Ландшафт киберугроз в Иране: 2021 - H1 2024

Активное цифровое развитие Исламской Республики Иран (Иран), направленное на обеспечение цифрового суверенитета государства, реализуется в условиях непрерывных киберугроз глобального характера, необходимости импортозамещения цифровых платформ и сервисов, создания функциональных программно-аппаратных решений для обеспечения киберустойчивости инфраструктуры.

На государственном уровне в Иране внедряются меры, позволяющие обеспечивать киберустойчивость всей информационной инфраструктуры независимо от внешнего влияния. Используемые меры носят комплексный характер, за счет чего реализация собственной информационной политики с использованием национальной информационной сети, цифровизация правительства, создание собственных цифровых платформ и сервисов происходят не только с учетом собственного уникального опыта Ирана, но и при тесном сотрудничестве с дружественными странами.

В этом исследовании рассматривается состояние кибербезопасности в Иране с учетом геополитической специфики государства и частично в сравнении с другими странами Ближнего Востока.

Задачи исследования:

• оценить ландшафт кибербезопасности за период с 2021-го по первое полугодие 2024 года;

• выделить характерные для региона тенденции киберугроз;

• предложить рекомендации по повышению уровня кибербезопасности для правительства, бизнеса и частных лиц.

Исследование содержит данные об актуальных угрозах информационной безопасности в Иране, сформированные на основе внутренней экспертизы компании Positive Technologies, данных дарквеба и информации из авторитетных источников.

Исследование направлено на привлечение внимания как организаций, так и частных лиц Ирана, интересующихся современным состоянием информационной безопасности, к наиболее актуальным методам и мотивам кибератак. Оно также преследует цель выявления ключевых тенденций в изменении ландшафта киберугроз.

В рамках исследования каждая массовая атака, включающая, например, фишинговую рассылку на множество адресов, рассматривается как одно событие, а не как несколько отдельных инцидентов. Термины, использованные в исследовании, приведены в глоссарии на сайте Positive Technologies.

Государству приходится действовать сразу на трех киберфронтах: противодействовать кибератакам зарубежных APT-группировок, спонсируемых разными государствами; нейтрализовывать действия хактивистов, направленные на дестабилизацию обстановки внутри государства, и бороться с финансовым кибермошенничеством.

APT-группировки представляют собой группы высококвалифицированных хакеров, совершающих многоэтапные и тщательно спланированные кибератаки, направленные на конкретную компанию, отрасль экономики или группу отраслей. Их цель — получение конфиденциальной информации, значимой для политической, экономической и военной отраслей, а также нанесение повреждений значимой инфраструктуре отдельных государств. APT-группировки преимущественно атакуют организации, реже — определенную категорию частных лиц. Они сочетают использование методов социальной инженерии и широкого арсенала вредоносного ПО. Преобладающая категория воздействий — кибершпионаж. Активными действиями в регионе за рассматриваемый период (с 2021-го по первое полугодие 2024 г.) отмечены такие APT-группировки, как APT15, Bahamut, Molerats и Desert Falcons.

APT15 (Playful Taurus, BackdoorDiplomacy, Vixen Panda, KeChang, NICKEL) — группировка предположительно китайского происхождения. Ключевые цели — правительственные организации, посольства и разные секторы экономики различных стран. В контексте атак на Иран деятельность группировки была зафиксирована в начале 2023 года, а реализуемая группировкой кампания по кибершпионажу, направленная на иранское правительство, была реализована между июлем и декабрем 2022 года.

APT-группа Bahamut действует преимущественно в Южной Азии и на Ближнем Востоке, реализуя среди прочего и хакерские атаки на заказ. Группировка специализируется на кибершпионаже и для достижения своих целей использует поддельные приложения и spearphishing-рассылки. В арсенале группы есть ПО собственной разработки, она также участвует в создании вредоносных приложений для мобильных устройств под управлением Android и iOS и их распространении через Google Play и App Store.

Группировки Molerats (Gaza Hackers, TA402, Extreme Jackal) и Desert Falcons (APT-C-23) часто атакуют государственный и военный секторы, СМИ и топливно-энергетический комплекс. Деятельность Desert Falcons также затрагивает транспортную отрасль и организации сферы науки и образования, а деятельность Molerats — промышленный сектор. Некоторые исследователи считают Desert Falcons группой кибернаемников, проводящих кампании по кибершпионажу на Ближнем Востоке. Исследователи отмечают, что в своих кибератаках Molerats часто используют геополитическую и военную темы, чтобы заставить пользователей открывать вложения Microsoft Office и переходить по вредоносным ссылкам. Обе группировки обладают собственным арсеналом вредоносного ПО, но могут использовать и распространенные вредоносы для удаленного управления.

По данным общедоступных источников, среди хактивистских группировок в Иране действуют группы Black Reward, Tapandegan, Edalat-e Ali, GhostSec, Ghyamsarnegouni, Gonjeshke Darande и WeRedEvils.

При построении ландшафта киберугроз рассмотрены два объединенных периода: с 2021 по 2022 год и с 2023 по конец первого полугодия 2024 года. Динамика числа успешных кибератак показывает, что злоумышленники чаще атаковали организации (71% в оба периода) и реже — частных лиц (29% в оба периода).

Статистика по данным дарквеба также говорит о преобладающем векторе кибератак на организации: за период 2023–2024 годов 94% объявлений затронули организации и только 6% — частных лиц. Это можно связать с тем, что объявления в дарквебе часто публикуются с целью получения финансовой выгоды, а организации с большей вероятностью заплатят требуемую сумму за свои операционные активы.

Преобладающим методом реализации кибератак на организации и частных лиц, как и во всем ближневосточном регионе, остается использование вредоносного ПО.

За последний год во всем ближневосточном регионе отмечается рост доли кибератак, реализуемых методами социальной инженерии (на 29 п. п.) и эксплуатации уязвимостей (на 8 п. п.).

Снижение доли DDoS-атак можно объяснить тенденцией к увеличению числа финансово мотивированных киберпреступлений и хактивизма: кражу конфиденциальных данных или шифрование данных компании можно монетизировать, в отличие от вывода из строя веб-ресурса или компонентов инфраструктуры.

В Иране за период с 2023-го по первое полугодие 2024 года заметен небольшой рост доли использования легального ПО при реализации кибератак. Так, в 2023 году злоумышленники инфицировали установщики VPN-сервиса 20SpeedVPN, распространяя через него вредонос EyeSpy, разработанный с использованием компонентов легитимного приложения для мониторинга и родительского контроля SecondEye. В том же году группа иранских хактивистов Black Reward взломала финансовое приложение 780 (используется для цифровых транзакций), чтобы разослать антиправительственные сообщения.

Доля шпионского ПО оказалась преобладающей в Иране за весь период наблюдения: ее рост в 2023–2024 гг. составил 19% по сравнению с периодом 2021–2022 гг. До 20% выросла доля банковских троянов.

В 2024 году в рамках исследования угроз информационной безопасности (threat intelligence) специалистами PT Expert Security Center была зафиксирована активность банковского трояна Dridex, способного скрывать свое присутствие на зараженных им устройствах, на территории Ирана. Инфицированные трояном устройства встраиваются в модульную бот-сеть, в которой вредоносные характеристики могут быть добавлены к ним через модули или библиотеки. Среди функций Dridex — возможность встраивания кода без вызова подозрительных API для сокрытия от систем мониторинга. Вредоносное ПО распространяется в архиве через CDN Discord'a. Из архива извлекаются два файла, один из которых — легитимный Oleview.exe, другой файл — DLL с вредоносом. Эта DLL внедряется в работу исполняемого файла. Во время работы вредоносная DLL пытается подгрузить через функцию LoadLibrary два приложения с фиксированными названиями (self.exe, testapp.exe).

Региональной особенностью является применение злоумышленниками вайперов (вредоносного ПО, удаляющего данные). Вайперы удаляют пользовательские и системные файлы, что позволяет среди прочего вывести из строя оборудование. Наибольшую опасность несет попадание вайпера на устройства АСУ ТП и в инфраструктуру промышленных систем, оснащенную IoT-устройствами. За последний год доля использования вайперов по всему Ближнему Востоку выросла с 3% до 8%, что позволяет предположить их активное использование и в Иране.

В феврале 2024 года хакерская группировка GhostSec выложила в дарквебе объявление, демонстрирующее, по их словам, результат кибератаки на иранский сталелитейный завод. Злоумышленники утверждали, что им удалось украсть 100 метрик IoT-устройств и удалить все данные с панелей управления. Характер такой кибератаки, если она действительно имела место, позволяет заподозрить не только эксплуатацию уязвимостей IoT-устройств, но и использование вайпера.

Активизация киберпреступников в регионе характеризовалась увеличением случаев кибератак с использованием шифровальщиков. Среди пострадавших от вымогателей — промышленная компания, онлайн-университет и платформа обмена цифровой валютой.

Доля кибератак, реализованных хактивистами, в Иране преобладает для обоих рассматриваемых периодов, несмотря на то что в 2023–2024 гг. она снизилась на 15 п. п. 

Хактивисты, действующие в Иране, атакуют преимущественно государственные организации (42% и 40% кибератак хактивистов за соответствующие периоды были направлены на госучреждения). Среди методов воздействия преобладают DDoS-атаки на веб-сайты организаций и их дефейс. Хактивисты активно используют дарквеб как площадку для размещения объявлений. По данным собственной экспертизы Positive Technologies, полученной путем анализа теневых площадок, для Ирана зафиксирована активность 25 преступных групп. Преобладают доли объявлений авторства группы хактивистов Arvin Club (21%), группировки YourAnonUKRIR (16%), финансово мотивированной группировки Ares и хактивистов GhostSec (по 8%). Предположительно, для Arvin Club и YourAnonUKRIR активная публикация в дарквебе — часть имиджевой кампании, в рамках которой группировки стремятся продемонстрировать свои кибервозможности, а GhostSec, в последнее время реализующая двойные кибератаки с вымогательством (с использованием собственной системы ransomware-as-a-service), осваивает площадку дарквеба для финансовой выгоды.

Группировка Arvin Club, позиционирующая себя как группа оппозиционных хактивистов, активно использует программы-вымогатели. В 2021 году они совершили кибератаки на один из иранских банков и на иранский образовательный мессенджер. Группа активно публикует объявления в дарквебе, все объявления подпадают под категорию ransomware.

Деятельность хактивистских группировок Gonjeshke Darande (другое название – Predatory Sparrow, группировка предположительно израильского происхождения) и WeRedEvils также носит политический характер. Кибератаки Gonjeshke Darande были направлены на промышленные объекты (сталелитейные заводы в Иране и завод химической промышленности), железнодорожную инфраструктуру Ирана, автозаправочные станции и на одно из иранских министерств. WeRedEvils отметилась многочисленными кибератаками на промышленную и телекоммуникационную инфраструктуры, в частности, осуществив взлом системы управления проектами нефтяной инфраструктуры Ирана.

Статистика по данным, собранным с теневых площадок, показывает, что за период с 2023-го по первое полугодие 2024-го почти в половине (47%) объявлений киберпреступники публиковали новости о взломе той или иной организации; 24% объявлений касались продажи украденных данных (баз данных и доступа к инфраструктуре организаций). Еще в 22% случаев они публиковали объявления о бесплатной раздаче украденных данных.

Увеличение доли утечек (с 32% до 70%) за период 2023–2024 гг. предположительно связано с активизацией киберпреступников, стремящихся монетизировать скомпрометированные данные.

Среди организаций за оба рассматриваемых периода наиболее часто атаковали государственные учреждения: 33% составила доля кибератак в 2021–2022 гг. и 35% — в 2023–2024 гг. Значительный рост числа кибератак наблюдался в отношении финансовых организаций. Отмечается рост числа кибератак на отрасль телекоммуникаций — на 6 п. п., отрасль науки и образования, а также на онлайн-сервисы (с 4% до 6% для обеих категорий).

Статистика по данным дарквеба показывает, что предприятия промышленности лидируют (18%) среди категорий организаций, успешно атакованных в 2023–2024 гг. Следом располагаются организации сферы услуг (14%), госучреждения (12%) и организации сектора науки и образования (12%).

Расхождение наиболее атакуемых категорий по данным из дарквеба и данным открытых источников может быть связано с тем, что первоочередная цель авторов объявлений на теневых площадках — получение финансовой выгоды. Все вышеперечисленные категории организаций хранят большой объем конфиденциальной информации, кражу которой киберпреступники могут выгодно монетизировать. В случае с промышленными организациями киберпреступники также могут монетизировать доступ к инфраструктуре.

Кибератаки на государственные учреждения Ирана за рассматриваемый период были реализованы преимущественно хактивистами и APT-группировками. Ключевыми последствиями таких кибератак стали нарушение основной деятельности и утечка конфиденциальных данных. Среди групп хактивистов, которые атаковали государственные организации, нарушая их работу и публикуя скомпрометированные данные, отмечены Black Reward, Edalat-e Ali,Tapandegan, Ghyamsarnegouni и KromSec.

Так, группировка Black Reward угрожала обнародовать документы по ядерной программе Тегерана. Edalat-e Ali атакует государственные объекты и публикует антиправительственные сообщения, секретную информацию и видеозаписи. Хактивисты Ghyamsarnegouni атаковали службу телевещания, и некоторые государственные учреждения Ирана.

Группа хактивистов KromSec участвовала в ряде громких кибератак, включая продажу базы данных некоторого иранского министерства в дарквебе.

В результате DDoS-атаки хактивистов, предположительно из группы Anonymous, были выведены из строя веб-сайты иранского банка, национального портала правительства и нескольких сайтов государственных СМИ. Кибератака на муниципалитет Ирана якобы привела среди прочего к взлому около 5000 камер, используемых для контроля дорожного движения.

Данные, связанные с оборонной деятельностью государства, в 2024 году утекли в результате кибератаки на одну из иранских компаний. Группа хакеров PRANA Network утверждала, что взломала серверы электронной почты компании и получила доступ к базе данных, содержащей информацию о финансовой инфраструктуре компании, о флоте, операциях сбыта нефти и процессах регазификации, а также данные о ключевых сотрудниках компании.

Реализация недопустимых событий в госсекторе особенно опасна, поскольку может привести к дестабилизации социальных и экономических структур, создать напряженную внутриполитическую обстановку, подорвать доверие граждан к государственным цифровым сервисам, вынуждая их отказываться от их использования и тем самым увеличивая расходы на государственное управление.

На финансовые организации Ирана за период 2023–2024 гг. пришлось 24% всех кибератак. Злоумышленников преимущественно интересовало получение денежной выгоды. Реализация недопустимых событий для банков, страховых и инвестиционных компаний, криптовалютных бирж может привести к серьезному денежному ущербу и к потере значительного числа клиентов, поэтому реализация защиты финансовых организаций от киберугроз крайне важна.

В качестве примера кибератаки на финансовые организации можно привести атаку на страховые компании Ирана. 20 декабря 2023 года хакер под псевдонимом irleaks опубликовал в дарквебе объявление о продаже более 160 000 000 записей с данными из 23 ведущих страховых компаний страны. Образец данных, обнаруженный Hudson Rock, включал номера паспортов и другие конфиденциальные сведения. Исследователи Hudson Rock подтверждают, что данные выглядят подлинными, и отмечают, что провести атаку на такое количество страховых компаний крайне сложно.

Группировка WeRedEvils в своем Telegram-канале опубликовала объявление о взломе иранского банка, отметив, что они украли персональные и платежные данные клиентов банка, в частности номера и ПИН-коды кредитных карт.

Шпионская кампания против банков, обнаруженная исследователями Sophos X-Ops в 2023 году, направленная на несколько иранских банков, в том же году продолжилась. Ее очередной виток был направлен уже на расширенный список банков, однако характер функционирования новой версии вредоносного ПО может в дальнейшем иметь последствия и для частных лиц: ПО собирало информацию об установленных на устройстве пользователя приложениях, в частности о наличии нескольких приложений для криптовалютных кошельков. Исследователи предполагают, что эти криптовалютные кошельки будут атакованы в ближайшем будущем.

Нельзя не отметить масштабную кибератаку, произошедшую за рамками исследуемого периода — 14 августа 2024 года, и затронувшую 20 из 29 действующих кредитных организаций Ирана. В результате кибератаки злоумышленники завладели огромным количеством конфиденциальных данных с индивидуальных счетов клиентов банковских организаций.

В результате кибератак на промышленные организации злоумышленники нарушали технологические процессы и получали доступ к внутренним системам управления, к данным о сотрудниках и операционной деятельности организаций.

В 2022 году кибератака повредила промышленную инфраструктуру некоторых иранских компаний. Злоумышленники развернули Kali Linux, который позволяет атаковать платформы операционных технологий, проэксплуатировали выявленные уязвимости с использованием Metasploit и организовали Modbus-атаку на программируемые логические контроллеры.

Деятельность хактивистских группировок GhostSec и Gonjeshke Darande также часто затрагивала промышленную инфраструктуру Ирана. В 2022 году кибератака Gonjeshke Darande нарушила технологические процессы трех сталелитейных заводов. На одном из заводов злоумышленникам удалось обрушить ковш с жидким чугуном, что вызвало пожар в цехе.

Еще одна хактивистская группировка в 2023 году взломала систему управления проектами нефтяной инфраструктуры Ирана. В апреле 2024 года GhostSec атаковала промышленную компанию, занимающуюся производством электрических панелей, получив доступ к SCADA-системе.

Хактивисты ArvinClub опубликовали в дарквебе объявление о продаже данных, полученных, по их словам, в результате взлома 20 000 почтовых адресов иранской нефтехимической корпорации. В дарквебе также встречаются объявления о продаже/раздаче данных промышленных компаний (например, данных инженерной фирмы и энергетической компании).

Телекоммуникационная инфраструктура Ирана также пострадала от действий хактивистов. В 2023 году злоумышленники атаковали иранского мобильного оператора, которому пришлось приостановить свою деятельность на 12 часов. Также группировке удалось взломать телекоммуникационную инфраструктуру Ирана и вызвать серьезные нарушения в работе интернета во всей республике.

В 2024 году кибератаке подверглось одно из иранских министерств, в результате чего веб-сайты госучреждения не работали или выдавали ошибку 403. По словам хактивистов, им удалось получить конфиденциальные данные, которые были переданы израильскому правительству.

Защита телекоммуникационной отрасли от киберугроз требует особого внимания, поскольку реализация недопустимых событий для таких объектов способна привести к нарушениям работы интернета на уровне всего государства.

С 2023 года по первое полугодие 2024-го вектор кибератак злоумышленников сместился в сторону компьютеров, серверов и сетевого оборудования (доля таких объектов кибератак составила 47% в 2023-2024 гг.).

Для веб-ресурсов в период 2021–2022 гг. наблюдались преимущественно кибератаки типа «отказ в обслуживании» и эксплуатация уязвимостей веб-серверов, которая позволяла нарушителям размещать на атакуемых сайтах собственный контент (выполнять дефейс).

В 2021 году хактивистская группировка Gonjeshke Darande вывела из строя веб-сайт, билетные кассы и грузовые службы железнодорожного сообщения в Иране.

Для всего ближневосточного региона характерны кибератаки на IoT-устройства, и следует отметить, что по числу IoT-устройств Иран занимает первое место среди стран Ближнего Востока.

Значительное число успешных кибератак на промышленные организации (17% и 11% за 2021–2022 гг. и 2023-2024 (первое полугодие) гг. соответственно), предположительно, обусловлено активным использованием в промышленной инфраструктуре IoT-устройств, которые на практике часто оказываются слабозащищенным и уязвимым звеном инфраструктуры.

Самым распространенным методом кибератак в Иране для организаций и частных лиц в совокупности является использование ВПО (63%). Оно же является и самым распространенным методом отдельно для организаций, составляя 36% от общего числа методов кибератак. В декабре 2021 года исследователи из Amnpardaz обнаружили руткит iLOBleed, который скрывается в прошивке устройств HP iLO. Он был использован в реальных атаках для выведения из строя серверов различных иранских организаций.

В конце 2023 года была совершена массированная кибератака на иранскую компанию по онлайн-заказу еды. Исследователи компании Hudson Rock обнаружили, что компьютер одного из сотрудников был заражен стилером StealC, что, предположительно, привело к тому, что многие конфиденциальные учетные данные организации стали доступны некоторым хакерам и могли быть использованы в качестве первоначального вектора атаки на компанию. 30 декабря на рынке киберпреступлений было опубликовано объявление о продаже 3 ТБ данных пользователей компании. Данные включали в себя электронные адреса, пароли, номера телефонов, адреса проживания и данные кредитных карт пользователей.

Специалисты PT Expert Security Center в июне 2024 года в рамках исследования угроз информационной безопасности (threat intelligence) выявили использование в Иране стилера AgentTesla, который распространяется по модели malware-as-a-service — то есть злоумышленники могут арендовать или купить это вредоносное ПО для реализации своих целей. AgentTesla выполняет функции кейлоггинга, захвата экрана, сбора информации из браузера, почтовых клиентов и FTP.

В 2024 году в процессе реагирования на инцидент команда PT Expert Security Center обнаружила у одного из клиентов ранее неизвестный кейлоггер, который был встроен в главную страницу Microsoft Exchange Server и собирал вводимые данные учетных записей в файле, доступном по специальному пути из интернета. В результате анализа было обнаружено более 30 жертв, большинство из которых относятся к правительственным структурам разных стран, преимущественно африканского и ближневосточного регионов. Все жертвы были уведомлены о компрометации.

Устройства под управлением Windows в Иране также активно атакуются злоумышленниками с использованием RAT (средств удаленного доступа). В 2024 году была зафиксирована активность таких вредоносов, как Millenium RAT и Xeno RAT.

Millenium RAT представляет собой сложное средство удаленного доступа, реализованное на языке C# и нацеленное на системы Windows. Это вредоносное ПО реализует широкий набор функций для скрытного сбора конфиденциальных пользовательских данных, обхода обнаружения с помощью передовых методов антианализа, обеспечения стойкости к обнаружению и удаленного контроля над взломанной системой. Зловред способен выполнять эксфильтрацию данных, собирать системную информацию, реализовывать тактику уклонения от обнаружения в средах песочницы, противодействовать отладке, нарушать работу процессов, запускать механизмы самоуничтожения и удаленно выполнять команды через платформу Telegram. Кроме того, вредоносное ПО специализируется на перехвате данных браузера, токенов Discord, нажатий клавиш и системной информации.

Xeno RAT также разработан на языке C# и ориентирован на устройства под управлением операционных систем Windows, в частности Windows 10 и Windows 11. Функции Xeno RAT включают обратный прокси-сервер SOCKS5, возможность записи аудио в реальном времени, а также интеграцию модуля скрытого виртуального сетевого вычисления (hVNC), который позволяет злоумышленникам получать удаленный доступ к зараженному компьютеру.

Специалисты PT Expert Security Center отмечают, что при реализации кибератак на веб-ресурсы в 2024 году злоумышленники активно использовали вредоносное ПО FormBook. Оно внедряется в различные процессы, записывает нажатие клавиш и извлекает информацию из HTTP-сессий жертвы. К функциям программы также относятся логирование нажатий клавиш, мониторинг буфера обмена, получение информации из HTTP/HTTPS/SPDY/HTTP2-форм, кража паролей из браузеров и почтовых клиентов и снятие скриншотов.

FormBook обеспечивает выполнение команд, поступающих от сервера злоумышленников, среди которых: загрузка и запуск файлов; запуск процессов; запуск команд через ShellExecute; очистка файлов cookies браузера; сбор паролей; создание снимков экрана; загрузка и распаковка ZIP-архивов; завершение работы или перезагрузка системы. Одной из наиболее интересных функций FormBook является считывание модуля Windows ntdll.dll и прямой вызов его функций, что делает перехват на уровне пользователя неэффективным. FormBook также способен случайным образом менять путь, имя и расширение файла и раздел реестра, используемый для сохранения, чтобы обеспечить себе долгое присутствие в системе.

Если период 2021–2022 гг. для организаций преимущественно характеризовался действиями хактивистов и APT-группировок, направленными на нанесение ущерба информационной и промышленной инфраструктуре Ирана, то в период с 2023-го по первое полугодие 2024 года организации чаще атаковались с целью кражи конфиденциальной информации.

В период 2021–2022 гг. действия злоумышленников, преимущественно направленные на государственные учреждения, чаще всего приводили к нарушению основной деятельности иранских организаций и к ущербу интересам государства (по 41%). Однако в 2023–2024 гг. преобладающей категорией последствий стала утечка конфиденциальной информации (68%), а доли нарушений основной деятельности и ущерба интересам государства снизились на 23 и 32 п. п. соответственно.

В период 2021–2022 гг., отмеченный высокой активностью хактивистских и APT-группировок в регионе, чаще всего утекали данные переписки (37%) и персональные данные (26%).

Согласно данным из дарквеба, в периоде с 2023–го по первое полугодие 2024-го лидировала доля объявлений с результатами успешных кибератак на организации и частных лиц (47%), что также говорит о деятельности хактивистов, стремящихся предать огласке успешно реализованные кибератаки.

Увеличившуюся более чем двукратно долю киберпреступлений (с 12% до 27%) можно связать с кибератаками на финансовые организации и с целью злоумышленников получить выгоду. Активность киберпреступников в 2023-м — 2024-м (первое полугодие) повлияла на динамику числа утечек конфиденциальных данных: их доля увеличилась с 32% в 2021–2022 гг. до 70%. Чаще всего в 2023–2024 гг. злоумышленники продавали в дарквебе данные, утекшие из организаций промышленности (22%), сферы услуг (19%), торговли и госучреждений (по 11%), телекоммуникаций и финансовых учреждений (по 7%).

Среди всех утечек лидирует категория персональных данных (36%), далее идет категория сведений, составляющих коммерческую тайну (29%). Примерно в 25% объявлений в дарквебе киберпреступники продают персональные данные, утекшие либо от организации, либо от частных лиц, что подтверждает приведенную статистику.

За оба рассматриваемых периода большая часть кибератак затрагивала именно госучреждения: более 30% всех кибератак пришлось именно на эти организации. Согласно данным из дарквеба на 2023–2024 гг., госучреждения входят в тройку лидирующих категорий организаций по числу утечек с долей в 12%.

Атакующим не раз удавалось нанести значимый ущерб инфраструктуре госучреждений, учитывая изолированность сетей теле- и радиовещания, а также ресурсов многих правительственных учреждения по защите от доступа извне. Характер кибератак и специфика иранского интернета позволяют говорить о действиях инсайдеров (внутренних нарушителей), располагающих знаниями и возможностями для эффективной реализации противоправных действий. Специалисты компании Threadstone71 утверждают, что кибератаки происходили в условиях прямого доступа к данным, наличия физического доступа к оборудованию и инфраструктуре, а также глубоких знаний инфраструктуры со стороны нарушителей.

Для Ближнего Востока в целом и для Ирана в частности остаются актуальными киберугрозы, связанные с использованием IoT-устройств. Это подчеркивается большим количеством объявлений в дарквебе с информацией о взломе промышленных контроллеров, SCADA и камер.

Успешная реализация кибератак на промышленные объекты может быть отчасти связана с небезопасной настройкой оборудования, позволяющей среди прочего установить удаленное подключение — например, к серверам с открытыми портами 3389 (RDP по умолчанию) и 5900 (VNC по умолчанию). Среди стран Ближнего Востока Иран занимает второе место по числу общедоступных серверов с открытыми портами 3389 и 5900 (данные получены с использованием сервиса Shodan).

Статистика Shadowserver в части доступных серверов с запущенным RDP за первое полугодие 2024 года демонстрирует, что среди стран Ближнего Востока Иран лидирует по этому показателю, что свидетельствует о существенной киберугрозе. 

Опасность использования серверов с запущенным RDP подчеркивается большим числом объявлений в дарквебе о продаже доступа к инфраструктуре. Среди объектов кибератак — строительные организации, торговые компании, нефтехимические и водоочистительные заводы и т. п.

Преобладающая доля использования вредоносного ПО при реализации кибератак на организации (особенно государственные и финансовые) в сочетании с активизацией киберпреступников в регионе подчеркивает опасность того, что злоумышленники будут использовать не только вайперы и стилеры, но и вымогательское ПО.

Доля кибератак на частных лиц за оба рассматриваемых периода не превышала 30%, тем не менее число таких кибератак в абсолютном значении велико. Утечка данных платежных карт и ПИН-кодов, несомненно, позволит злоумышленникам обогатиться. Кроме того, получение персональных данных частных лиц — это первый и немаловажный шаг для реализации широкого спектра киберугроз. Владея чужими персональными данными, злоумышленники могут повысить успешность реализации кибератак методами социальной инженерии, подстроив их под конкретную жертву. Нарушитель также может выдать себя за владельца персональных данных и таким образом получить сведения о круге близких жертве людей, а также об инфраструктуре операционной деятельности компании, в которой жертва работает.

Частных лиц атакуют как киберпреступники, так и хактивисты. Человек — наиболее уязвимое звено любой инфраструктуры, и использование методов социальной инженерии с большой вероятностью позволит получить доступ к целевой инфраструктуре или данным. Отчасти этим объясняется увеличение доли кибератак, в которых применяются методы социальной инженерии, как в Иране, так и на Ближнем Востоке в целом.

За 2023-й — первое полугодие 2024 года доля последствий, связанных с нанесением ущерба интересам государства, снизилась с 20% до 13%, в то время как доля утечек выросла на 18%. Это говорит о смещении вектора кибератак с государственных лиц на простых жителей Ирана.

Персональные данные — наиболее частая категория утекших данных, по статистике дарквеба. Так, в одном из объявлений раздается база, содержащая 500 тысяч строк данных пользователей Instagram¹ (запрещенной в Иране социальной сети) — граждан Ирана. Данные включают фамилию, имя и отчество пользователя, его телефон и имя профиля.

Среди часто встречающихся персональных данных — полное имя человека, номер его мобильного телефона, адрес, встречаются сканы паспортов и социальных карт.

За 120 $ в дарквебе можно приобрести персональные данные 150 000 клиентов тегеранской пиццерии — номера телефонов, домашние адреса, адреса эл. почты, пароли и даты рождения.

В оба рассматриваемых периода доля кибератак на мобильные устройства остается преобладающей (36% и 50% соответственно). Это связано с использованием жителями Ирана преимущественно мобильного интернета для коммуникаций, покупок, просмотра новостей в силу его более высокой скорости (31,82 Мбит/с) по сравнению со стационарным интернет-соединением. Успех кибератак на мобильные устройства также во многом объясняется тем, что большая часть смартфонов функционирует под управлением операционной системы Android, которая предоставляет пользователям большую свободу в скачивании и установке различных приложений, чем iOS. Злоумышленники активно распространяют вредоносные мобильные приложения, мимикрирующие под легитимные. В условиях неудобства использования магазина приложений Google Play (часть приложений заблокирована), приложения распространяются посредством популярных веб-сайтов и социальных сетей.

Значительный скачок относительно прошлого периода совершил тип объектов «веб-ресурсы» — на 13%. Исследователи из SafeBreach раскрыли шпионскую кампанию, в рамках которой вредоносный стилер на базе PowerShell, получивший название PowerShortShell, похищает учетные данные Google и Instagram², принадлежащие лицам, говорящим на фарси. Вредоносный код эксплуатирует уязвимость Microsoft MSHTML (CVE-2021-40444) в движке браузера Internet Explorer.

Еще среди кибератак на веб-ресурсы — дефейс веб-сайта известного в Иране фотографа Киа Ганбари (Kiya Ghanbari), совершенный хакерской группировкой UCC, позиционирующей себя как индийские хакеры, в ответ на произошедшую в конце 2023 года атаку БПЛА на танкер с химикатами в 200 морских милях от побережья Индии. 

Как и для организаций, вредоносное ПО остается наиболее часто используемым методом кибератак на частных лиц. В сочетании с высокой долей кибератак на мобильные устройства (50%), можно отметить, что для Ирана в целом характерны кибератаки с использованием вредоносного ПО, нацеленные на мобильные устройства под управлением Android. 

Данные «Лаборатории Касперского» подтверждают актуальность киберугроз, направленных на мобильные устройства, для Ирана. В 2022 году Иран вошел в тройку стран с наибольшей долей пользователей, подвергшихся атакам мобильного вредоносного ПО (Иран — 14,53%, Сирия — 15,61%, КНР — 17,7%). Наиболее часто встречающейся мобильной киберугрозой в Иране в 2022 году был Trojan-Spy.AndroidOS.Agent.aas — это модификация WhatsApp, содержащая шпионский модуль. В 2023 году в стране доминировал вредонос Trojan.AndroidOS.Hiddad.da (97,39%), реализующий не только функции копирования информации, но и ее уничтожения, модификации и блокировки. На первое полугодие 2024 года активность вредоносного приложения Trojan-Spy.AndroidOS.SmsThief.tt, реализующего электронный шпионаж за пользователями, в Иране составила 96,88%.

В 2023 году исследователи из Zimperium обнаружили более 200 поддельных мобильных Android-приложений, которые имитируют крупные иранские банки, чтобы украсть информацию у их клиентов. Все приложения были доступны для загрузки в период с декабря 2022-го по май 2023 года, они собирали учетные данные для входа в интернет-банкинг и данные кредитных карт, обеспечивали свое сокрытие и перехватывали входящие SMS-сообщения, используемые для многофакторной аутентификации.

Для Ирана шпионская кампания 2023 года, направленная на пользователей мобильных устройств, не первая. В 2021 году широко распространилась кампания по SMS-фишингу («смишингу»), в рамках которой злоумышленники выдавали себя за иранские государственные службы. Метод реализации кибератаки включал социальную инженерию и использование вредоносного ПО: жители получали SMS якобы от государственных служб, в SMS была размещена ссылка, при переходе по которой пользователи попадали на фишинговый веб-сайт и получали уведомление о поданной против пользователя жалобе. Затем у пользователя запрашивались его личные данные, такие как имя, номер телефона и национальный код, чтобы перейти к электронной системе и избежать посещения офлайн-отделения из-за ограничений, введенных при пандемии COVID-19.

Среди мобильного вредоносного ПО в Иране можно отдельно выделить категорию зловредов, использующих легальные VPN-сервисы либо мимикрирующих под VPN приложения. Такой тип киберугроз — региональная особенность, связанная с широким распространением VPN-сервисов среди молодежи.

В 2023 году часть иранских пользователей была атакована с помощью вредоносной рекламы поддельных VPN. Исследователи из Trend Micro обнаружили вредоносную программу для кражи информации под названием OpcJacker, основные функции которой включают в себя кейлоггинг, создание скриншотов, кражу конфиденциальных данных из браузеров, загрузку дополнительных модулей и замену криптовалютных адресов в буфере обмена для кражи.

Пользователи легитимного, широко распространенного в Иране VPN-сервиса 20Speed VPN были атакованы с использованием ПО EyeSpy — инструмента для онлайн-слежки, разработанного и распространенного в Иране. Судя по объявлениям в дарквебе, тренд на использование VPN для реализации кибератак распространится и на организации: есть объявления, в которых говорится о предоставлении доступа через VPN.

Специалисты экспертного центра Positive Technologies отмечают, что многие из зафиксированных ими в Иране вредоносных программ имитировали VPN-сервисы, например вредоносное ПО Warp Plus, Psiphon, Warp-Plus GUI и другое.

Аналитики Trend Micro также отмечают активность вредоносного ПО, маскирующегося под VPN-инструмент GlobalProtect компании Palo Alto Networks, в ближневосточном регионе. Исходный вектор кибератак с использованием этого вредоноса пока неизвестен. Предполагается, что злоумышленники используют фишинг, чтобы убеждать жертв в том, что они устанавливают настоящий GlobalProtect.

Еще одной региональной особенностью Ирана является легализация криптовалюты. Информационное издание Cybernews осветило яркий пример инцидента безопасности 2024 года, связанного не с хакерскими кибератаками, а с некорректными настройками. Инцидент произошел с иранской криптовалютной биржей, поддерживающей более 300 монет и токенов. В результате некорректной настройки экземпляра MinIO (высокопроизводительной системы хранения объектов) был предоставлен доступ к контейнерам облачного хранения, содержащим данные платформы know your customer (KYC). При взаимодействии с платформой пользователи должны подтверждать свою личность, загружая официальные документы. Ошибка в конфигурации MinIO скомпрометировала около 230 000 иранских граждан, раскрыв их письменное согласие на регулирование, а также паспорта, удостоверения личности и кредитные карты.

Данные дарквеба за 2024 год подтверждают растущую заинтересованность хакеров в криптовалютных сервисах. Так, в дарквебе замечены объявления о продаже данных, принадлежащих иранской компании, чья деятельность лежит в сфере криптовалют и блокчейна. 

В продаваемой базе данных содержались:

• сообщения и чаты (код активации и ПИН-код/OTP, сообщения в службу поддержки и т. д.);

• информация о пользователе (имя пользователя, пароль, имя и фамилия, пол, номер телефона, национальный идентификатор, IP-адрес, агент пользователя и т. д.);

• информация о поисковых параметрах пользователя (город, провинция, фильтры поиска, диапазон времени поиска, идентификатор пользователя, IP-адрес и т. д.).

В указанную автором объявления стоимость (800 $), помимо данных, входит также Shell-доступ к поддомену.

Несмотря на небольшую долю кибератак на частных лиц по сравнению с долей кибератак на организации, абсолютное число таких кибератак велико. Специфика цифрового ландшафта Ирана в отношении частных лиц заключается в преобладающем использовании смартфонов жителями для коммуникации, просмотра новостей, совершения покупок (в Иране на рынке электронной коммерции преобладает именно мобильный маркетинг). Это связано с широким распространением смартфонов и с более высокой скоростью мобильного интернета в сравнении со стационарным: в среднем 31,82 Мбит/с против 12,76 Мбит/с.

Ситуацию с мобильными киберугрозами усугубляет повсеместное использование VPN-сервисов для доступа к запрещенным ресурсам (YouTube, Instagram³ и пр.). Судя по данным за период 2023–2024 гг., VPN-сервисы, представляющие собой мобильные приложения, стали активно использоваться злоумышленниками для реализации кибератак на частных лиц. Хакеры задействуют как легальные VPN-сервисы, которые им удалось взломать, так и их вредоносные аналоги, выдающие себя за VPN-сервис.

Росту числа кибератак, реализуемых методами социальной инженерии, во многом способствует развитие технологий ИИ. Специалисты Avast отмечают увеличение числа случаев киберпреступлений с использованием аудио- и видеодипфейков. ИИ используется как генератор фейкового контента, а также как инструмент массовой рассылки.

Описание используемых группировками тактик и техник возможно в первую очередь для APT-группировок, как для более организованных и высококвалифицированных хакеров по сравнению с хактивистами. Специфика деятельности APT-группировок, состоящая преимущественно в кибершпионаже, заключается в возможности незаметного проникновения в систему, сокрытия следов присутствия и удаленного управления со стороны злоумышленника.

В этом разделе рассмотрены тактики и техники, используемые APT-группировками APT15, Bahamut, Molerats, Desert Falcons и группой хактивистов GhostSec.

Как правило, APT-группировки сочетают использование вредоносного ПО собственной разработки с различными общедоступными инструментами.

Например, APT15 использует общедоступные Mimikatz и LaZagne (T1003.001, T1003.004, T1003.005), а вредоносные функции сосредоточены преимущественно в бэкдорах: RoyalCli и RoyalDNS, Ketrum, BS2005/Ketrican/Graphican (одно семейство, незначительно различающееся по функциональности). В арсенале APT15 есть инструменты как под Windows (Okrum, MirageFox), так и под Android: программа наблюдения SilkBean, содержащая обширные функции инструмента удаленного доступа (RAT), HenBox — вредоносное ПО, которое пытается запускаться только на устройствах Xiaomi под управлением операционной системы MIUI, и BadBazaar, выполняющий преимущественно функции банковского трояна.

Помимо бэкдоров, группировка APT15 использует трояны. Например, TidePool содержит множество возможностей, характерных для большинства RAT. Он позволяет злоумышленнику читать, записывать и удалять файлы и папки, а также выполнять команды по именованным каналам. TidePool собирает информацию о компьютере жертвы, кодирует данные в Base64 и отправляет их на командно-контрольный сервер (C2) по протоколу HTTP, что соответствует возможностям семейства вредоносных программ BS2005, используемых агентом Ke3chang. TidePool размещается в MHTML-документе, который эксплуатирует CVE-2015-2545.

Molerats также обладает значительным количеством бэкдоров (DropBook, SharpStage, MoleNet и др.), обеспечивающих доступ к данным, в том числе зашифрованным и защищенным. Для дампа паролей, сохраненных в браузерах жертв (T1555.003), группировка использует общедоступный инструмент BrowserPasswordDump10.

Desert Falcons преимущественно использовали вредоносное ПО, выполняющее функции кибершпионажа. Собственное шпионское ПО для Android, используемое Desert Falcons, называется Desert Scorpion. Оно способно осуществлять запись звука во время телефонных звонков и с микрофона устройства (Audio Capture), определять местоположение (Location Tracking), просматривать конфиденциальные данные пользователя (Protected User Data), такие как список контактов (T1636.003), SMS-сообщения (T1636.004), исследовать установленные приложения (Software Discovery). Также среди вредоносов для Android-устройств, используемых Desert Falcons, — VAMP, нацеленный на кражу данных путем записи звонков (Audio Capture), кражу контактов и хранящихся на устройстве документов, GnatSpy, расширяющий функциональность VAMP за счет сбора сведений об аккумуляторе устройства, использовании памяти и хранилища, а также о состоянии SIM-карты. Для устройств под управлением iOS группировка использовала Phenakite, способный записывать телефонные звонки, собирать и передавать медиафайлы WhatsApp, фотографии и файлы с определенными расширениями (Data From Local System), направлять жертв на фишинговые страницы для Facebook⁴ и iCloud, чтобы украсть учетные данные для этих сервисов (Input Capture).

Bahamut для удаленного управления использовала общедоступный многоплатформенный инструмент удаленного администрирования (RAT) NETWIRE и Revenge RAT. Помимо этого, группировка использовала различное вредоносное ПО для реализации техники Software Discovery, в частности для получения перечня активных процессов, определения установленного ПО, проверки наличия конкретных антивирусных программ (T1518.001), включая Kaspersky, Quick Heal, AVG, BitDefender, Avira, Sophos, Avast и ESET.

Для проникновения в инфраструктуру злоумышленникам необходимо найти первоначальную точку входа — сервер или компьютер сотрудника организации или иной компонент сети, который будет заражен вредоносным ПО и с которого начнется дальнейшее перемещение по сети.

Большинство рассматриваемых группировок начинали реализацию кибератак с целенаправленного фишинга (Phishing), в частности Bahamut и Molerats использовали фишинговые письма с вредоносными ссылками (T1566.002) и вложениями Microsoft Word и PDF (T1566.001). Bahamut также использовала мессенджеры (T1566.003). APT15 действует с учетом специфики Ирана, получая доступ через VPN, в том числе с помощью скомпрометированных учетных записей и украденных сертификатов VPN (External Remote Services, T1133). Группировка Molerats рассылала по электронной почте вредоносные ссылки, заставляя пользователей (User Execution) открывать архив RAR и запускать исполняемый файл (T1204.001), и вредоносные файлы, которые обманом заставляли пользователей нажимать кнопку Enable Content для запуска встроенного макроса и загрузки вредоносных архивов (T1204.002).

Для APT-группировок, действующих на Ближнем Востоке, характерна настройка автозагрузки вредоносных программ (Boot or Logon Autostart Execution). В частности, Bahamut использовала технику добавления ссылки на вредоносную программу в каталог Startup («Автозагрузка») (T1547.001), создавая LNK-файлы в каталоге Startup,

Следующий шаг злоумышленников — закрепление в инфраструктуре. Для этого часто используется настройка автозагрузки вредоносных программ (Boot or Logon Autostart Execution) через ключи реестра или путем добавления ссылки на вредоносную программу в каталог Startup (T1547.001). Например, группа Bahamut создавала LNK-файлы в каталоге Startup.

APT15 разработала собственный вредоносный код, который позволял ей закрепляться в сетях жертв (T1587.001). Группа Molerats сохраняла вредоносные файлы в папках AppData и Startup для закрепления в системе (T1547.001). Группа Desert Fаlcons применяла технику Subvert Trust Controls, используя мобильное приложение, которое при запуске на устройстве Huawei добавляет себя в список защищенных приложений, что позволяет запускать его при выключенном экране (T1553.006).

Для изучения процессов, запущенных на скомпрометированных узлах (Process Discovery), группировки используют как системные утилиты, так и вредоносное ПО. Например, APT15 собирала сведения о процессах с помощью утилиты командной строки tasklist. Для получения учетных записей вредоносное ПО APT15 перехватывает данные, которые жертва вводит на скомпрометированном устройстве (Input Capture).

Злоумышленники также ищут любую потенциально полезную информацию в файлах и каталогах, которые есть на скомпрометированных узлах (File and Directory Discovery). Например, перечисление файлов активно используется группировкой Bahamut, а у Desert Falcons есть специальный инструмент для рекурсивного просмотра каталогов на всех дисках и поиска определенных файлов по их путям. Molerats использовала инструменты MoleNet и DropBook, позволяющие собрать соответственно информацию о системе (System Information Discovery) и имена всех файлов и папок в каталогах Program Files.

GhostSec для получения ценной информации использует те же техники (File and Directory Discovery, System Information Discovery), дополняя их сбором информации о зарегистрированных службах локальной системы (System Service Discovery). Группировка использует автоматизированные средства (Automated Collection) для сбора внутренней информации об инфраструктуре скомпрометированной системы/сети, а также выполняет поиск в локальных источниках (Data from Local System), таких как файловые системы и конфигурационные файлы или локальные базы данных, чтобы найти интересующие их файлы и конфиденциальные данные до начала их передачи на удаленный сервер.

Для доступа к некоторой информации хакерам могут потребоваться дополнительные учетные данные, для чего ими часто используется техника извлечения паролей из памяти системных процессов (OS Credential Dumping). APT15 использовала инструменты Mimikatz и LaZagne, а также извлекала учетные записи из файла NTDS.dit — базы данных, в которой хранится информация Active Directory (T1003.003). APT15, Bahamut, Desert Falcons и Molerats активно использовали технику получения учетных записей Input Capture — перехват данных, которые жертва вводит на скомпрометированном устройстве. Для этого перечисленные группировки использовали кейлоггеры.

Часть группировок архивирует собранные данные (Archive Collected Data), например Molerats использовала инструмент DustySky, который создавал временные каталоги для размещения собранных файлов и позволял архивировать их перед отправкой за пределы корпоративной инфраструктуры.

GhostSec, в силу своей финансовой мотивации, после сбора ценной информации зашифровывает ее (Data Encrypted for Impact) на целевых системах, чтобы прервать доступ к системным и сетевым ресурсам для скомпрометированного устройства. При этом встроенные данные могут быть удалены, а службы, предназначенные для помощи в восстановлении поврежденной системы, отключаются, чтобы исключить возможные варианты восстановления доступа к данным (Inhibit System Recovery).

Распространенная техника для обхода защиты — Masquerading, когда вредоносное ПО маскируется под легитимные файлы или приложения. Так, группа Bahamut для маскировки вредоносного ПО использовала иконки, имитирующие файлы Microsoft Office, и пыталась скрыть исполняемые файлы за счет изменения расширения файла на .scr для имитации заставок Windows. Desert Falcons также использовали технику доставки своего приложения путем его загрузки из вредоносного магазина приложений (Deliver Malicious App via Other Means, T1476).

GhostSec использует элементы запуска, автоматически выполняемые при инициализации загрузки (T1037.005), для сохранения доступа (например, после перезагрузки скомпрометированного устройства). Также для защиты от обнаружения группировка использует вариативные техники: обфускацию файлов или информации (Obfuscated Files or Information), внедрение в процесс путем выполнения произвольного кода в адресном пространстве отдельного процесса (Process Injection), маскировку своих артефактов для выдачи их за легитимные (Masquerading) и изменение временных меток (T1070.006) файлов (времени модификации, доступа, создания и изменения), чтобы измененные злоумышленниками файлы не были заметны при криминалистическом анализе.

Для защиты государственных организаций от киберугроз следует учитывать в первую очередь возможности внутреннего нарушителя, поскольку меры безопасности, ориентированные на защиту от внешних киберугроз, не остановят инсайдера, а взламывать систему у него нет необходимости за счет возможности собирать данные напрямую.

На базовом уровне рекомендуется применение организационно-технических мер, включающих комплексный аудит рисков безопасности информационной инфраструктуры; введение строгих политик управления учетными записями и паролями, а также доступом (в том числе физическим) к инфраструктуре; построение комплексной инфраструктуры информационной безопасности с использованием мультивендорного подхода, кибериспытания и киберучения для обеспечения киберустойчивости.

Гораздо больший эффект в защите госучреждений от киберугроз может быть достигнут за счет государственного сотрудничества со странами, сталкивающимися с похожими киберугрозами и техническими проблемами.

Использование методологии результативной кибербезопасности позволит значительно повысить киберустойчивость организаций любого масштаба и обеспечить защиту чувствительных данных в условиях деструктивных кибервоздействий за счет:

• определения недопустимых событий и сценариев их реализации;

• проведения комплексной кибертрансформации, состоящей в усилении защиты компонентов IT-инфраструктуры;

• регулярного подтверждения киберустойчивости организаций.

Для категорий организаций, реализующих технологические и бизнес-процессы, следует определить характерные недопустимые события и основные объекты воздействия на инфраструктуру. Учитывая региональную специфику, особенное внимание следует уделить настройкам удаленного доступа по RDP и VNC, поскольку злоумышленник может использовать небезопасную конфигурацию для реализации кибератак. В случае с промышленными объектами, инфраструктура которых оснащена IoT-устройствами, которые априори являются одним из наиболее уязвимых компонентов, список недопустимых событий будет напрямую связан с наиболее характерными проблемами кибербезопасности, связанными с IoT, например:

• с отсутствием специальной аппаратной защиты (по данным на 2023 год, 66% IoT-устройств не имели такой защиты, а 29% вообще не имели соответствующих функций);

• с незнанием администраторами полного спектра используемых IoT-устройств (по данным Ponemon Institute, часто компании не имеют представления обо всех подключенных устройствах, в результате чего около 48% устройств подвергаются риску, потому что они либо больше не обнаруживаются IT-подразделением компании, либо их ПО устарело);

• с отсутствием шифрования сетевого трафика IoT-устройств (по данным исследования Palo Alto Networks, эта проблема характерна для 98% IoT-устройств).

К тенденциям киберугроз для частных лиц в Иране следует отнести:

• продолжающийся рост доли киберпреступлений, реализуемых путем кибератак на мобильные устройства под управлением Android (в том числе путем имитации VPN-сервисов);

• увеличение доли кибератак на банковские приложения и легитимные VPN-приложения;

• возрастающий интерес киберпреступников к криптовалютным приложениям;

• появление более сложных кибератак с использованием методов социальной инженерии в сочетании с ИИ.

Пока что говорить о волне кибератак на криптовалютные биржи и мобильные приложения рано, однако в пользу зарождающейся тенденции говорят: функции вредоносного ПО, которое ищет на смартфоне пользователя установленные криптовалютные приложения; инцидент с некорректными настройками безопасности на криптобирже, в результате которого утекло большое количество конфиденциальных данных; объявления в дарквебе о продаже данных, связанных с блокчейн-проектами.

Частые сценарии кибератак с использованием социальной инженерии:

• фишинговые предложения о сотрудничестве, нацеленные на авторов популярного контента;

• публикация видеороликов (в том числе сгенерированных с использованием ИИ), описания к которым содержат вредоносные ссылки, маскирующиеся под загрузку распространенного ПО;

• создание фейковых доменов, имитирующих легитимные компании, разрабатывающие ПО, и их использование для распространения вредоносного ПО.

К рекомендациям для частных лиц следует отнести повышение уровня грамотности в области защиты информации путем обучения населения аспектам цифровой гигиены и безопасному поведению в интернете. Такие рекомендации, как правило, подчеркивают, что устанавливать приложения следует только из надежных источников и что на мобильное устройство нужно установить антивирусное ПО.

Обучение пользователей также позволит им успешно противостоять кибератакам с использованием методов социальной инженерии: не открывать потенциально опасные вложения в электронных письмах и чатах, не переходить по подозрительным ссылкам.