СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
1 июня
#ИБ#Инфра#Облака

Иранские кибератаки угрожают ICS, облакам и критической инфраструктуре


Иранские кибероперации меняют характер угроз: от шпионажа к деструктивным атакам

Текущий конфликт с участием Ирана заметно изменил ландшафт киберугроз. По данным отчета, иранские кибероперации все чаще выходят за рамки традиционного APT-шпионажа и превращаются в более широкую кампанию, где сочетаются кибершпионаж, саботаж и атаки на критическую инфраструктуру. Особую тревогу вызывает передача сложных возможностей прокси-акторам за пределами Ирана, что делает картину угроз менее предсказуемой и значительно усложняет атрибуцию.

От APT33 и APT42 к новым игрокам

Как отмечается в отчете, привычные для региона группы, включая APT33 и APT42, оказались ограничены из-за локального контроля интернета. На этом фоне начинают выделяться менее известные субъекты — Rusty Boots и MoKhargosh. Они демонстрируют продвинутые техники атак, включая использование bootkit-подходов для развертывания wipers, то есть уничтожителей данных.

Подобные методы ранее связывались в основном с российскими государственными актерами. Теперь же их появление в иранском контуре указывает на качественный сдвиг: злоумышленники явно готовы к операциям, ориентированным не только на кражу данных, но и на физическое или функциональное выведение систем из строя.

HYDRO KITTEN и угроза промышленным системам

Особое внимание в документе уделено группе HYDRO KITTEN, связанной с Cyber Electronic Command Корпуса стражей исламской революции Ирана. Этот актор представляет серьезную угрозу для ICS и OT, то есть для промышленных систем управления и операционных технологий.

Среди наиболее опасных эпизодов — эксплуатация уязвимости CVE-2021-22681, которая позволяет обойти аутентификацию контроллеров Rockwell PLC. Практический эффект такой атаки особенно тревожен: она дает возможность наносить физический ущерб без развертывания вредоносного программного обеспечения, а значит, и без привычных индикаторов компрометации.

Отчет также указывает, что HYDRO KITTEN активно расширяет перечень используемых уязвимостей. В арсенале группы — различные CVE, нацеленные на FortiOS, SonicWall и операционные системы. Это подтверждает, что речь идет не о разовой операции, а о системной и эволюционирующей offensive capability.

Кибератаки и kinetic threat

Авторы отчета подчеркивают: иранские кибероперации больше не ограничиваются цифровой плоскостью. Они все чаще сливаются с kinetic-угрозами. В качестве показательного примера приводится нападение на облачный центр Amazon в Бахрейне — инцидент, который был охарактеризован как акт войны против цифровой инфраструктуры.

Для организаций, размещающих workloads в регионе Персидского залива, это означает необходимость пересмотра стратегий disaster recovery. Простая опора на cloud-сервисы в таких локациях больше не выглядит достаточной. Отчет рекомендует делать ставку на multi-region architectures, поскольку планы, ориентированные только на cyber threats, в новых условиях оказываются недостаточными.

Living off the land и атаки через учетные данные

Еще одна важная тенденция — переход к стратегии living off the land. По данным отчета, Rusty Boots использует учетные данные для компрометации систем. Такой подход особенно опасен тем, что он маскирует активность злоумышленников под легитимную административную работу и тем самым затрудняет обнаружение стандартными средствами защиты.

В этом же контексте упоминается деятельность UNC6446, связанная с применением spyware-инструментов против оборонных секторов Ближнего Востока. Это подчеркивает двойную стратегию угрозы: сочетание шпионажа и деструктивных атак. В распоряжении этих субъектов — custom backdoors и уникальные каналы связи, что свидетельствует о высокой уверенности в операциях и дополнительно осложняет мониторинг.

Риски для цепочки поставок и критически важных отраслей

Отчет отдельно предупреждает о высоком потенциале supply chain-эксплуатации. Несколько параллельных кампаний создают риски сразу для ряда отраслей, включая:

  • энергетику;
  • здравоохранение;
  • авиацию.

В такой среде особенно важным становится мониторинг целостности инфраструктуры. Многие атаки обходят традиционные механизмы защиты за счет credential-based access, что делает классические сигнатурные и периметровые средства менее эффективными.

Вывод: срочная переоценка защиты

Общая картина, описанная в отчете, указывает на опасную эволюцию угроз. Злоумышленники все чаще совершают деструктивные кибератаки без традиционного атрибутирования, а их инструменты становятся более скрытными и гибкими. Для организаций это означает необходимость срочно пересмотреть не только средства защиты, но и стратегии incident response, disaster recovery и устойчивости инфраструктуры.

Иными словами, киберугроза, связанная с Ираном, перестает быть исключительно вопросом данных и выходит на уровень физического, инфраструктурного и геополитического риска.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: