Ландшафт киберугроз в Иране: H2 2024 – H1 2025

Цифровое развитие Исламской республики Иран (далее — Иран) успешно осуществляется в непростых экономических и геополитических условиях, государству удается укреплять свой технологический суверенитет. Страна нацелена на достижение технологического лидерства на Ближнем Востоке, что сопровождается цифровизацией финансовых активов, медицины и промышленности, а также появлением большого числа цифровых услуг, программных решений и платформ. Однако это расширяет поверхность атак, повышая привлекательность информационной инфраструктуры Ирана для киберпреступников, цели которых варьируются от получения финансовой выгоды до нарушения функционирования ключевых объектов различных отраслей.

Исследование сосредоточено на анализе текущего цифрового профиля Ирана с фокусом на изменениях, произошедших в период H2 2024 – H1 2025, а также на детальном изучении ландшафта киберугроз страны с особенным вниманием к периоду обострения геополитической напряженности, пришедшейся на июнь 2025 года.

Цели исследования:

• проанализировать цифровой ландшафт Ирана за период H2 2024 – H1 2025 и выделить ключевые направления цифрового развития;

• построить ландшафт кибербезопасности страны за период H2 2024 – H1 2025, основываясь на данных открытых источников, теневых форумов и Telegram-каналов;

• детально рассмотреть отражение периода обострения геополитической напряженности в киберпространстве;

• выделить характерные для государства тенденции киберугроз и сделать предположения об их будущем развитии;

• предложить рекомендации по повышению уровня кибербезопасности в стране.

Для описания ландшафта киберугроз Ирана использованы данные открытых источников в сочетании с данными дарквеба — информацией, полученной по результатам анализа шести наиболее популярных дарквеб-форумов, свыше 300 Telegram-каналов, платформ, агрегирующих сведения о дефейсах веб-сайтов и атаках группировок шифровальщиков. В выборку попали крупнейшие разноязычные теневые площадки различной тематики. Для исследования рассматривался период с 01.07.2024 по 30.06.2025.

Сообщения анализировались по следующим категориям:

• База данных — утечки, содержащие персональные данные, учетные данные пользователей, конфиденциальные документы компаний.

• Доступ — данные для несанкционированного доступа к устройству или сервису в инфраструктуре компании.

• Уязвимость — уязвимости и эксплойты.

• Ransomware — сообщения хакерских группировок об успешных атаках с использованием программ-вымогателей (шифровальщиков).

• DDоS — сообщения хакерских группировок об успешных DDoS-атаках.

• Дефейс — сообщения хакерских группировок об успешном проведении атаки с изменением главной веб-страницы.

Совокупный анализ открытых данных и данных дарквеба позволяет делать выводы о текущих проблемах кибербезопасности, зарождающихся и уже наблюдаемых тенденциях киберугроз. Взгляд на ландшафт кибербезопасности и цифровой ландшафт страны позволяет оценить их взаимное влияние и сделать выводы о характере будущих киберугроз и наличии эффективных решений, способных им противостоять.

Данные и выводы, представленные в этом отчете, основаны на собственной экспертизе Positive Technologies, а также на анализе общедоступных ресурсов, включая публикации правительственных и международных организаций, научно-исследовательские работы и отраслевые доклады.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы злоумышленников и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз. 

В нашем отчете каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько атак. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.

Наша база инцидентов регулярно обновляется. Следует отметить, что информация о некоторых инцидентах может поступать в сеть значительно позже фактического времени кибератаки. Таким образом, данные, представленные в этом исследовании, актуальны на момент его публикации. 

В рассматриваемый период стартапы запускались в основном в сферах финтеха и электронной коммерции, ИИ, медицины и биотехнологий:

• Экосистема стартапов в области ИИ растет быстрыми темпами: по состоянию на 2025 год Иран занимает второе место в регионе по количеству разработчиков ИИ-решений и четвертое по количеству компаний, создающих ИИ-решения. Рост числа стартапов обусловлен среди прочего государственными мерами. В начале 2025 года правительство Ирана выделило значительное финансирование для развития ИИ в стране — около 115 миллионов $ национального бюджета. Ключевые направления — исследования и разработки в этой области, в частности модернизация вычислительной инфраструктуры и поддержка стратегических проектов. Перспективными направлениями для стартапов являются интеллектуальные инструменты автоматизации бизнеса и SaaS-платформы, предлагающие персонализированные варианты обучения современным технологиям. Инновации в сфере финтеха связаны с уникальной экономической средой Ирана, в которой востребованы локальные цифровые платежные системы, решения для онлайн-банкинга и альтернативные финансовые услуги. Значимость такого направления инвестиций также подчеркивается высоким уровнем проникновения мобильных устройств в стране (на начало 2025 года в Иране было активно 152 миллиона мобильных подключений, что составляет 166% от общей численности населения), вследствие чего растет спрос на безопасные и эффективные решения для цифровых платежей.

• 85% финансовых транзакций в стране осуществляется в цифровом формате, что подталкивает банки к внедрению финтех-инноваций. Целевая аудитория стартапов в области электронной коммерции — молодое население страны, которое все чаще обращается к интернет-покупкам (более 9 миллионов иранцев ежедневно пользуются онлайн-банкингом и цифровыми кошельками). Создаваемые решения направлены на развитие специализированных сайтов электронной коммерции, ориентированных на конкретные запросы потребителей, предоставление эффективных услуг по доставке товаров и логистике.

• Развитый медицинский сектор Ирана предоставляет свою богатую экспертизу технологическим компаниям, создающим решения в сфере HealthTech (цифровое здравоохранение). Создаваемые стартапы направлены на диагностику заболеваний, предоставление телемедицинских услуг и создание биотехнологических инноваций. Вместе с тем иранская биотехнологическая продукция в последние годы становится продуктом стратегического назначения благодаря высокому спросу со стороны соседних стран, ищущих доступные альтернативы западным фармацевтическим препаратам.

Таким образом, экосистема стартапов в Иране активно развивается и носит преимущественно технологический характер. 

В июне 2024 года Верховный совет культурной революции Ирана одобрил «Национальный документ по искусственному интеллекту» — всеобъемлющий стратегический план развития ИИ в государстве, а в августе того же года документ был опубликован в официальной газете страны. Ключевые положения касаются следующих стратегических целей:

• обучение населения навыкам работы с ИИ;

• увеличение доли производимой научно-технологической продукции в этой области;

• повышение конкурентоспособности государства на внутреннем и мировом технологическом рынке;

• активное международное научно-техническое сотрудничество с дружественными странами;

• использование ИИ для сохранения цифрового суверенитета страны.

Дополнением стал одобренный парламентом Ирана в мае 2025 года национальный план по искусственному интеллекту, направленный на расширение кадрового резерва страны и развитие технологической инфраструктуры. Катализатором принятия плана могли послужить масштабные инвестиции в ИИ региональных конкурентов Ирана — Саудовской Аравии и ОАЭ в совокупности с их партнерскими отношениями с западными технологическими компаниями.

Одной из крупных инициатив является флагманская программа Ирана, направленная на обучение ИИ одного миллиона школьников в возрасте от 7 до 15 лет (программа стартует с учебного 2025–2026 года). Для студентов вузов будут расширены курсы, связанные с ИИ, обучающие программы даже некомпьютерных специальностей будут скорректированы таким образом, чтобы каждый студент выпускался из университета с определенным пониманием инструментов и этики ИИ. Нововведения касаются не только обучающихся, но и преподавателей: в 2025 году Иран обучит ИИ сто тысяч учителей. Отмечается, что трансформация образовательных программ с учетом технологий ИИ выполнена Ираном с опорой на изученный опыт Китая и России, их учебных программ и моделей образования применительно к технологическим реалиям страны.

Иран обладает прочной академической базой в сфере ИИ: ведущие университеты страны (Технологический университет имени Шарифа, Тегеранский университет, Технологический университет Амира Кабира, Иранский университет науки и техники) активно занимаются исследованиями в этой области. В январе 2025 года Тегеран провел международную конференцию «Искусственный интеллект и будущая цивилизация», в которой приняли участие представители более 20 китайских и 30 ведущих мировых университетов (включая приглашенных экспертов из Китая, Италии, России, Малайзии, Сингапура и других стран).

Тринадцать национальных университетов страны также задействованы в реализации проекта «Интеллектуальные помощники для правительства», направленного на использование ИИ для повышения эффективности принятия решений и административного управления.

Ключевым технологическим результатом периода H2 2024 – H1 2025 является разработка Ираном национальной платформы ИИ с открытым исходным кодом. Первая публичная демонстрация прототипа платформы состоялась 15 марта 2025 года. Проект позиционируется как начало пути к «технологической справедливости» — обеспечению равного доступа к ИИ для всего населения страны. Платформа полностью создана без опоры на зарубежные API и предоставляет различные услуги, связанные с ИИ — от языковых моделей до аналитики данных, которые разработчики, компании и госучреждения могут использовать в национальной сети Ирана.

Дорожная карта разработки платформы охватывает 2025–2026 годы, согласно ей, платформа будет итеративно улучшаться создателями:

• весной 2025 года команда начала внутреннее тестирование и оптимизацию решений в сфере искусственного интеллекта;

• к середине 2025 года избранные ученые и наукоемкие компании получили ограниченный доступ для проведения бета-тестов и валидации;

• на сентябрь 2025 года запланирован публичный бета-релиз;

• на март 2026 года запланирован релиз финальной стабильной версии платформы.

Отмечается, что платформа была разработана в рамках открытого конкурса с участием иранских университетов и 38 наукоемких компаний, что говорит об интеграции практического опыта коммерческих организаций с перспективными инновациями ведущих ученых страны.

Стремление Ирана к технологическому суверенитету и лидерству в сфере ИИ также подчеркивают инфраструктурные проекты: к 2027 году государство планирует построить свой первый специализированный парк искусственного интеллекта в Тегеране для демонстрации технологических разработок и предоставления общедоступных интеллектуальных услуг.

Таким образом, Иран непрерывно развивает и совершенствует свою технологическую инфраструктуру и на государственном уровне обеспечивает повышение цифровой грамотности всего населения. Фокус на технологиях ИИ объясняется их широкой применимостью — от цифровизации ведущих отраслей страны до оптимизации и усиления контура защиты страны от киберугроз и, как следствие, сохранения национального суверенитета, что особенно актуально в условиях обострения геополитической напряженности.

Цифровой ландшафт страны и направления его развития призваны среди прочего противодействовать как известным, так и новым киберугрозам. Рассмотрим ландшафт киберугроз Ирана за указанный период и отдельно остановимся на июне 2025 года как точке наивысшей геополитической напряженности, повлиявшей и на киберпространство государства.

Финансовые организации, являющиеся стратегически важным объектом для любой страны, имеют еще более высокую значимость для экономики и обороноспособности Ирана, чьи торгово-экономические отношения осложнены санкциями. Финансовая система Ирана использует как обычные валюты, так и криптовалюту, что позволяет стране стабилизировать свою экономическую ситуацию. Власти государства запрещают внутренние криптовалютные платежи, однако разрешают использование цифровых активов для импорта подпадающих под санкции товаров, включая медицинское оборудование, и для операций в нефтяном секторе. При этом все поступления должны проходить через каналы центрального банка по официальным обменным курсам.

Сравнительный анализ полугодий (H2 2024 и H1 2025) показал, что наибольший прирост (36 п. п.) по числу атак получили финансовые организации, за ними следуют отрасли телекоммуникаций и СМИ (прирост по 8 п. п.).

Изменения вызваны июньской геополитической напряженностью, когда киберпреступники сосредоточились на подрыве доверия населения страны к ее цифровой инфраструктуре.

Основной удар пришелся на финансовую отрасль, что говорит о стремлении злоумышленников не только парализовать все платежные процессы для населения, но и поставить Иран в крайне тяжелую экономическую ситуацию, выведя из строя ключевые банки страны и скомпрометировав работу криптовалютных учреждений и сервисов.

Атаки на телекоммуникационную инфраструктуру нацелены на вывод из строя других отраслей, для успешного функционирования которых используются сети передачи данных. Это и финансовая отрасль, для корректной работы которой требуется реализация процессов электронной коммерции, и государственная отрасль, предоставляющая цифровые услуги гражданам, и промышленность, для объектов которой должны быть обеспечены непрерывный контроль и мониторинг технологических процессов. Вместе с тем, нарушение связи между людьми и организациями вызывает недовольство населения, что может привести к дестабилизации внутриполитической ситуации.

Кибератаки на СМИ, как правило, сопровождают внешне- и внутриполитические конфликты, что отражено в данных H1 2025. В этих атаках злоумышленники нацелены на формирование негативного общественного настроя за счет нарушения работы основных государственных СМИ с последующим распространением дезинформации по альтернативным информационным каналам.

Активность киберпреступников в атаках на СМИ особенно заметна в данных дарквеба: объявления этой категории лидируют, составляя 13% от общего числа. Организации СМИ пользуются доверием широкой аудитории, что делает их привлекательным объектом для кибератак со стороны хактивистов и начинающих киберпреступников. В связи с этим часть объявлений носит политически мотивированный характер, а часть объявлений направлена на демонстрацию технических возможностей новичков киберпреступного сообщества. Такие объявления, как правило, фокусируются на самом факте успешной кибератаки на организацию СМИ, а не на масштабе жертвы.

Рассмотрим топ-3 отрасли по числу жертв кибератак — финансы, транспорт и промышленность с учетом общедоступных кейсов и данных дарквеба.

Любые перебои в предоставлении финансовых услуг негативно сказываются на репутации и прибыли финансовых организаций, а атаки на крупные организации могут приводить к проблемам на уровне государства. Размер ущерба, который можно нанести, привлекает внимание как активно использующих DDoS-атаки хактивистов, так и операторов шифровальщиков.

Так, для хактивистов и проправительственных группировок других стран финансовые организации являются в первую очередь стратегическим объектом, и нарушение их работы (в том числе криптовалютных организаций) способно негативно повлиять на позиции страны на мировой арене, вызвав проблемы в торгово-экономических отношениях и финансировании оборонной отрасли.

По результатам анализа теневых площадок, отрасль финансов вошла в топ-3 категорий объявлений с долей 8%. Распространенность объявлений, посвященных финансовым учреждениям, в дарквебе объясняется тем, что площадки теневого рынка имеют свою специфичную аудиторию, нацеленную на получение финансовой выгоды и завоевание авторитета в киберпреступном сообществе. Торговые компании и финансовые учреждения хранят значительный объем конфиденциальной информации (коммерческая тайна, персональные данные клиентов и т. п.), кражу которой киберпреступники могут выгодно монетизировать.

Сравнительный анализ полугодий (H2 2024 и H1 2025) показал значительный прирост числа успешных кибератак на организации финансовой отрасли во втором полугодии. Это связано с тем, что к киберпреступникам, нацеленным на получение финансовой выгоды за счет кражи и последующей продажи конфиденциальных данных, добавились хактивисты и проправительственные группировки других стран, стремящиеся продемонстрировать уязвимость стратегической финансовой отрасли Ирана перед киберугрозами. Успешные кибератаки на банки, криптовалютные биржи и иные организации отрасли могут негативно повлиять на экономику государства вследствие нарушения процессов предоставления финансовых услуг частным лицам и бизнесу, а также возможной дестабилизации национальной валюты. Вместе с тем взлом компаний финансовой отрасли может открыть киберпреступникам путь к реализации дальнейших атак на связанных с ними подрядчиков и поставщиков информационных услуг, что расширяет поверхность атаки.

Первым крупным инцидентом за рассматриваемый период стала августовская кибератака 2024 года. Предположительно, она была совершена группировкой irleaks, известной своими предыдущими взломами иранских компаний. Кибератака, реализованная через иранского поставщика цифровой инфраструктуры, обслуживающего значительную часть банковского сектора страны, затронула до 20 банков Ирана. Злоумышленники изначально требовали выкуп в размере 10 миллионов $ в криптовалюте, хотя окончательная сумма выкупа, выплаченного для восстановления работы сервисов, составила чуть более 3 миллионов $. Эта кибератака подчеркивает уязвимость широко используемого подхода по централизации критически важных услуг и необходимость защиты таких центральных объектов инфраструктуры: в этом случае именно поставщик цифровой инфраструктуры стал слабым звеном, открыв злоумышленникам доступ сразу к множеству объектов финансовой отрасли.

Однако не всегда кибератаки на финансовую отрасль приводят к прямым денежным потерям, поскольку цели, преследуемые злоумышленниками, могут быть связаны с нанесением репутационного ущерба и влиянием на обороноспособность страны. В марте 2025 года один из крупнейших иранских банков, позиционируемый в СМИ как имеющий тесные связи с военными и силовыми структурами, подвергся кибератаке со стороны группировки Codebreakers, в результате чего произошла масштабная утечка свыше 12 ТБ данных, содержащих информацию о 42 млн клиентов банка (их финансовые и идентификационные данные, а также сведения об их месте жительства). 

Эксперты отмечают, что кибератака, скорее всего, имела высокую степень координации и автоматизации, что подчеркивается тем фактом, что вредоносное программное обеспечение было одновременно доставлено на 116 судов.

Успешная реализация таких кибератак подчеркивает уязвимость морских объектов к информационным воздействиям и возможность использования киберопераций для влияния на реальный сектор. В целом вся транспортная отрасль крайне чувствительна к кибератакам, поскольку она одновременно обеспечивает реализацию цепочек поставок, значимых для торгово-экономических связей государства, и регулярные пассажирские перевозки. Кибератаки на транспортные объекты могут привести к финансовому и репутационному ущербу из-за логистических сбоев, а также к человеческим жертвам.

По результатам анализа открытых источников, кибератаки на организации промышленной отрасли в рассматриваемом периоде в большинстве случаев (67%) приводили к утечке конфиденциальной информации в результате использования злоумышленниками шифровальщиков. Популярность атак шифровальщиков на промышленные компании связана, с одной стороны, с возможностью получения киберпреступниками финансовой выгоды за счет выплаты выкупа атакованной компанией или продажи утекших конфиденциальных данных (например, сведений, составляющих коммерческую тайну). С другой стороны, деятельность многих промышленных организаций, в частности нефтегазовых и нефтехимических, для Ирана носит стратегический характер и является социально и экономически значимой. Успешные кибератаки с использованием шифровальщиков на такие компании могут раскрыть или безвозвратно уничтожить конфиденциальные сведения, учитывая наблюдаемый тренд использования шифровальщиков в качестве вайперов. Кроме того, эти атаки могут нанести значительный финансовый ущерб за счет приостановки всех производственных процессов, а также навредить репутации государства в случае проблем с поставкой товаров за рубеж. Поэтому кибератаки с использованием шифровальщиков также активно реализуются хактивистами и проправительственными группировками других стран.

Среди жертв кибератак — иранские энергетические и фармацевтические компании, организации по производству сварочных материалов, автомобильной электроники, компании керамической промышленности и другие. Так, 87 ГБ данных иранской фармацевтической компании оказались в руках группировки RansomHub, занимающейся разработкой шифровальщиков и работающей по модели ransomware as a service (шифровальщик как услуга) с уникальной моделью предоплаты для партнеров.

Еще один способ монетизации результатов кибератак на промышленные организации — продажа доступов к их инфраструктуре. Покупка доступа, в зависимости от его типа (RDP, VPN и т. п.), может открыть злоумышленникам возможность для реализации отдельных кибератак на организацию, в том числе тех, в результате которых они смогут влиять на все внутренние технологические процессы организации.

Доступ администратора домена представляет собой самый высокий уровень прав в доменной среде, его получение даст злоумышленнику неограниченный контроль над всеми ресурсами, пользователями и настройками безопасности в рамках одного домена. Несмотря на значительное число хостов в домене (200 компьютеров), указанный revenue не так велик (100 000 $), что может являться причиной довольно низкой стоимости доступа (минимальная цена, установленная продавцом, составляет 200 $).

Однако жертвами становились и более крупные промышленные организации. Так, жертвой киберпреступников в апреле 2024 года стала масштабная организация, работающая в сфере нефтегаза и энергетики, с revenue более 50 млн $. RDP-доступ к ее инфраструктуре (с правами администратора домена) продавался злоумышленниками значительно дороже: стартовая цена составила 10 000 $. В эту стоимость также вошли:

• учетные данные 31 пользователя домена;

• учетные данные для доступа с правами администратора к ПО для управления серверами VMware vCenter;

• доступ к сетевому оборудованию;

• доступ к 20 внутренним камерам, транслирующим видеопоток в режиме реального времени.

По результатам анализа объявлений на теневых форумах, период H2 2024 – H1 2025 для промышленных организаций был в меньшей мере связан с получением финансовой выгоды киберпреступниками: преимущественно их действия были направлены на максимальную огласку инцидента. Например, в апреле 2025 года на одном из теневых форумов появилось объявление о взломе ключевых газовых сервисов Ирана и краже около 1,9 ТБ данных, составляющих доступы и документы. Ответственность за кибератаку взяла на себя группировка шифровальщиков Babuk2.

Наблюдаемые на теневых ресурсах объявления об успешном дефейсе веб-сайтов промышленных организаций также могут свидетельствовать о действиях хактивистов. Среди организаций, чьи веб-сайты подверглись дефейсу, — иранский производитель электроники и сталелитейная компания.

Последствия кибератак со стороны хактивистов и политически мотивированных киберпреступников, как правило, связаны с утечкой конфиденциальной информации и нанесением ущерба государству. Еще один пример подобного киберинцидента — взлом группировкой Anonymous PRANA Network инфраструктуры энергетической компании с последующим хищением 6 ГБ конфиденциальной информации — деловых документов о деятельности компании и электронных писем.

В целом промышленная отрасль была и остается одной из наиболее атакуемых в Иране, однако рассматриваемый период характеризовался обострением геополитических отношений, что повлияло на характер и методы воздействия на промышленные объекты.

За весь рассматриваемый период H2 2024 – H1 2025 почти в половине всех случаев (48%) киберпреступники использовали ВПО для реализации кибератак на организации Ирана, причем в 80% случаев использовались шифровальщики. В целом эта тенденция характерна не только для Ирана, но и для всего Ближнего Востока.

Второе место среди методов кибератак занимает эксплуатация уязвимостей: именно через этот вектор в октябре 2024 года была совершена серия кибератак на ядерные объекты и правительство Ирана. Их результатом стала не только утечка конфиденциальной информации, но и серьезные нарушения работы всех ветвей власти.

Использование шифровальщиков коррелирует с объектами кибератак, среди которых преобладает категория «Компьютеры, серверы и сетевое оборудование» (87%).

В топ-3 методов кибератак с долей 13% вошла компрометация учетных данных, что может быть косвенно связано с выросшей (с 20% до 46%) долей кибератак на веб-ресурсы. В условиях стремительного развития цифровой среды и появления множества новых сервисов для них может наблюдаться невысокая степень защищенности, связанная среди прочего с использованием небезопасных паролей и отсутствием многофакторной аутентификации.

Реализация злоумышленниками дефейсов и DDoS-атак может свидетельствовать об активной деятельности хактивистов в регионе, так как подобные методы являются основой их типичного арсенала. Подтверждением также может служить тот факт, что доля бесплатно раздаваемых БД превышает долю продаваемых (63% против 31%). Деятельность хактивистов преимущественно носит разрушительный характер, что выражается в проведении DDoS-атак и дефейсе популярных и значимых веб-сайтов. Вместе с тем хактивисты, как правило, не ищут финансовой выгоды, однако нацелены на максимальную огласку инцидента, вследствие чего стремятся бесплатно распространить украденные у организаций данные.

Распространение украденных данных на различных площадках (теневых форумах и в Telegram-каналах) — способ нанести косвенный ущерб атакованным организациям, часто включаемый в арсенал злоумышленников. Политическая мотивация злоумышленников также подчеркивается категориями атакованных отраслей: оборонный сектор, энергетика, государство.

Интересен факт, что все DDoS-атаки рассматриваемого периода, объявления о которых были найдены в дарквебе, относились к июню 2025 года. Они будут рассмотрены в соответствующем разделе настоящего исследования.

Преобладающей категорией последствий кибератак на организации Ирана, как и прежде (H1 2023 – H1 2024), является утечка конфиденциальной информации. За ней идет нарушение основной деятельности, что коррелирует с наиболее часто используемыми методом кибератак (ВПО) и типом ВПО (шифровальщики). Деятельность политически мотивированных группировок и хактивистов, активно распространяющих скомпрометированные данные, также вносит свой вклад в последствия кибератак.

На протяжении рассматриваемого периода наиболее частой добычей киберпреступников становились данные, составляющие коммерческую тайну (29%), и персональные данные (21%). Одинаково часто к злоумышленникам попадали учетные данные и данные платежных карт (по 14%). Такая статистика говорит о том, что на протяжении рассматриваемого периода организациям Ирана приходилось противостоять как финансово мотивированным злоумышленникам, так и хактивистам. Интерес первых связан в большей мере с учетными данными и данными платежных карт, поскольку эту информацию можно либо продать, либо воспользоваться ей для кражи денежных средств со счетов жертв. Хактивистам больше интересны персональные данные граждан и коммерческие сведения организаций.

Однако рассмотрение последствий кибератак по полугодиям демонстрирует их значительные различия: так, на 22 п. п. выросла доля нарушений основной деятельности компаний в результате киберинцидентов, а доля кибератак, последствием которых стал ущерб интересам государства, выросла на 15 п. п. Вместе с тем заметно сократилась доля утечек конфиденциальной информации (на 52 п. п.).

Рост числа кибератак, приводящих к нарушению основной деятельности и ущербу интересам государства, является следствием обострения геополитической напряженности во втором квартале 2025 года, сопровождающегося действиями хактивистов. В целом можно утверждать, что изменения в ландшафте киберугроз страны во многом отражают геополитические события, поскольку при исключении июньского периода ландшафт киберугроз Ирана будет близок к тому, что наблюдалось в период H1 2023 – H1 2024.

Однако методы кибератак, использованные, возможно, впервые в Q2 2025 сильно повлияют на будущие кибератаки в регионе и в мире, и на формирование цифрового ландшафта Ирана как совокупности нормативных и технологических мер, принятых в качестве ответа на эти атаки. Для выделения тенденций и прогнозирования будущих киберугроз обратимся к данным за июнь 2025 года.

Эксперты международной компании по кибербезопасности NSFOCUS отмечают, что пик кибератак на инфраструктуру Ирана наблюдался 10 июня 2025 года. Эти атаки охватили ряд социально значимых сфер, таких как финансы, медиа, интернет и телекоммуникации. Несмотря на то что в общедоступных данных увеличение числа атак в июне 2025 года не было столь заметно, данные теневого рынка гораздо четче отражают геополитическую ситуацию. В анализируемом периоде 41% всех объявлений пришелся именно на Q2 2025, и именно июнь дал наибольшее число объявлений (58% от всех объявлений второго квартала 2025 года).

Такая статистика подчеркивает важность одновременного анализа открытых и теневых источников для более глубокого понимания киберугроз и арсенала киберпреступников, атакующих Иран. Вместе с тем дарквеб предоставляет больший объем данных для анализа, включая сведения как о реализованных, так и о готовящихся кибератаках. Во многом это происходит за счет хактивистов, распространяющих сведения об успешных атаках.

В этом разделе рассмотрим следующие ключевые моменты:

• какие отрасли в большей мере оказались затронуты кибератаками;

• какие методы кибератак использовали атакующие;

• какие хакерские группировки участвовали в атаках и какие цели они могли преследовать.

Анализ открытых данных показал, что в 83% успешных кибератак пострадали организации финансового сектора. Так, кибератака группировки Predatory Sparrow (Gonjeshke Darande) на крупнейший банк Ирана привела к отключению части его инфраструктуры (интернет-банкинга, банкоматов и мобильных приложений), а также бензозаправок, обслуживаемых банком. Временная парализация ключевого элемента финансовой системы всей страны, а также подрыв доверия к иранским банкам и их цифровой инфраструктуре привели к разрушительным последствиям.

Всего через день после вышеуказанной атаки та же группировка атаковала иранскую криптовалютную биржу и вывела около 90 млн $, отправив средства на недоступные адреса блокчейна, что, по мнению экспертов консалтинговой компании Elliptic, фактически сожгло активы, сделав их возврат невозможным.

От июньских кибератак пострадало еще несколько иранских банков: их клиенты столкнулись с проблемами при доступе к своим счетам, что вынудило власти выдать предупреждения о необходимости снятия средств. Ответственность за кибератаку на один из банков взяла на себя хактивистская группировка Tapandegan.

На фоне обострения внешнеполитических конфликтов увеличивается значимость организаций СМИ. Они информируют население о ходе развития конфликтов и формируют общественное мнение, что делает их одними из первоочередных целей для кибератак со стороны группировок, импонирующих недружественным Ирану странам. Среди крупных июньских инцидентов — подмена видеопотока государственного телевидения: в ходе атаки транслировались кадры протестов 2022 года, а закадровый голос призывал людей выйти на улицы и выступить против режима.

Среди всех объявлений дарквеба второго квартала 2025 года на долю СМИ пришлась практически треть (30%). Если рассматривать отдельно июнь, в этом месяце к СМИ относились 53% объявлений. Среди них — дефейс веб-сайта новостного агентства, DDoS-атаки на иранские радиостанции и различные информационные порталы.

Одиннадцать процентов объявлений в дарквебе было связано с госучреждениями (и это вторая по частоте категория объявлений после СМИ).

В целом отраслевая картина кибератак за июнь 2025 года демонстрирует, что основными целями злоумышленников являлись объекты, имеющие высокую экономическую и репутационную значимость. Так, вывод из строя крупнейшего банка Ирана и последующий взлом криптовалютной биржи были призваны не только продемонстрировать уязвимость ключевых инфраструктурных объектов государственного значения, обслуживающих значительную часть населения, но и подорвать доверие к цифровым активам, особенно важным для Ирана в силу особенностей их экономики, во многом полагающейся на криптовалюту.

Массовый вывод из строя организаций СМИ также снижает доверие к государственным институтам и вместе с этим открывает возможности для реализации кибератак методами социальной инженерии, направленных на пользователей соцсетей, поскольку соцсети могу выступать не только как среда коммуникации, но и как новостная площадка, альтернативная СМИ.

Таким образом, можно отметить, что в период обострения геополитических отношений киберпространство становится площадкой для демонстрации наступательных возможностей и управления общественным мнением. Далее рассмотрим, какие методы использовали злоумышленники для реализации кибератак.

Атаки киберпреступников можно разделить на две большие группы:

1. Разрушительные атаки на инфраструктуру. Такие атаки могут иметь разные цели. Как правило, они направлены на одновременное нанесение максимального финансового и репутационного ущерба государству. DDoS-атаки, эксплуатация уязвимостей для получения доступа к подсистемам управления промышленных объектов, компрометация учетных данных для проникновения во внутренний периметр государственных и оборонных объектов — все это разрушительные атаки.
2. Атаки, направленные на формирование общественного мнения (информационные кампании). Как правило, подкрепляют разрушительные атаки за счет намеренного внесения хаоса и распространения дезинформации. В таких атак на Иран в июне 2025 года отмечены случаи использования искусственного интеллекта в сочетании с методами социальной инженерии.

Анализ открытых данных показал, что примерно 63% июньских кибератак привели к нарушению основной деятельности иранских организаций, почти в половине случаев злоумышленники использовали ВПО для их реализации. Согласно данным из дарквеба, высокую долю среди результатов разрушительных атак занимают DDoS — 33% среди всех категорий объявлений за Q2 2025 год и 55% среди всех категорий объявлений июня.

Следует отметить, что именно категория «Заявление» преобладала в Q2 2025 года среди всех типов объявлений, составив долю в 57%. Это подтверждает предположение об активной деятельности хактивистов в исследуемый период. Кроме того, это характеризует современное течение геополитических конфликтов: они сопровождаются атакующими действиями не только в реальном мире, но и в киберпространстве. Примкнуть к той или иной стороне могут как проправительственные группировки, так и отдельные хакеры, которые также могут объединяться в группы в соответствии со своим мировоззрением и целями.

Кибератаки также затрагивали телекоммуникационную инфраструктуру, лишая граждан Ирана связи и доступа к веб-сайтам операторов, что вызвало недовольство внутри страны.

Для противодействия кибератакам правительство Ирана практически полностью отключило интернет: по оценкам Cloudflare, национальный интернет-трафик сократился на 97%. Эта мера была призвана защитить население от киберугроз, но вместе с тем она лишила жителей доступа к важным услугам и информации. Таким образом, массовые разрушительные кибератаки не только напрямую, но и косвенно затрудняли многие цифровые процессы в стране.

В подавляющем большинстве случаев (68%) жертвами DDoS-атак в июне становились организации СМИ, что как раз вынуждало иранцев обращаться к соцсетям для получения информации о ходе конфликта.

Отмечались случаи активного распространения дезинформации в соцсетях, в них преимущественно использовались старые фотоматериалы. Атакующие пытались выдать их за фото с якобы текущих антиправительственных протестов. Например, в соцсетях было опубликовано изображение якобы сбитого иранского беспилотника, которое на самом деле относилось к старому инциденту.

Эксперты компании Radware отмечают тенденцию к распространению фейковых медиа-материалов, сформированных среди прочего с применением искусственного интеллекта. Опасность такого вектора кибервоздействий заключается в высокой схожести синтетического контента с реальными фото и видео, а также в его вирусном распространении в соцсетях. Такие воздействия носят скоординированный и стратегический характер, они направлены на подрыв общественного доверия к власти, формирование у сторонних наблюдателей определенного мнения о ходе конфликта, манипуляцию политическими нарративами за рубежом.

Далее рассмотрим, какие именно группировки киберпреступников наиболее активно проявили себя в июне 2025 года.

NSFOCUS выделяет следующие группировки, замеченные в июньских кибератаках: Islamic Hacker Army (43,75% составляет доля кибератак, реализованных этой группой), Unknowns cyber team (31,25%), Predatory Sparrow (12,5%), Blackswamp (6,25%) и Jetimbek (6,25%). Преимущественно группировки являются хактивистскими, что также характерно для обострения внешнеполитического конфликта и его отражения в киберпространстве.

Анализ дарквеб-форумов и Telegram-каналов демонстрирует похожую статистику по лидерам, однако они следуют в другом порядке: наибольшее число объявлений в дарквебе исходило от Unknowns cyber team (60%), доли объявлений Predatory Sparrow и Islamic Hacker Army примерно одинаковы (по 9%), 8% пришлось на долю Anonymous Syria Hackers.

С Unknowns cyber team связаны почти все июньские DDoS-атаки на СМИ. Predatory Sparrow, помимо объявлений о кибератаках на крупнейший банк и криптовалютную биржу, активно распространяли различные базы данных и доступы к госучреждениям Ирана.

Следует отметить, что группировка следует одному из ключевых трендов развития теневого рынка, а именно к переходу на публичные платформы для большего охвата, в частности на Telegram и X.

Islamic Hacker Army по большей части сосредоточились на DDoS-атаках на госучреждения. Атаки Anonymous Syria Hackers были в меньшей мере направлены на нанесение ущерба стратегическим объектам: их атаки, скорее, носили массовый характер с целью затронуть как можно больше иранских объектов, что расширяет ландшафт киберугроз. Среди их жертв — иранская IT-компания, образовательная платформа и другие.

Интересно, что в дарквебе в других кварталах рассматриваемого периода (Q3 и Q4 2024, Q1 2025) активности Unknowns cyber team, Predatory Sparrow и Islamic Hacker Army не было зафиксировано, что позволяет сделать вывод об их геополитической атрибуции и характере деятельности, проявляющейся при обострении межгосударственных конфликтов.

Иран — одна из ключевых стран Ближнего Востока по уровню развития технологий. Уникальные экономические условия, к которым пришлось адаптироваться государству, создали основу для того, чтобы страна заняла лидерские позиции в цифровой экономике. А государственные меры, направленные на превращение Ирана в технологический центр Ближнего Востока, масштабны и охватывают сразу несколько значимых направлений: образование, науку, нормативную регуляцию развивающихся технологий (в частности искусственного интеллекта), импортозамещение и высококачественное техническое оснащение государства, обеспечение целостности его цифрового суверенитета.

Все эти действия в совокупности также направлены на защиту ключевых объектов государственной инфраструктуры от киберугроз, однако непростые геополитические взаимоотношения Ирана с рядом стран существенно усложняют эту задачу. Ландшафт киберугроз формируется в условиях технологической гонки между Ираном и атакующими его сторонами, и это происходит быстрее, чем успевают подействовать все предпринимаемые государством меры (повышение цифровой грамотности населения и обучения его аспектам работы с ИИ, создание и внедрение новых технологий киберзащиты и т. п.).

Июнь 2025 года сильно повлиял на ландшафт киберугроз Ирана, и выводы об использованных методах кибератак, несомненно, должны быть учтены в будущем. Для государства целесообразно говорить о будущих киберугрозах в двойном ключе: в случае отсутствия обострений внешнеполитических отношений и в случае их присутствия. Прогнозы в части будущих киберугроз связаны с атакуемыми отраслями, методами и техниками кибератак:

1. Использование технологий ИИ в кибератаках продолжится, и, несмотря на то что массовая генерация фишинга и создание дипфейков — это общемировой тренд, такие атаки будут особенно значимы для Ирана ввиду преобладающей доли молодого населения, активно использующего соцсети и цифровые сервисы. Предположительно, именно на эту группу населения будут нацелены подобные кибератаки. Вместе с тем следует ожидать использования злоумышленниками ИИ для генерации и модификации вредоносного кода, что особенно опасно в условиях роста числа успешных кибератак с использованием ВПО. Опасность кибератак с использованием ИИ подчеркивается тем, что классические механизмы защиты далеко не всегда справляются с ними.
2. Финансовая отрасль останется одной из наиболее атакуемых, поскольку последние кибератаки продемонстрировали заинтересованность злоумышленников в атаках на криптовалютные объекты (что соответствует прогнозу о развитии киберугроз, сформированному на основе данных периода 2021 – H1 2024). Следует ожидать активизации как финансово мотивированных киберпреступников, так и хактивистов и проправительственных хакерских группировок. Это объясняется тем, что финансовые организации хранят большой объем данных, которые могут быть монетизированы злоумышленниками. Вместе с тем успешные кибератаки на криптовалютную биржу показали, что криптовалюты в кризисные моменты ведут себя как рискованные активы, а не как защитные средства сбережения. Поэтому атаки на криптовалютные организации могут быть использованы злоумышленниками еще и как рычаг давления на общественные настроения в стране и для подрыва доверия к правительству.
3. Следует ожидать увеличения числа кибератак на объекты транспортной отрасли, в частности морские. Инциденты марта 2025 года продемонстрировали уязвимость таких объектов к кибервоздействиям, а их высокая значимость для оборонной отрасли и торгово-экономических отношений будут привлекать злоумышленников, в том числе хактивистов и проправительственные группировки других стран.
4. Доля кибератак с использованием шифровальщиков, предположительно, будет расти, превышая долю вайперов. Это связано с тем, что шифровальщики позволяют злоумышленникам не только получать ценную информацию, но и парализовывать операционные процессы. Все вместе это дает финансовую выгоду и позволяет нанести компаниям репутационный ущерб. В пользу данной гипотезы также говорит ориентированность теневого рынка на коммерческую модель распространения ВПО, когда разработчики и группы злоумышленников монетизируют свои инструменты в ответ на спрос покупателей на готовые решения.

Рекомендации по повышению уровня киберзащищенности Ирана учитывают специфику региона как в части цифрового ландшафта, так и в части ландшафта киберугроз, носят комплексный характер и охватывают нормативные и технологические меры:

1. Реагирование на киберугрозы должно учитывать разнообразие киберпреступных группировок, атакующих Иран, и различия в их намерениях. Наличие не только внешних, но и внутренних групп киберпреступников, часто имеющих политические намерения, требует особенного подхода к защите, в частности в периоды значимых социальных событий: в период выборов, реформ, переговоров, обострения внешних и внутренних конфликтов. Следует контролировать состояние ключевых объектов инфраструктуры страны, нарушение работы которых способно вызвать кризис внутри государства.
2. Стратегии кибербезопасности должны сочетать межведомственную координацию, раннее предупреждение и прогнозирование кибератак, а также быть направленными на межгосударственное сотрудничество для совместной киберобороны и обеспечения гибкого реагирования на сложные и быстро меняющиеся угрозы. Уверенное движение страны в этом направлении подчеркивается подписанием Договора о всеобъемлющем стратегическом партнерстве между Россией и Ираном.
3. Регулярное формирование и обновление списка недопустимых событий с учетом прошлых успешных кибератак на крупные объекты ключевых отраслей, выделение наиболее ценных ресурсов и концентрация усилий по защите на них.
4. Использование современных решений для защиты от киберугроз, позволяющих управлять инцидентами безопасности (решения класса incident management, включая SIEM) и своевременно обнаруживать кибератаки на ранней стадии за счет анализа сетевого трафика, в том числе промышленных протоколов в связи с тем, что промышленная отрасль стабильно остается одной из самых атакуемых в Иране. Вместе с тем следует обратить внимание на решения, использующие виртуальную среду для анализа программного обеспечения, с учетом роста числа кибератак с применением ВПО.
5. В условиях стремления Ирана стать технологическим центром всего Ближнего Востока, сопровождающегося масштабным созданием программных решений и интеллектуальных платформ, целесообразно уделять должное внимание процессу безопасной разработки с использованием решений класса application inspector для статического анализа исходного кода, позволяющих выявлять возможные уязвимости и дефекты еще на стадии разработки ПО.