop, Powersploit)
• Уязвимости протоколов удаленного доступа Microsoft Netlogon (CVE-2020-1472)

Примеры активности. В конце 2024 года MuddyWater организовала фишинговую атаку на организации Израиля с целью проникновения во внутренний сегмент сети, шпионажа и контроля над инфраструктурой жертвы. Чуть ранее эта же группировка аналогичным способом распространяла ВПО «Bug Sleep», новый бэкдор, благодаря которому использовала такие приложения удаленного подключения, как Atera Agent и Screen Connect. По мнению экспертов из Check Point, фишинговые письма были отправлены в Индию, Израиль, Саудовскую Аравию, Турцию и Португалию.

OilRig (APT34, Helix Kitten, Cobalt Gypsy, Earth Simnavaz) — хакерская группировка, которая активна с 2014 года. Основная деятельность сконцентрирована в Ближневосточном регионе, особенно в финансовом, энергетическом и телекоммуникационном секторах.

Используют:

• Брутфорс для получения учетных данных жертвы
• Фишинговые рассылки по электронной почте и в LinkedIn с зараженными вложениями формата .doc, .xlsx для доставки ВПО (Quadragent и OopsIE)
• Сложные целенаправленные атаки на ресурсы, используемые жертвами (Watering hole attacks)
• Легитимные сервисы и инструменты для маскировки активности (OWA, VPN, Bitrix)

Примеры активности. Осенью 2024 года исследователи Trend Micro обнаружили всплеск атак APT-группировки OilRig. Атаки подразумевали воздействие на серверы Microsoft Exchange для кражи учетных данных пользователей и эксплуатацию уязвимости Windows CVE-2024-30088, благодаря которой злоумышленники могли повышать свои привилегии.

SideWinder (Rattlesnake, T-APT-04) — APT-группировка, атакующая правительственные, военные и коммерческие организации в Южной и Восточной Азии. Недавно их деятельность была замечена на Ближнем Востоке.

Используют:

• Фишинговые рассылки по электронной почте с вредоносными вложениями
• Такие уязвимости, как CVE-2017-11882 в Microsoft Office и CVE-2020-0674 в Internet Explorer, для выполнения произвольного кода
• HTTP/HTTPS для сокрытия соединения с C2
• Инструмент Koadic, позволяющий производить доставку полезной нагрузки через браузер или приложения Office

Примеры активности. APT-группировка, работающая в Южной и Восточной Азии, была замечена на Ближнем Востоке. Эксперты из «Лаборатории Касперского» поделились особенностями атаки — злоумышленники рассылают целевые фишинговые письма с зараженным файлом .DOCX, в котором зашита инъекция для загрузки RTF-файла с удаленного сервера злоумышленников. В файле эксплуатируется уязвимость CVE-2017-11882 для запуска многоэтапного процесса заражения, в результате которого устанавливается зловред, названный Backdoor Loader. Он служит загрузчиком для StealerBot — набора инструментов, который используется исключительно группой SideWinder. Данная атака была направлена на множество организаций в разных странах, в том числе Саудовскую Аравию и ОАЭ.

На основе проведенного анализа атак, осуществленных APT-группировками, можно сделать следующие выводы о тактике и методах, используемых на Ближнем Востоке:

• Четко прослеживается комбинированный подход к атакам: злоумышленники используют как социальную инженерию (доставка зараженных документов), так и техническую эксплуатацию уязвимостей в инфраструктуре (веб-приложения, почтовые серверы). Это говорит о высоком уровне подготовки атак и ориентации на конкретные цели.
• Около 40% групп в качестве вектора первичного проникновения эксплуатировали уязвимости на клиентской стороне (T1203). Использование зараженных документов с макросами указывает на то, что сотрудники организаций продолжают оставаться слабым звеном в цепочке безопасности, особенно при недостаточной осведомленности или слабой фильтрации электронной почты.
• Эксплуатация публичных веб-приложений (T1190) остается актуальной для 80% APT-группировок, особенно в случае устаревших или плохо обслуживаемых систем. Это подчеркивает необходимость регулярного обновления ПО и проведения оценки уязвимостей.
• Уделяется большое внимание сокрытию активности. Комбинация техник обфускации (T1027) и последующей деобфускации (T1140) позволяет злоумышленникам эффективно обходить системы обнаружения, затрудняя анализ и реагирование на угрозу. Эти техники используют 70% групп.
• Для устойчивой и скрытой связи с C2-серверами 40% группировок применяют нетипичные сетевые протоколы (T1095), что свидетельствует о стремлении минимизировать шансы обнаружения на этапе постэксплуатации и управления зараженными устройствами.

Деятельность APT-группировок представляет собой серьезную угрозу для национальной безопасности стран Ближнего Востока. В отличие от обычных киберпреступников, эти структуры действуют целенаправленно, часто при поддержке других стран, и могут находиться в системах жертв в течение длительного времени, собирая информацию и подготавливая масштабные атаки, что подтверждается тепловой картой техник и тактик APT группировок.

Анализ выявленных в регионе инцидентов демонстрирует, что основными целями APT-группировок становятся государственные организации и промышленный сектор. Успешная компрометация этих объектов может привести к серьезным последствиям: нарушениям в государственном управлении, авариям на производствах, а также ущербу для национальной безопасности. В связи с этим крайне важно развивать техники раннего обнаружения кибератак и внедрять комплексные стратегии повышения киберустойчивости, ориентированные в первую очередь на защиту государственных и промышленных систем.

Скачать вложение

Анализ данных, найденных в дарквебе, показывает тревожную картину высокой активности злоумышленников по региону Ближнего Востока. Информация, представленная на площадках дарквеба, изобилует предложениями о продаже и бесплатном распространении конфиденциальных данных, касающихся не только людей. В дарквебе нам удалось найти упоминания и подтверждения хакерских атак на разные отрасли и организации стран региона, основную часть которых составили госучреждения — 34% и промышленность — 20%.

Среди наиболее часто упоминаемых стран оказались Объединенные Арабские Эмираты, Саудовская Аравия, Израиль и Катар. Важно отметить, что эти страны являются лидерами региона в направлении цифровизации. Большое количество записей о продаже украденных данных из этих стран подтверждает сложность обеспечения безопасности в расширенном цифровом пространстве, чем активно пользуются злоумышленники.

Большая часть обнаруженных сообщений предлагает бесплатные базы данных и так называемые комбо-листы. В большинстве случаев такие данные собраны из ранее скомпрометированных баз или же получены из открытых источников. Несмотря на низкую цену подобных материалов, они часто используются в фишинговых атаках. Популярность их на просторах даркнета демонстрирует заинтересованность злоумышленников в проведении атак на лиц в данном регионе.

Также встречается бесплатное распространение баз, полученных в результате атак хактивистами. В таких случаях злоумышленники не стремятся к финансовой выгоде, но рассматривают совершение атак как способ донесения своих идеологических взглядов. То, что за такие базы не требуется плата, лишь усугубляет картину киберпреступности — большее число злоумышленников получают доступ к данным, что приводит к дальнейшему росту атак и делает скомпрометированную организацию их целью.

На одном из форумов дарквеба было обнаружено объявление о бесплатной раздаче базы данных в формате SQL, предположительно похищенной из Министерства здравоохранения Королевства Саудовская Аравия (moh.gov.sa). База содержит тысячи записей с персональными данными пациентов, включая чувствительную медицинскую информацию.

Среди множества объявлений в дарквебе нам также удалось обнаружить пост о бесплатной раздаче базы данных, связанной с израильским комплексом «Железный купол» — системой противоракетной обороны, предназначенной для перехвата и уничтожения ракет малой дальности. Официальных подтверждений со стороны Министерства обороны Израиля не поступало, однако само появление такой информации свидетельствует о том, что политический конфликт с участием Израиля вышел за пределы открытого информационного пространства и активно распространяется в теневом сегменте интернета.

На теневых форумах хактивисты в том числе делятся результатами атак — они публикуют скомпрометированные данные, информацию об успешных атаках на организации и делятся своими будущими целями.

Также злоумышленники продают доступы к корпоративным сетям, поскольку это позволяет им получить прибыль без необходимости самостоятельно проводить атаки. Такой подход является частью организованной схемы в киберпреступной среде, где наблюдается четкое разделение ролей: одни получают доступ, другие (например, операторы вымогательского ПО) используют его для дальнейших действий. Доступы, как правило, распространяются через теневые площадки и включают учетные данные для VPN, RDP или внутренних систем. Продажа таких данных ведет к серьезным последствиям: атакам с использованием ВПО, утечкам конфиденциальной информации, значительным финансовым потерям, репутационному ущербу и риску компрометации партнеров по цепочке поставок.

Анализ объявлений на дарквеб-площадках показывает, что платформы для продажи похищенных данных все чаще используются как инструмент кибервойны, превращая традиционные конфликты в цифровое противостояние. Публикуемая там информация наглядно отражает уязвимости критически важных отраслей стран Ближнего Востока и подчеркивает необходимость усиления мер кибербезопасности на национальном уровне.

Как отмечается в исследовании дарквеба, начиная с 2015 года среди злоумышленников стала набирать популярность подписочная модель распространения хакерских продуктов и сервисов. Такие сервисы, как MaaS (Malware-as-a-Service), RaaS (Ransomware-as-a-Service), PhaaS (Phishing-as-a-Service), DaaS (DDoS-as-a-Service), предлагают использовать уже готовое ПО для атаки по подписке. Ожидается, что в 2025 году доля успешного применения злоумышленниками данного метода продолжит свой рост, упрощая проведение кибератак и снижая порог входа для менее опытных злоумышленников.

Представленные выше аналитические данные демонстрируют, что, несмотря на крупные инвестиции и усилия стран Ближнего Востока по обеспечению кибербезопасности, хакерам по-прежнему удается реализовывать задуманное, задействуя все более сложные техники и тактики. Стремясь цифровизировать деятельность государств и автоматизировать рутинную работу, страны Ближнего Востока сильно размывают границы своих информационных инфраструктур. Обеспечение кибербезопасности в таких условиях становится все труднее и требует применения новых комплексных подходов.

Для укрепления киберустойчивости организации требуется не просто внедрение технических средств защиты, а построение целостного и практико-ориентированного подхода, при котором можно быть уверенным, что злоумышленник не сможет реализовать сценарии, угрожающие важным бизнес-процессам.

Первым шагом по внедрению результативного подхода является определение недопустимых событий — инцидентов, которые в случае их реализации делают невозможным достижение стратегических или операционных целей организации либо нарушают ее основную деятельность. К ним относятся остановка критичных бизнес-процессов, утечка чувствительной информации или потеря контроля над ключевыми системами.

Для определения таких событий важно привлечь высшее руководство и руководителей ключевых направлений, так как именно они обладают наибольшим пониманием того, какие последствия являются недопустимыми. Далее совместно с ИТ- и ИБ-специалистами проводится анализ инфраструктуры для определения систем, воздействие извне на которые приведет к недопустимым событиям, а также всех взаимосвязанных систем и точек проникновения.

Такой анализ позволяет сфокусировать усилия на действительно важных участках инфраструктуры и сформировать первоочередные меры по повышению киберустойчивости.

Такие меры подразумевают:

• Реинжиниринг бизнес-процессов — минимизацию числа пользователей, имеющих доступ к критически важным системам, сегментацию и изоляцию критичных процессов.
• Обучение сотрудников — разработку программы повышения осведомленности и регулярное практическое обучение по противодействию современным киберугрозам.
• Перестройку ИТ-инфраструктуры — снижение числа точек проникновения, настройку параметров безопасности, обновление ПО и оборудования.
• Настройку служб мониторинга и реагирования — оптимизацию процессов мониторинга событий ИБ в инфраструктуре, а также быстрого реагирования и устранения инцидентов ИБ до начала недопустимых событий.

По завершении этих шагов проводится оценка защищенности, которая позволяет на практике проверить, насколько эффективны внедренные меры.

Для окончательного подтверждения киберустойчивости рекомендуется периодическое проведение киберучений или вывод инфраструктуры на площадку Bug Bounty. Привлечение внешних специалистов позволяет выявить оставшиеся уязвимости и своевременно принять меры по их устранению.

Результативный подход обладает потенциалом масштабирования, его можно применять не только к отдельным организациям и отраслям, но и к более крупным цифровым ландшафтам, включая целые государства и даже международные объединения. Основная идея такого подхода заключается в фокусировке на достижении конкретных, измеримых результатов в области кибербезопасности, а не просто на выполнении формальных требований или внедрении разрозненных технических решений.

Применение результативного подхода к обеспечению кибербезопасности на уровне государства или крупного объединения позволяет:

• Установить единую систему приоритетов: определить наиболее критичные активы и процессы, требующие первоочередной защиты, исходя из национальных интересов и стратегических целей. Системы класса VM (vulnerability management) предназначены для автоматизации процессов управления активами, обнаружения и устранения уязвимостей в инфраструктуре с учетом их критичности. Кроме того, такие системы позволяют отслеживать уровень защищенности инфраструктуры от уязвимостей, которые используются в реальных атаках.
• Координировать усилия различных субъектов: обеспечить согласованность действий государственных органов, частных компаний и общественных организаций в области кибербезопасности.
• Оптимизировать распределение ресурсов: направить финансирование и кадровые ресурсы на реализацию наиболее эффективных мер защиты, в том числе и на защиту самих кадров. При формировании надежной системы защиты организациям важно уделять особое внимание повышению киберграмотности сотрудников (security awareness). Знание и соблюдение принципов цифровой гигиены значительно снижают риск компрометации конечных устройств и использования человеческого фактора в атаках.
• Повысить устойчивость к кибератакам: создать комплексную систему защиты, способную противостоять сложным и целенаправленным атакам, включая атаки на критическую информационную инфраструктуру. Для эффективного и своевременного реагирования на инциденты необходимо иметь четкое представление о происходящих событиях в инфраструктуре. Внедрение решений класса SIEM (Security Information and Event Management) обеспечивает сбор и анализ событий информационной безопасности, позволяя выявлять подозрительные действия и признаки атак на ранних стадиях.
• Учитывать специфику региональных угроз: адаптировать стратегию кибербезопасности к особенностям региона, таким как распространенность определенных типов киберпреступности, геополитическая обстановка и уровень развития цифровых технологий. Это включает защиту от атак, направленных против населения (таких как дезинформация и манипуляции общественным мнением).

На фоне стремительного технологического развития стран Ближнего Востока ожидать снижения киберугроз в ближайшей перспективе не стоит. Напротив, можно с высокой долей уверенности прогнозировать сохранение киберугроз, а в ряде случаев — рост атак. Данный прогноз основан на ряде ключевых факторов.

• Продолжающаяся цифровизация экономики, государственного сектора и инфраструктуры приводит к значительному расширению цифрового периметра. Новые технологии, включая интернет вещей, искусственный интеллект и мобильные сервисы, создают новые векторы атак и точки проникновения.
• Киберпространство все активнее используется как поле для решения геополитических вопросов. Конфликты, которые ранее решались в рамках дипломатического или военного поля, все чаще переносятся на цифровой уровень, где атаки на информационные ресурсы и инфраструктуру становятся инструментом давления.
• Среди наиболее вероятных целей кибератак остаются критическая инфраструктура (включая энергетический сектор и здравоохранение), а также финансовые учреждения. Эти объекты представляют стратегическую важность для национальной безопасности, что подчеркивает их ценность, в том числе для злоумышленников. История атак на инфраструктуру Saudi Aramco подтверждает, что даже защищенные объекты могут быть уязвимы — особенно при недостаточном контроле подрядчиков и смежных организаций.
• Также активность в регионе проявляют и APT-группировки, сосредоточившиеся на атаках на госучреждения и объекты промышленности. Их деятельность носит системный и скрытный характер. В даркнете регулярно публикуются данные, связанные с государственными структурами, промышленными и финансовыми организациями стран Ближнего Востока, что подтверждает успешную компрометацию соответствующих систем.
• По-прежнему сохраняется высокая популярность социальной инженерии как основного способа атаки. За счет применения хакерами технологий искусственного интеллекта, включая генерацию фишинговых писем, качество таких атак будет расти пропорционально развитию технологий ИИ. К тому же это упрощает проведение атак для тех, кто не владеет языком атакуемой страны, что расширяет географию хакеров.

Исходя из вышеописанного, можно сделать вывод, что киберугрозы в странах Ближнего Востока в обозримом будущем будут масштабироваться и становиться все сложнее. Развитие цифровых технологий, интеграция новых ИТ-решений в ключевые секторы стран региона хоть и повышают эффективность отраслей, в которых они применяются, но при этом делают эти отрасли доступнее для злоумышленников разного уровня квалификации.

Правительствам стран Ближнего Востока следует обратить внимание на активность злоумышленников по отношению к критической инфраструктуре, финансовым учреждения и государственным органам, поскольку их действия могут привести к негативным последствиям для национальной безопасности и суверенитета государств.