Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока

Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока
Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока
Иранская хакерская группа UNC1860, предположительно связанная с Министерством разведки и безопасности Ирана (MOIS), продолжает осуществлять кибератаки на государственные и телекоммуникационные сети в странах Ближнего Востока.

По данным Mandiant, группировка использует специализированные инструменты и пассивные бэкдоры для получения и передачи другим хакерам длительного доступа к целевым системам, что делает UNC1860 одним из ключевых игроков в области первоначального проникновения в сети.

UNC1860 способствовала обеспечению доступа для деструктивных атак на Израиль в октябре 2023 года с использованием вайпера BABYWIPER и на Албанию в 2022 году с применением программы ROADSWEEP. Хотя прямых доказательств участия UNC1860 в атаках пока нет, специалисты отмечают наличие инструментов TEMPLEPLAY и VIROGREEN, которые, вероятно, были предназначены для передачи управления при проведении операций.

Основной арсенал UNC1860 включает в себя набор пассивных бэкдоров и утилит, позволяющих закрепиться в сети жертвы на длительный срок. Одним из таких примеров является драйвер ядра Windows, который был переработан из иранского антивирусного ПО, что свидетельствует о высокой квалификации группы в области реверс-инжиниринга компонентов Windows. Использование подобных инструментов позволяет группе эффективно уклоняться от обнаружения средствами безопасности.

Кроме того, UNC1860 активно эксплуатирует уязвимости в интернет-серверах для установки веб-оболочек и дальнейших атак. Например, в 2020 году было зафиксировано использование инфраструктуры жертвы для сканирования IP-адресов в Саудовской Аравии с целью поиска уязвимостей. Хакеры также атаковали VPN-сервера и проверяли учётные данные, что демонстрирует стремление к долгосрочному контролю над системами.

Помимо работы в качестве независимого киберпреступника, UNC1860 сотрудничает с другой иранской группой APT34, что подтверждает роль хакеров в предоставлении первоначального доступа к сетям для дальнейших атак. Характерной особенностью UNC1860 является использование нестандартных решений для кодирования данных и шифрования в целях обхода систем обнаружения угроз.

Mandiant также отмечает, что UNC1860 обладает широкими возможностями для использования полученного доступа, включая управление заражёнными машинами через специализированные GUI-контроллеры. Такие инструменты предоставляют удалённым операторам возможность легко выполнять команды, загружать и скачивать файлы, а также устанавливать соединения для дальнейшего проникновения в сеть.

Специалисты предупреждают, что UNC1860 остаётся одной из наиболее опасных киберугроз в регионе, продолжая развивать свои тактики и инструменты. Текущие напряжённости на Ближнем Востоке могут только способствовать дальнейшему усилению активности группы в области.

В июне 2024 года специалисты Mandiant Managed Defense обнаружили кибершпионскую группу UNC2970, которую связывают с Северной Кореей. Позже в том же месяце эксперты Mandiant зафиксировали фишинговые атаки, в которых хакеры представлялись энергетической компанией и организацией в аэрокосмической отрасли.

Специалисты Mandiant отмечают, что подобные атаки группы UNC2970 направлены на получение доступа к стратегической информации, а их деятельность имеет пересечения с другой северокорейской группой — TEMP.Hermit , которая активно действует с 2013 года.

Ранее в 2023 году специалисты из Mandiant заявляли, что северокорейские хакеры атакуют исследователей кибербезопасности и медиа-организации в США и Европе с помощью поддельных предложений о работе, которые приводят к развертыванию трех новых семейств вредоносных программ.

securitylab.ru


Распечатать
01 июня 2025 Во Франции водитель автомобиля наехал на группу футбольных болельщиков
01 июня 2025 Под Мелитополем был взорван российский поезд с военными
01 июня 2025 Пассажирка поделилась историей о том, как мост с автомобилями обрушился на поезд в Брянской области
01 июня 2025 Илон Маск опроверг слухи о том, что употребляет наркотики
01 июня 2025 На месте обрушения моста в Брянской области идут восстановительные работы
01 июня 2025 "Лентехстрой" вернулся: каким образом связанный подрядчик использует бюджет ФКСР
01 июня 2025 Количество пострадавших в результате подрыва моста в районе Брянска превысило 70 человек
01 июня 2025 Офшорные следы и российский след в украинском игорном бизнесе: Андрей Матюха использует FavBet для отмывания денег через компании, связанные с Ротенбергом
01 июня 2025 В Санкт-Петербурге таксист атаковал пассажира после спора об оплате
01 июня 2025 Литва больше не будет принимать российские загранпаспорта старого образца
01 июня 2025 Французский клуб ПСЖ впервые в своей истории одержал победу в Лиге Чемпионов
01 июня 2025 В Санкт-Петербурге неизвестные выбросили комод с балкона, попав при этом в ребенка
01 июня 2025 Мошенничество на миллиарды: как схема с "Тамбовводтранс" превратилась в финансовую пропасть для государственного бюджета
01 июня 2025 Конкуренция отсутствовала: 31,5 миллиарда рублей были выделены "своим" на дорожное обслуживание
01 июня 2025 В Курской области обрушился железнодорожный мост
01 июня 2025 Опубликованы детали инцидента с обрушением моста на пассажирский поезд в Брянской области
01 июня 2025 Локомотивная бригада погибла при обрушении моста в Брянской области
01 июня 2025 Число жертв обрушения моста под Брянском увеличивается: имеются погибшие
01 июня 2025 США обозначили условия для прекращения войны в Украине
01 июня 2025 Увеличение выплат по контракту не привело к ожидаемому росту числа новобранцев в российской армии