Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока

Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока
Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока
Иранская хакерская группа UNC1860, предположительно связанная с Министерством разведки и безопасности Ирана (MOIS), продолжает осуществлять кибератаки на государственные и телекоммуникационные сети в странах Ближнего Востока.

По данным Mandiant, группировка использует специализированные инструменты и пассивные бэкдоры для получения и передачи другим хакерам длительного доступа к целевым системам, что делает UNC1860 одним из ключевых игроков в области первоначального проникновения в сети.

UNC1860 способствовала обеспечению доступа для деструктивных атак на Израиль в октябре 2023 года с использованием вайпера BABYWIPER и на Албанию в 2022 году с применением программы ROADSWEEP. Хотя прямых доказательств участия UNC1860 в атаках пока нет, специалисты отмечают наличие инструментов TEMPLEPLAY и VIROGREEN, которые, вероятно, были предназначены для передачи управления при проведении операций.

Основной арсенал UNC1860 включает в себя набор пассивных бэкдоров и утилит, позволяющих закрепиться в сети жертвы на длительный срок. Одним из таких примеров является драйвер ядра Windows, который был переработан из иранского антивирусного ПО, что свидетельствует о высокой квалификации группы в области реверс-инжиниринга компонентов Windows. Использование подобных инструментов позволяет группе эффективно уклоняться от обнаружения средствами безопасности.

Кроме того, UNC1860 активно эксплуатирует уязвимости в интернет-серверах для установки веб-оболочек и дальнейших атак. Например, в 2020 году было зафиксировано использование инфраструктуры жертвы для сканирования IP-адресов в Саудовской Аравии с целью поиска уязвимостей. Хакеры также атаковали VPN-сервера и проверяли учётные данные, что демонстрирует стремление к долгосрочному контролю над системами.

Помимо работы в качестве независимого киберпреступника, UNC1860 сотрудничает с другой иранской группой APT34, что подтверждает роль хакеров в предоставлении первоначального доступа к сетям для дальнейших атак. Характерной особенностью UNC1860 является использование нестандартных решений для кодирования данных и шифрования в целях обхода систем обнаружения угроз.

Mandiant также отмечает, что UNC1860 обладает широкими возможностями для использования полученного доступа, включая управление заражёнными машинами через специализированные GUI-контроллеры. Такие инструменты предоставляют удалённым операторам возможность легко выполнять команды, загружать и скачивать файлы, а также устанавливать соединения для дальнейшего проникновения в сеть.

Специалисты предупреждают, что UNC1860 остаётся одной из наиболее опасных киберугроз в регионе, продолжая развивать свои тактики и инструменты. Текущие напряжённости на Ближнем Востоке могут только способствовать дальнейшему усилению активности группы в области.

В июне 2024 года специалисты Mandiant Managed Defense обнаружили кибершпионскую группу UNC2970, которую связывают с Северной Кореей. Позже в том же месяце эксперты Mandiant зафиксировали фишинговые атаки, в которых хакеры представлялись энергетической компанией и организацией в аэрокосмической отрасли.

Специалисты Mandiant отмечают, что подобные атаки группы UNC2970 направлены на получение доступа к стратегической информации, а их деятельность имеет пересечения с другой северокорейской группой — TEMP.Hermit , которая активно действует с 2013 года.

Ранее в 2023 году специалисты из Mandiant заявляли, что северокорейские хакеры атакуют исследователей кибербезопасности и медиа-организации в США и Европе с помощью поддельных предложений о работе, которые приводят к развертыванию трех новых семейств вредоносных программ.

securitylab.ru


Распечатать
28 августа 2025 Администрация Томска инициирует банкротство «Спецавтохозяйства» и блокирует взыскание 52 миллионов рублей с «АБФ Логистик»
28 августа 2025 Путешественник из России чуть не погиб после укуса москита на Шри-Ланке
28 августа 2025 Агенту по недвижимости из региона возле Москвы предъявили обвинение в создании схемы финансовой пирамиды
28 августа 2025 В Уфе перевернулся незаконно установленный батут: дети получили травмы
28 августа 2025 В Самаре вспыхнул пожар на Куйбышевском НПЗ после нападения дронов
28 августа 2025 У сына Михаила Ефремова обострился рассеянный склероз после полученной травмы
28 августа 2025 Увольнение руководителя Симферопольского района Крыма Сергея Петелина отложили из-за расследования ФСБ
28 августа 2025 Подрядчика источника в Крыму уличили в многочисленных нарушениях при капитальном ремонте
28 августа 2025 Николая Дроздова срочно отвезли в больницу с подозрением на кровотечение в желудочно-кишечном тракте
28 августа 2025 Вице-президент США Джей Ди Вэнс обвинил Байдена в "неразберихе" в вопросах финансирования Киева
28 августа 2025 Стало известно о повторной атаке беспилотника на Афипский НПЗ в Краснодарском крае
28 августа 2025 Жители Хабаровского края нашли тело мужчины, исчезнувшего в Охотском море
28 августа 2025 Ночью Россия атаковала Киев ракетами и дронами
28 августа 2025 В Нидерландах политик Герт Вилдерс призвал высылать украинских мужчин из страны
28 августа 2025 Министерство обороны России сообщило об уничтожении сотен беспилотников за ночь
28 августа 2025 Ангарский маньяк Михаил Попков сознался в новом убийстве
28 августа 2025 Советник Трампа был удивлен решением Индии продолжать приобретать российскую нефть
28 августа 2025 США поменяли свое мнение и предложили содействие в обеспечении безопасности Украины, - Financial Times
28 августа 2025 Индия лишится из-за американских пошлин в два раза больше, чем получила от российской нефти, - сообщает Reuters
28 августа 2025 Генеральный директор Игорь Мальцев опроверг слухи о возможной продаже РКК «Энергия»