автор: Ким С. Нэш и Джеймс Рандл
Центральное командование США, которое курирует военные операции на Ближнем Востоке, опубликовало в воскресенье сообщение: “Вооруженные силы США предпринимают решительные действия для устранения неминуемых угроз, исходящих от иранского режима. Забастовки продолжаются”.
Иран, хотя и не столь искушен в атакующем хакерстве, как другие страны, обладает некоторыми явными преимуществами и признанной тактикой. Ответные кибератаки со стороны Ирана, вероятно, будут нацелены на поставщиков коммунальных услуг в США и будут включать в себя распределенные атаки типа «отказ в обслуживании» на известные веб-сайты. В последние годы иранский шпионаж был сосредоточен на взломе учетных записей сотрудников оборонной промышленности. Ознакомьтесь с нашим обзором навыков Ирана в киберпространстве.
Подробнее о ситуации в киберпространстве региона читайте ниже.
Dow Jones Risk Journal
По мере эскалации конфликта между Ираном и США специалисты по кибербезопасности с обеих сторон будут рассматривать варианты цифровых ударов в дополнение к физическим военным действиям. Это может включать в себя вывод из строя компьютерной инфраструктуры, искажение или перехват сообщений, уничтожение данных или осуществление других разрушительных кибератак.
В некоторых ситуациях более разумным ответом может оказаться меньшая жесткость, считает Джейк Уильямс, преподаватель исследовательской и консалтинговой компании IANS Research, специализирующейся на кибербезопасности.
Обе страны часто проводят друг против друга операции по кибершпионажу. Если США проникли в иранскую систему для сбора разведывательной информации, повреждение подключенного сервера или сети во время военной операции может лишить их доступа к шпионажу. «Теперь они не видят разведданных. Им будет непросто восстановить доступ», — сказал Уильямс, бывший хакер-специалист Агентства национальной безопасности.
Тем не менее, кибератаки с обеих сторон, скорее всего, будут частью военного столкновения. По данным британской компании Dragonfly , занимающейся прогнозированием рисков, ответные кибератаки Ирана, вероятно, будут направлены против американских поставщиков коммунальных услуг и будут включать распределенные атаки типа «отказ в обслуживании» на известные веб-сайты. Dragonfly является подразделением Dow Jones, которая также издает Risk Journal.
Вот обзор кибервозможностей Ирана.
Шпионаж
В последние годы иранский шпионаж сосредоточился на взломе учетных записей сотрудников оборонной промышленности. По данным группы Google по анализу угроз, излюбленной тактикой являются поддельные порталы вакансий, инструменты для составления резюме и тесты на определение личностных качеств, содержащие вредоносное ПО. Google зафиксировал иранские кампании, направленные на то, чтобы обманом заставить соискателей в аэрокосмической и оборонной отраслях раскрыть свои учетные данные и запустить вредоносное программное обеспечение, предлагая им ложные вакансии.
Хактивизм и незащищенные системы
Как сообщила Google, проиранские хактивисты недавно атаковали израильские оборонные структуры DDoS-атаками и могут сделать то же самое в США. Беспорядочные сбои в работе и провокационные сообщения на веб-сайтах могут нарушить работу бизнеса. Хотя хактивисты менее опасны, чем хакерские группы, связанные с подразделениями военной разведки, риск их деятельности не следует недооценивать, заявил Гэри Барлет — главный технический директор по работе с государственным сектором в киберкомпании Illumio. Иран поддерживает несколько опасных прокси-групп на Ближнем Востоке, включая хуситов, Хезболлу и Хамас. «Они не обязательно окажутся под ударом этих боевых действий, и могут рассматривать это как возможность поддержать Иран», — сказал Барлет — бывший офицер кибербезопасности ВВС США.
Иран не работает на переднем крае кибербезопасности. Хотя хакеры из других стран, возможно, предпочитают находить ранее неизвестные уязвимости для эксплуатации, Иран хорошо умеет обнаруживать компьютерные системы, работающие на уязвимом программном обеспечении, которое следовало бы исправить месяцами или годами назад, но этого не произошло. Это не означает, что его хакерские способности следует недооценивать.
«Иран вполне способен на многое. И хотя он, возможно, не достигает уровня невероятно изощренных операций Китая и России, для достижения своих целей ему это и не обязательно», — сказала Синтия Кайзер — старший вице-президент исследовательского центра по борьбе с программами-вымогателями компании Halcyon. Кайзер, бывший заместитель помощника директора отдела кибербезопасности Федерального бюро расследований, отметила, что иранские хакеры известны своими громкими и дерзкими атаками, но также практикуют тайный шпионаж и операции по получению доступа, что открывает путь для более разрушительных атак. Часто они используют халатность в вопросах безопасности против своих целей.
Агентство по кибербезопасности и защите инфраструктуры США предупредило, что подобные «цели, представляющие собой удобную возможность» часто встречаются в промышленных системах, используемых в электросетях и других коммунальных предприятиях. По данным CISA, в предыдущих иранских кампаниях использовались автоматизированные программы для взлома паролей и списки паролей производителей по умолчанию, которые клиенты часто не меняют.
По словам Уильямса, иранские хакеры реже, чем другие, скрывают свои следы. Например, киберпреступники из США стремятся к тому, чтобы их никогда не идентифицировали, и часто маскируют свои действия, чтобы выглядеть как другие противники, сказал он. «Ирану все равно, кто их идентифицирует. Возможно, они даже этого желают», — добавил он.
Большая слабость
По словам Уильямса, Иран отстает от США и других стран в способности быстро взламывать сети и оставаться в них. Отчасти это связано с ограниченным числом хакеров, специализирующихся на наступательных операциях. «Недостаток ресурсов по сравнению с нашими создает для них проблему в поддержании доступа», — сказал он.
Пишите Ким С. Нэш по адресу kim.nash@wsj.com