Иллюстрация Pixabay.com
Кибератака 18 декабря нанесла ущерб автозаправочным станциям Ирана, что привело к появлению длинных очередей из автомобилей. По данным информационного агентства «Тасним», связанного с Корпусом стражей Исламской революции (КСИР), компьютеризированная топливная система, которой пользуется большинство АЗС в стране, была отключена в 9.40 утра. Джалил Салари, замминистра нефти, разъяснил, что около 60% АЗС испытывают перебои. Позже он увеличил эту пропорцию до 90%.
Министр нефти Джавад Оуджи заявил, что кибератака была попыткой врагов Ирана «причинить страдания», предположив, что Израиль и США осуществили ее в ответ на войну в Газе. «Однако немедленная ручная активация АЗС началась после отключения системы. Поскольку сионистский враг и Америка получили удар на других фронтах, они хотели таким образом бросить вызов Ирану, но этот заговор будет сорван», – заявил министр.
Позднее группировка Predatory Sparrow («Хищный воробей») взяла на себя ответственность за кибератаку. В соцсети X (бывший Twitter) они написали: «Мы, группа «Хищных воробьев», в очередной раз атаковали национальную систему снабжения топливом Исламской Республики Иран». В «Тасним» тут же вышел комментарий, где утверждалось, что группа связана с Израилем и что аналогичный инцидент произошел в ноябре 2021 года. «Министерство нефти должно ответить, почему они не смогли создать необходимую систему защиты», – говорится в сообщении.
Одна из крупнейших сталелитейных компаний Ирана заявила, что отразила кибератаку в июне прошлого года. Тогда ответственность на себя взяла та же группа, заявив, что это был ответ на «агрессию Исламской Республики».
Махди Мослехи, эксперт по сетевой безопасности, сообщил новостному сайту Entekhab, что причиной повторных атак была устаревшая киберинфраструктура. Хакерские группы используют слишком простые пароли и устаревшие операционные системы в правительственных системах. Иранские системы имеют немало уязвимостей из-за строгих ограничений властями доступа людей к интернету и платформам социальных сетей. Многие IТ-эксперты покинули страну в ответ на эти ограничения – и, как следствие, многие организации государственного и частного секторов столкнулись с проблемами безопасности.
Другой местный эксперт, не пожелавший назвать себя, отметил: «К сожалению, люди в правительственных департаментах не обладают достаточным опытом и часто получают работу на основе своих личных знакомств. Чиновникам и менеджерам не хватает навыков, когда дело доходит до кибербезопасности... Наша инфраструктура недостаточно подготовлена, мы располагаем минимальными механизмами защиты, что приводит к серьезному ущербу во время атак. С 2010 года критические национальные инфраструктуры, особенно в нефтегазовом и энергетическом секторах, подвергаются регулярным нападениям. В последние годы произошли разрушительные атаки на транспорт и на систему международной торговли. Если правительственные компании и организации не укрепят систему киберзащиты, они наверняка столкнутся с более разрушительными атаками».
Иностранные наблюдатели отмечают, что проблема с иранской киберуязвимостью носит системный и хронический характер. Это доказывалось не раз – успешными кибератаками на заводы по обогащению урана, ТЭС и другие объекты. Иранцы предприняли несколько попыток усилить свои собственные кибератаки за границей и укрепить сектор информационной безопасности у себя дома. Но нужно снова вспомнить о дефиците кадров: приоритет отдается военным и ядерным объектам в ущерб прочей инфраструктуре.
Поставленный перед необходимостью защиты своих стратегических объектов (израильские атаки через вирус Stuxnet на ядерный комплекс в Натанзе), КСИР с 2021 года наращивает свой киберпотенциал. Ныне к нему относятся несколько «батальонов» хакеров, в основном набранных из ведущих университетов, включая Университет Имама Хосейна, который находится под прямым контролем КСИР.
«Народная киберпространственная сеть Исламской революции», по сути, является электронной армией Ирана. Возглавляемая Резой Саларвандсом из киберкомандования КСИР, эта группа выглядит как настоящая «третья армия» наряду с КСИР и регулярной армией. Она входит в состав командования киберзащиты Генштаба армии, которое само является частью Высшего совета по киберпространству (ВСК). Возглавляет его Голам Реза Солеймани, специалист по IТ в военизированных добровольческих силах «Бассидж».
ВСК выполняет ряд функций, включая саботаж, шпионаж и так называемые психологические операции. Как уверяют американские и французские источники, он получает технологическую помощь от России. В частности, основанная в Тегеране компания Lotus Gostar Arya (или Cysec) ныне якобы работает из Казани. Это происходит на фоне расширения сотрудничества между Россией и Ираном по вопросам кибербезопасности. ВСК также активизировал поддержку кибергруппы ливанской «Хезболлы».
Кибервойска Ирана состоят из небольших специализированных групп, каждая из которых выполняет свою роль. «Группа 39» отвечает за взлом коммерческих компаний, особенно в ОАЭ, Саудовской Аравии, Иордании и Израиле. «Группа 35» концентрируется на сборе разведданных об американских гражданах и учреждениях, а «Группа 34» работает конкретно по Саудовской Аравии. «Группа 33» нацелена на авиакомпании и международные органы промышленного регулирования. При этом американцы отмечают, что Иран пока не может купировать в полной мере кибератаки израильского подразделения 8200, которому уже удавалось в конце 2021 года парализовать 4300 иранских АЗС. Теперь эта атака повторилась в меньшем объеме – а стало быть, надлежащих уроков из того инцидента иранские власти не извлекли.