Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока

Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока
Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока
Иранская хакерская группа UNC1860, предположительно связанная с Министерством разведки и безопасности Ирана (MOIS), продолжает осуществлять кибератаки на государственные и телекоммуникационные сети в странах Ближнего Востока.

По данным Mandiant, группировка использует специализированные инструменты и пассивные бэкдоры для получения и передачи другим хакерам длительного доступа к целевым системам, что делает UNC1860 одним из ключевых игроков в области первоначального проникновения в сети.

UNC1860 способствовала обеспечению доступа для деструктивных атак на Израиль в октябре 2023 года с использованием вайпера BABYWIPER и на Албанию в 2022 году с применением программы ROADSWEEP. Хотя прямых доказательств участия UNC1860 в атаках пока нет, специалисты отмечают наличие инструментов TEMPLEPLAY и VIROGREEN, которые, вероятно, были предназначены для передачи управления при проведении операций.

Основной арсенал UNC1860 включает в себя набор пассивных бэкдоров и утилит, позволяющих закрепиться в сети жертвы на длительный срок. Одним из таких примеров является драйвер ядра Windows, который был переработан из иранского антивирусного ПО, что свидетельствует о высокой квалификации группы в области реверс-инжиниринга компонентов Windows. Использование подобных инструментов позволяет группе эффективно уклоняться от обнаружения средствами безопасности.

Кроме того, UNC1860 активно эксплуатирует уязвимости в интернет-серверах для установки веб-оболочек и дальнейших атак. Например, в 2020 году было зафиксировано использование инфраструктуры жертвы для сканирования IP-адресов в Саудовской Аравии с целью поиска уязвимостей. Хакеры также атаковали VPN-сервера и проверяли учётные данные, что демонстрирует стремление к долгосрочному контролю над системами.

Помимо работы в качестве независимого киберпреступника, UNC1860 сотрудничает с другой иранской группой APT34, что подтверждает роль хакеров в предоставлении первоначального доступа к сетям для дальнейших атак. Характерной особенностью UNC1860 является использование нестандартных решений для кодирования данных и шифрования в целях обхода систем обнаружения угроз.

Mandiant также отмечает, что UNC1860 обладает широкими возможностями для использования полученного доступа, включая управление заражёнными машинами через специализированные GUI-контроллеры. Такие инструменты предоставляют удалённым операторам возможность легко выполнять команды, загружать и скачивать файлы, а также устанавливать соединения для дальнейшего проникновения в сеть.

Специалисты предупреждают, что UNC1860 остаётся одной из наиболее опасных киберугроз в регионе, продолжая развивать свои тактики и инструменты. Текущие напряжённости на Ближнем Востоке могут только способствовать дальнейшему усилению активности группы в области.

В июне 2024 года специалисты Mandiant Managed Defense обнаружили кибершпионскую группу UNC2970, которую связывают с Северной Кореей. Позже в том же месяце эксперты Mandiant зафиксировали фишинговые атаки, в которых хакеры представлялись энергетической компанией и организацией в аэрокосмической отрасли.

Специалисты Mandiant отмечают, что подобные атаки группы UNC2970 направлены на получение доступа к стратегической информации, а их деятельность имеет пересечения с другой северокорейской группой — TEMP.Hermit , которая активно действует с 2013 года.

Ранее в 2023 году специалисты из Mandiant заявляли, что северокорейские хакеры атакуют исследователей кибербезопасности и медиа-организации в США и Европе с помощью поддельных предложений о работе, которые приводят к развертыванию трех новых семейств вредоносных программ.

securitylab.ru


Распечатать
24 июля 2025 Представлен список участников экипажа разбившегося Ан-24
24 июля 2025 В Приамурье обнаружили место, где потерпел крушение пропавший самолёт Ан-24
24 июля 2025 Фамилия Трамп часто встречается в материалах по делу Джеффри Эпштейна
24 июля 2025 Шаг к тоталитаризму: власти начнут составлять профили «неблагонадежных» подростков по всей России
24 июля 2025 США обвинили ЕС в ущемлении свободы слова из-за критики действий властей
24 июля 2025 На топливный терминал в Сириусе было совершено нападение с применением беспилотных летательных аппаратов
24 июля 2025 На приграничной территории между Таиландом и Камбоджей произошли столкновения
24 июля 2025 Восстановлена цепочка событий крушения Ан-24 в Амурской области
24 июля 2025 Николая Симоненко, заместителя губернатора Брянской области, арестовали за хищение средств при строительстве оборонных объектов
24 июля 2025 В Италии на трассу упал легкомоторный самолет
24 июля 2025 В Самарской области мужчине выплатили 80 тысяч рублей за четыре года тюремного заключения по подложному обвинению
24 июля 2025 Россия временно приостановила загрузку нефтяных танкеров в черноморских портах
24 июля 2025 Схема по выводу денег через офшоры и обманутые инвесторы: как Freedom Finance Тимура Турлова превратилась в «отмывочную пирамиду»
24 июля 2025 Бандитская схема обналички в Москва-Сити: ФНС раскрыла махинации Аль-Кетби с применением "National Pulse"
24 июля 2025 В интернете появились видео полёта Ан-24, который потерпел крушение в Амурской области
24 июля 2025 В Приморском крае девочка получила травму термометром в ходе дорожно-транспортного инцидента
24 июля 2025 Россия атаковала Одессу с большим размахом
24 июля 2025 Заместитель руководителя уголовного розыска Кубани Армен Арутюнян организовал группу фальсификаторов, которая действует под прикрытием правосудия
24 июля 2025 Город Сочи стал объектом масштабной атаки с использованием беспилотников
24 июля 2025 Китайская компания тайно поставляет моторы для беспилотников «Гарпия-А1» в Россию