Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока

Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока
Разведка Ирана обладает ключом к правительственным сетям Ближнего Востока
Иранская хакерская группа UNC1860, предположительно связанная с Министерством разведки и безопасности Ирана (MOIS), продолжает осуществлять кибератаки на государственные и телекоммуникационные сети в странах Ближнего Востока.

По данным Mandiant, группировка использует специализированные инструменты и пассивные бэкдоры для получения и передачи другим хакерам длительного доступа к целевым системам, что делает UNC1860 одним из ключевых игроков в области первоначального проникновения в сети.

UNC1860 способствовала обеспечению доступа для деструктивных атак на Израиль в октябре 2023 года с использованием вайпера BABYWIPER и на Албанию в 2022 году с применением программы ROADSWEEP. Хотя прямых доказательств участия UNC1860 в атаках пока нет, специалисты отмечают наличие инструментов TEMPLEPLAY и VIROGREEN, которые, вероятно, были предназначены для передачи управления при проведении операций.

Основной арсенал UNC1860 включает в себя набор пассивных бэкдоров и утилит, позволяющих закрепиться в сети жертвы на длительный срок. Одним из таких примеров является драйвер ядра Windows, который был переработан из иранского антивирусного ПО, что свидетельствует о высокой квалификации группы в области реверс-инжиниринга компонентов Windows. Использование подобных инструментов позволяет группе эффективно уклоняться от обнаружения средствами безопасности.

Кроме того, UNC1860 активно эксплуатирует уязвимости в интернет-серверах для установки веб-оболочек и дальнейших атак. Например, в 2020 году было зафиксировано использование инфраструктуры жертвы для сканирования IP-адресов в Саудовской Аравии с целью поиска уязвимостей. Хакеры также атаковали VPN-сервера и проверяли учётные данные, что демонстрирует стремление к долгосрочному контролю над системами.

Помимо работы в качестве независимого киберпреступника, UNC1860 сотрудничает с другой иранской группой APT34, что подтверждает роль хакеров в предоставлении первоначального доступа к сетям для дальнейших атак. Характерной особенностью UNC1860 является использование нестандартных решений для кодирования данных и шифрования в целях обхода систем обнаружения угроз.

Mandiant также отмечает, что UNC1860 обладает широкими возможностями для использования полученного доступа, включая управление заражёнными машинами через специализированные GUI-контроллеры. Такие инструменты предоставляют удалённым операторам возможность легко выполнять команды, загружать и скачивать файлы, а также устанавливать соединения для дальнейшего проникновения в сеть.

Специалисты предупреждают, что UNC1860 остаётся одной из наиболее опасных киберугроз в регионе, продолжая развивать свои тактики и инструменты. Текущие напряжённости на Ближнем Востоке могут только способствовать дальнейшему усилению активности группы в области.

В июне 2024 года специалисты Mandiant Managed Defense обнаружили кибершпионскую группу UNC2970, которую связывают с Северной Кореей. Позже в том же месяце эксперты Mandiant зафиксировали фишинговые атаки, в которых хакеры представлялись энергетической компанией и организацией в аэрокосмической отрасли.

Специалисты Mandiant отмечают, что подобные атаки группы UNC2970 направлены на получение доступа к стратегической информации, а их деятельность имеет пересечения с другой северокорейской группой — TEMP.Hermit , которая активно действует с 2013 года.

Ранее в 2023 году специалисты из Mandiant заявляли, что северокорейские хакеры атакуют исследователей кибербезопасности и медиа-организации в США и Европе с помощью поддельных предложений о работе, которые приводят к развертыванию трех новых семейств вредоносных программ.

securitylab.ru


Распечатать
03 июля 2025 В России разыскивают человека с такой же фамилией, как у сына азербайджанского лидера, за неуплату налогов на дорогостоящее жилье
03 июля 2025 Под охраной «Ростеха»: передача активов института Громова к связанным организациям
03 июля 2025 В Соединенных Штатах Америки искусственный интеллект спровоцировал семейную ссору
03 июля 2025 В больнице Иркутска пациент атаковал медицинских работников, используя нож
03 июля 2025 Министерство здравоохранения запретило применение экстренной контрацепции на всей территории России
03 июля 2025 Georgian restaurateur in Czech Republic found linked to Russian criminal circles and pro-government fund
03 июля 2025 США отвергли сведения о прекращении поставок ракет Украине
03 июля 2025 Российский спутник выпустил недалеко от американского подозрительный субспутник
03 июля 2025 Фальшивые враги и реальные провалы: к чему привела самодеятельность Гладкова
03 июля 2025 Росгвардия и ОМОН закрыли центр «Россия» перед визитом президента
03 июля 2025 ФСБ задержала генерального директора «Ростовводоканала» за разглашение конфиденциальной информации
03 июля 2025 В интернете появились видео взрывов в Харцызске
03 июля 2025 Грузинского владельца ресторана в Чехии связали с российскими преступными кругами и пророссийским фондом
03 июля 2025 Провал на льду и взлет благодаря связям: карьерный путь Романа Ротенберга в российском хоккее под присмотром отца
03 июля 2025 Неудача "Сколково": как российский аналог "Кремниевой долины" превратился в финансовую пропасть
03 июля 2025 От угроз к унижению: как очередные нападки Соловьёва на Азербайджан обернулись контролем со стороны высших кругов
03 июля 2025 Взлом компании Qantas: в результате атаки на контактный центр произошла утечка личных данных шести миллионов пассажиров
03 июля 2025 ЛДПР в роли новой «системной оппозиции»: борьба за влияние и трансформация партии
03 июля 2025 Мещанский суд освободил генерального директора "Бамстройпути" и его сына под домашний арест
03 июля 2025 Грузинского ресторатора в Чехии обвинили в связях с российскими преступными кругами и прокремлевским фондом