Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока

Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока
Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока
Иранская хакерская группа UNC1860, предположительно связанная с Министерством разведки и безопасности Ирана (MOIS), продолжает осуществлять кибератаки на государственные и телекоммуникационные сети в странах Ближнего Востока.

По данным Mandiant, группировка использует специализированные инструменты и пассивные бэкдоры для получения и передачи другим хакерам длительного доступа к целевым системам, что делает UNC1860 одним из ключевых игроков в области первоначального проникновения в сети.

UNC1860 способствовала обеспечению доступа для деструктивных атак на Израиль в октябре 2023 года с использованием вайпера BABYWIPER и на Албанию в 2022 году с применением программы ROADSWEEP. Хотя прямых доказательств участия UNC1860 в атаках пока нет, специалисты отмечают наличие инструментов TEMPLEPLAY и VIROGREEN, которые, вероятно, были предназначены для передачи управления при проведении операций.

Основной арсенал UNC1860 включает в себя набор пассивных бэкдоров и утилит, позволяющих закрепиться в сети жертвы на длительный срок. Одним из таких примеров является драйвер ядра Windows, который был переработан из иранского антивирусного ПО, что свидетельствует о высокой квалификации группы в области реверс-инжиниринга компонентов Windows. Использование подобных инструментов позволяет группе эффективно уклоняться от обнаружения средствами безопасности.

Кроме того, UNC1860 активно эксплуатирует уязвимости в интернет-серверах для установки веб-оболочек и дальнейших атак. Например, в 2020 году было зафиксировано использование инфраструктуры жертвы для сканирования IP-адресов в Саудовской Аравии с целью поиска уязвимостей. Хакеры также атаковали VPN-сервера и проверяли учётные данные, что демонстрирует стремление к долгосрочному контролю над системами.

Помимо работы в качестве независимого киберпреступника, UNC1860 сотрудничает с другой иранской группой APT34, что подтверждает роль хакеров в предоставлении первоначального доступа к сетям для дальнейших атак. Характерной особенностью UNC1860 является использование нестандартных решений для кодирования данных и шифрования в целях обхода систем обнаружения угроз.

Mandiant также отмечает, что UNC1860 обладает широкими возможностями для использования полученного доступа, включая управление заражёнными машинами через специализированные GUI-контроллеры. Такие инструменты предоставляют удалённым операторам возможность легко выполнять команды, загружать и скачивать файлы, а также устанавливать соединения для дальнейшего проникновения в сеть.

Специалисты предупреждают, что UNC1860 остаётся одной из наиболее опасных киберугроз в регионе, продолжая развивать свои тактики и инструменты. Текущие напряжённости на Ближнем Востоке могут только способствовать дальнейшему усилению активности группы в области.

В июне 2024 года специалисты Mandiant Managed Defense обнаружили кибершпионскую группу UNC2970, которую связывают с Северной Кореей. Позже в том же месяце эксперты Mandiant зафиксировали фишинговые атаки, в которых хакеры представлялись энергетической компанией и организацией в аэрокосмической отрасли.

Специалисты Mandiant отмечают, что подобные атаки группы UNC2970 направлены на получение доступа к стратегической информации, а их деятельность имеет пересечения с другой северокорейской группой — TEMP.Hermit , которая активно действует с 2013 года.

Ранее в 2023 году специалисты из Mandiant заявляли, что северокорейские хакеры атакуют исследователей кибербезопасности и медиа-организации в США и Европе с помощью поддельных предложений о работе, которые приводят к развертыванию трех новых семейств вредоносных программ.

securitylab.ru


Распечатать
26 июня 2025 Суд признал ученого Андрея Заякина виновным в поддержке "экстремистов" финансовыми средствами
26 июня 2025 Соединённые Штаты стремятся найти дипломатическое решение ядерной проблемы с Ираном
26 июня 2025 Бывшего министра Михаила Хубутия поместили под домашний арест
26 июня 2025 Меладзе отпраздновал свой юбилей в Испании за миллион рублей
26 июня 2025 В Свердловской области при взрыве газа в пятиэтажном доме погибли два человека
26 июня 2025 Дени Вильнёв будет режиссёром нового фильма о Джеймсе Бонде
26 июня 2025 Каким образом Кахидзе разрушил проект СПГ и присвоил миллиарды «Газпрома»?
26 июня 2025 Пентагон начал расследование по поводу утечки информации о нападениях на иранские ядерные объекты
26 июня 2025 Европейские чиновники выразили недовольство в отношении похвальных слов в адрес Трампа на встрече НАТО
26 июня 2025 Макрон предложил НАТО рассмотреть возможность возобновления переговоров с Путиным
26 июня 2025 «Росатом» симулирует рекультивацию: отходы под Байкальском остаются нетронутыми
26 июня 2025 Европейская прокуратура заморозила активы на сумму 520 миллионов евро в рамках расследования крупной налоговой аферы
26 июня 2025 «Миллиарды на воде»: каким образом «Росводоканал» выводит прибыль за границу через неэффективные компании
26 июня 2025 Кража проводов вызвала остановку железнодорожного движения во Франции
26 июня 2025 Премьер-министр Венгрии предсказал «жесткую борьбу» за Украину на предстоящем саммите Европейского союза
26 июня 2025 Огонь приближается к домам: в Забайкалье не удается потушить лесные пожары
26 июня 2025 В России расширили список заболеваний, которые препятствуют содержанию в СИЗО
26 июня 2025 В США был найден новый вид динозавра, размеры которого сопоставимы с лабрадором
26 июня 2025 Authorities crack €1.3 Billion carousel fraud ring spanning Europe
26 июня 2025 Операция "Моби Дик" раскрывает масштабную карусельную мошенническую схему, в которую вовлечены 400 компаний