Проиранские хакеры: «пояс безопасности» Тегерана?

Цифровое пространство Ближнего Востока с течением времени все больше превращается в арену противостояния. На этом фоне региональные державы форсировано наращивают цифровые компетенции, стремясь обезопасить национальное киберпространство, а также подготовиться к возможной конфронтации с оппонентами.

Например, для Ирана цифровая составляющая сегодня играет одну из ключевых ролей в вопросах обеспечения национальной безопасности, а также при отстаивании региональных интересов. Тегеран стремится к усложнению собственной киберсистемы, а потому активно работает с лояльным ему хакерским сообществом, стремясь превратить его во «внешний периметр» цифровой безопасности страны.

«Внешний периметр» цифровой безопасности Ирана находится в стадии активного формирования. Налицо стремление проиранских хакерских команд уделять одинаковое внимание наступательному и оборонительному аспектам собственной деятельности, а также самостоятельно (т.е. без привлечения иранских масс-медиа) работать над образом «цифровых защитников». Это позволяет говорить о том, что система стремится к равновесию.

С другой стороны, система в ее текущем виде не лишена недостатков. И, пожалуй, ключевым можно считать фактор «мимикрирующих» хакеров, которые, ввиду низкого уровня квалификации и проблем с целеполаганием, не только не способствуют упрочнению позиций Тегерана в регионе, но и серьезно вредят его имиджу (в большинстве случаев — неосознанно). В связи с этим выработка более комплексного подхода к работе с данной группой компьютерных специалистов становится для иранских властей задачей на краткосрочную перспективу. Не стоит исключать, что группировки, действующие вразрез с интересами Тегерана, будут подвергаться нападкам со стороны более последовательных проиранских хакерских сообществ, а их деятельность будет освещаться с критических позиций не только в прессе, но и на пропагандистских ресурсах других «хакеров-лоялистов».

Цифровое пространство Ближнего Востока с течением времени все больше превращается в арену противостояния. На этом фоне региональные державы форсировано наращивают цифровые компетенции, стремясь обезопасить национальное киберпространство, а также подготовиться к возможной конфронтации с оппонентами.

Например, для Ирана цифровая составляющая сегодня играет одну из ключевых ролей в вопросах обеспечения национальной безопасности, а также при отстаивании региональных интересов. Тегеран стремится к усложнению собственной киберсистемы, а потому активно работает с лояльным ему хакерским сообществом, стремясь превратить его во «внешний периметр» цифровой безопасности страны.

Цель данной статьи — проанализировать роль проиранских хакеров в иранской системе кибербезопасности, а также ключевые изменения на этом направлении в последние несколько лет.

Цифровая оборона по-ирански

Артур Хетагуров:
Кибермощь Ирана

Структура кибербезопасности Ирана в текущем ее виде представляет собой довольно гибкую квазисистему, в основе которой лежат многочисленные самостоятельные хакерские группировки, чья связь с государством имеет довольно формальный характер. Ядро иранской системы — «Электронная армия Ирана» (Iranian Cyber Army, ICA) — представляет собой альянс хакерских коллективов, публично декларирующих идеологическую приверженность правящему режиму Ирана (в том числе через принесение присяги высшему руководству ИРИ).

Государственным же институтам, в ведении которых находятся вопросы кибербезопасности (Министерство информации и национальной безопасности, Киберполиция FATA и др.), отводится роль «целеуказателей» — они координируют и контролируют деятельность хакеров, разрабатывают стратегию ведения кибервойн, обеспечивая тем самым более эффективную защиту национального киберпространства, способствуют совершенствованию национального режима цифровой безопасности и пр.

Также в последние годы можно наблюдать повышенное внимание к развитию «внешнего периметра» киберобороны, который позиционируется как вспомогательный элемент деятельности иранских киберсил. Условно группировки, входящие в «пояс цифровой безопасности» Ирана, можно разделить на три группы:

Первая (и самая обширная) — цифровые прокси-группировки: локальные хакерские команды, которые отстаивают интересы лояльных Тегерану сил и, как правило, отвечают за цифровую борьбу в конкретном регионе (межрегиональные операции носят единичный характер). Сюда входят как активные, так и «спящие» (временно бездействующие) группы. В настоящий момент лояльные Ирану кибергруппировки действуют в Ираке («Fatemiyoun Electronic Team», ранее также известная как «Fatemiyun Electronic Squad» и «Neo Cyber»), Ливане («Ливанский кедр») и Йемене («Йеменская киберармия», которая хотя и относится к разряду «спящих» , вполне скоро может вновь заявить о себе на фоне изменений оперативной обстановки в Йемене), не исключается также вероятность скорого появления проиранского хакерского подразделения в Сирии (на базе Лива Абу аль-Фадль аль-Аббас).

Вторая группа — хакерские команды, отождествляющие себя с Ираном («мимикрирующие»). К таковым относятся группировки, выступающие от имени иранского правительства (или других элементов государственной системы — например, КСИР), но никак не подтверждающие эти связи. В отличие от прокси-хакеров, придерживающихся конкретной стратегии действий и имеющих узнаваемый «почерк» атак, их деятельность носит скачкообразный характер, и периоды активности могут чередоваться с затяжным бездействием. Более того, средняя продолжительность существования подобных группировок составляет 2–3 месяца, после чего команда либо меняет название, либо «специализацию» атак. Подобный подход позволяет предположить, что значительная часть подобных группировок лишь спекулирует на концепте «перманентной иранской угрозы» в киберпространстве, и реальных проводников интересов Тегерана среди них довольно мало. Тем не менее, по мнению западных специалистов, среди множества «мимикрирующих» группировок выделяются несколько киберкоманд, уровень операций которых свидетельствует о наличии значительной финансовой и технической поддержки — это «Charming Kitten», «Bax 026» и «Hackers of Savior». Все три группировки принимали участие в качестве вспомогательных сил в наиболее сложных и громких операциях, реализованных Ираном против западных компаний в 2021–2022 гг.

Леонид Цуканов:
Цифровые химеры Персидского залива: кто займет место Ирана?

Третья группа — «спорные» хакеры. К этой категории можно отнести те компьютерные команды, которые не заявляют о своих связях с Ираном (и, более того, часто выступают от лица других региональных сил), но, тем не менее, своими действиями способствуют упрочнению позиций Тегерана в регионе. Такие группировки стали появляться сравнительно недавно (большинство — в первые месяцы 2020 г.), однако специфика их целеполагания (а также стремительно растущий уровень компетенций) позволяет говорить о наличии заинтересованности в их деятельности со стороны иранских властей. Из наиболее активных в настоящий момент можно упомянуть «Black Shadow» (в первых пропагандистских материалах — группа хакеров из Европы, разделяющих идеи аятоллы Хомейни), «Moses Staff» (на начальных этапах выдавала себя за антисионистское сопротивление Израиля) и «Sharp Boys» (ранее — индийские и турецкие хакеры). Разумеется, в большинстве случаев, эксперты склонны считать эти группировки иранскими (и, более того, классифицировать их как часть ICA), действующими под «маской» других наций и объединений с целью создания видимости глобальной поддержки режима аятолл.

Так или иначе, все три перечисленные группы объединяет общая «антизападная» направленность их деятельности. Проиранские хакеры традиционно определяют в качестве своих ключевых противников государства Запада, которые известны жесткой критикой Ирана (США, Канада, реже — страны ЕС), региональных оппонентов Тегерана (Израиль, Саудовская Аравия, ОАЭ), а также международные террористические группировки (Аль-Каида^*, ИГИЛ^*). Это несколько упрощает их консолидацию, а также позволяет иранцам задействовать в кибероперациях представителей разных групп.

За что сражаются хакеры? Взгляд с разных сторон

Говоря о деятельности проиранских хакерских команд, резонно оценить, как воспринимается их борьба сторонами конфликта, поскольку внешняя оценка роли того или иного элемента закладывает «границы ожиданий» и, как следствие, серьезно влияет на итоговый образ.

Так, в иранском массовом восприятии многочисленные хакерские группировки, ведущие киберборьбу с нелояльными Тегерану представителями западных сообществ (государствами, организациями, СМИ и т.д.), мотивированы исключительно патриотическими императивами и не играют решающей роли в обеспечении кибербезопасности страны, а их деятельность носит добровольный характер. Основная нагрузка в данном случае ложится на правительственные органы, и направлена она исключительно на защиту иранских компьютерных сетей и противодействие распространению антииранского контента (наступательные акции в данном случае трактуются как меры превентивного характера). Укоренению подобной модели отношений между хакерами и государством во многом способствует иранская пресса, которая довольно подробно освещает наиболее удачные кибератаки против врагов ИРИ.

Восприятие хакерской активности оппонентами Тегерана ожидаемо противоположно. По их мнению, «патриотическая составляющая» в деятельности проиранских киберкоманд сведена к минимуму, а вектор атаки подчинен приказам «сверху» и всецело определяется оперативной обстановкой. Представители экспертного сообщества противников Исламской республики (в первую очередь, США и Израиля) убеждены, что Иран использует хакеров для осуществления показательных акций преимущественно с целью деморализации противника, а также для компенсации своих провалов на других направлениях геополитической борьбы. Подобная «игра мускулами», зачастую, лишена значительной тактической выгоды и носит, скорее, демонстрационный характер (более того, она часто ориентирована на «внутренних потребителей», то есть на простых иранцев). Этим, в частности, объясняется нежелание проиранских хакеров атаковать объекты с многоуровневыми системами защиты (например, НПЗ).

Леонид Цуканов:
Силы безопасности ССАГПЗ: цифровое измерение

Что касается самих хакеров, то они склонны занимать компромиссную позицию. Так, большинство проиранских группировок в своей пропаганде делает акцент на том, что они действуют «с оглядкой на внешнеполитические приоритеты правительства ИРИ», однако не всегда разделяют их. Например, в период проведения первых раундов ирано-саудовских консультаций (2021 г.) несколько проиранских хакерских групп провели киберакции против компаний КСА и Турции, мотивировав это «нежеланием идти на компромисс с теми, кто бесчинствует в Йемене». С другой стороны, если учесть, что атака была реализована группировками, относящимися к «мимикрирующим», прецедент следует расценивать, скорее, как намеренную провокацию, не связанную с интересами иранского истеблишмента.

Хакеры в наступлении

Начиная со второй половины 2020 г. наблюдается постепенное увеличение «плотности» кибератак, проводимых лояльными Тегерану группировками (см. Диаграмму 1). Разумеется, в зависимости от рассматриваемого случая, наблюдается разный уровень возможностей и квалификации «атакующих» — от использования «грубых» инструментов взлома до внедрения сложных программных решений. Однако, как показывает практика, основным оружием проиранских хакеров по-прежнему является DDoS-атака (более 60% от общего числа атак). Также в проиранской хакерской среде популярны доксинг (раскрытие в сети идентифицирующей информации о ком-либо) и дефейс (тип хакерской атаки, при которой главная страница веб-сайта заменяется на другую). Подобные атаки нередко идут в связке, и на них приходится в сумме около 21% от общего числа киберакций. Участились и случаи порчи «вражеских» аккаунтов в социальных сетях (около 8% атак), а также атаки с применением программ-вымогателей (5%).

Диаграмма 1. Сравнение типов атак проиранских хакеров в первом (с 2018 по 2020 гг.) и втором (с 2021 по 2022 гг.) периодах, %. Составлено по открытым источникам.

Хакеры в обороне

Стремительно меняющаяся обстановка на Ближнем Востоке вкупе с влиянием глобальных факторов (в первую очередь, пандемии COVID-19) обусловила трансформацию подхода проиранских хакеров к осуществлению ненаступательной деятельности. Одна из магистральных тенденций — наращивание информационно-пропагандистской составляющей работы хакерских группировок. Проиранские хакеры продолжают усиливать присутствие на медиаплатформах (Telegram, Instagram^**, Twitter) и видеохостингах (YouTube, Tiktok) с целью создания устойчивых пропагандистских каналов и, как следствие, более широкого освещения последствий реализованных кибератак. В среднем их медиаактивность возросла на 20–30% по сравнению со второй половиной 2020 г.

Другой характерной чертой рассматриваемого периода можно считать более адресную работу хакерского «подполья» Ирана со своими сторонниками и последователями. Так, большинство проиранских киберкоманд создали площадки «обратной связи» (в большинстве своем это специальные боты Telegram), а также защищенные чаты, в которых публикуются советы по кибербезопасности и корректировке «цифрового следа». Кроме того, в последние годы проиранские хакеры стали чаще отдавать обычным пользователям «на аутсорс» некоторые несложные задачи — например, собрать ссылки на публичные аккаунты сторонников ИГИЛ^* или сформировать базу сайтов СМИ, которые выступали с критикой иранских властей. Таким образом, хакеры намеренно сокращают дистанцию между собой и своими последователями и тем самым закрепляют за собой образ защитников интересов простых иранцев.

Леонид Цуканов:
Йеменская киберармия: раунд второй?

Довольно интересно обстоит ситуация с финансовой составляющей деятельности проиранских кибергрупп. Так, с одной стороны, большинство хакерских команд из числа лояльных Ирану в последние два года практически полностью отказались от краудфандинговых кампаний (что впоследствии стало одним из аргументов в пользу наличия у них устойчивых каналов финансирования). Просьбы о финансовой поддержке публиковали не более 10% от хакерских групп (большинство — «мимикрирующие» хакеры). С другой стороны, одновременно с отказом от сбора денег с «сочувствующих» выросла доля атак с использованием программ-вымогателей (наибольший всплеск фиксировался на «израильском» направлении, где частота подобных атак увеличилась более чем в 7 раз). Упор на подобные атаки позволил не только получить дополнительный источник поступления средств, но и нанести оппонентам имиджевый урон.

***

«Внешний периметр» цифровой безопасности Ирана находится в стадии активного формирования. Налицо стремление проиранских хакерских команд уделять одинаковое внимание наступательному и оборонительному аспектам собственной деятельности, а также самостоятельно (т.е. без привлечения иранских масс-медиа) работать над образом «цифровых защитников». Это позволяет говорить о том, что система стремится к равновесию.

С другой стороны, система в ее текущем виде не лишена недостатков. И, пожалуй, ключевым можно считать фактор «мимикрирующих» хакеров, которые, ввиду низкого уровня квалификации и проблем с целеполаганием, не только не способствуют упрочнению позиций Тегерана в регионе, но и серьезно вредят его имиджу (в большинстве случаев — неосознанно). В связи с этим выработка более комплексного подхода к работе с данной группой компьютерных специалистов становится для иранских властей задачей на краткосрочную перспективу. Не стоит исключать, что группировки, действующие вразрез с интересами Тегерана, будут подвергаться нападкам со стороны более последовательных проиранских хакерских сообществ, а их деятельность будет освещаться с критических позиций не только в прессе, но и на пропагандистских ресурсах других «хакеров-лоялистов».

^* Организация признана террористической, ее деятельность запрещена на территории РФ.

^** Перечисленные социальные платформы принадлежат компании «Meta», признанной экстремистской организацией и запрещенной в РФ.