Американские регуляторы в сфере кибербезопасности забили тревогу: активность иранских хакеров и связанных с Тегераном хактивистов продолжает расти, и в ближайшее время эксперты ожидают дальнейшей эскалации. Совместное предупреждение выпустили Агентство по кибербезопасности и защите инфраструктуры (CISA), ФБР, Центр по борьбе с киберпреступностью Минобороны США (DC3) и Агентство национальной безопасности (АНБ).
Кто под ударом
По данным ведомств, за последние месяцы заметно выросла активность как хактивистов, так и государственных иранских акторов — и этот рост, вероятно, продолжится «в связи с недавними событиями». Атакующие, как отмечают агентства, чаще всего используют «возможности момента»: непропатченные или устаревшие системы с известными уязвимостями (CVE), а также стандартные или слабые пароли на устройствах, подключённых к интернету.
При этом ведомства подчёркивают: пока нет доказательств скоординированной кампании, которую можно было бы напрямую приписать Ирану на территории США. Тем не менее особое внимание уделяется компаниям оборонно-промышленного комплекса (Defense Industrial Base, DIB) — прежде всего тем, что связаны с израильскими исследовательскими и оборонными структурами. Американские и израильские организации также рискуют столкнуться с DDoS-атаками и программами-вымогателями.
Методы иранских группировок
Типичная схема начинается с разведки — для поиска уязвимых устройств, доступных из интернета, злоумышленники используют инструменты вроде Shodan, особенно применительно к системам промышленной автоматизации (ICS). Получив первоначальный доступ, они пользуются слабой сегментацией сети или неправильно настроенными файрволами для горизонтального перемещения. В прошлых кампаниях иранские группы применяли инструменты удалённого доступа (RAT), кейлоггеры и даже легитимные административные утилиты — PsExec и Mimikatz, — чтобы повышать привилегии, оставаясь незамеченными для базовых средств защиты конечных точек.
Судя по предыдущим атакам, иранские акторы также активно используют автоматизированный подбор паролей, взлом хешей и заводские пароли по умолчанию для проникновения в устройства с выходом в интернет, а для взлома операционных технологических (OT) сетей — инженерные и диагностические инструменты.
Предупреждение появилось спустя несколько дней после того, как Министерство внутренней безопасности (DHS) выпустило бюллетень с призывом к американским организациям быть готовыми к «низкоуровневым кибератакам» со стороны проиранских хактивистов на фоне геополитической напряжённости между Ираном и Израилем.
Фишинг против журналистов и учёных
Ранее на прошлой неделе компания Check Point сообщила, что иранская группировка APT35 атаковала журналистов, известных специалистов по кибербезопасности и преподавателей информатики в Израиле в рамках целевой фишинговой кампании. Цель — получить учётные данные Google с помощью поддельных страниц входа в Gmail или фальшивых приглашений в Google Meet.
Что советуют делать организациям
Агентства рекомендуют следующий набор мер:
- отключить активы OT и ICS от публичного интернета;
- защитить устройства и учётные записи сильными уникальными паролями, заменить слабые и стандартные пароли, внедрить многофакторную аутентификацию (MFA);
- использовать устойчивую к фишингу MFA для доступа к OT-сетям из любой другой сети;
- своевременно устанавливать обновления безопасности для устранения известных уязвимостей;
- вести мониторинг журналов доступа пользователей для удалённых подключений к OT-сети;
- выстроить процессы в OT, предотвращающие несанкционированные изменения, потерю видимости или потерю контроля;
- регулярно делать полные резервные копии систем и данных.
Практический первый шаг, по мнению экспертов, — оценить внешнюю поверхность атаки: какие системы доступны извне, какие порты открыты и не работают ли устаревшие сервисы. В этом помогают программа CISA Cyber Hygiene и open-source сканеры вроде Nmap, а выстраивание защиты по матрице MITRE ATT&CK облегчает расстановку приоритетов исходя из реальных тактик злоумышленников.
«Несмотря на объявленное прекращение огня и продолжающиеся переговоры о постоянном урегулировании, связанные с Ираном кибератакующие и хактивистские группы могут продолжать вредоносную деятельность», — отметили в агентствах.
Масштаб проблемы: цифры от Censys и SOCRadar
Компания Censys обновила данные и сообщила, что по состоянию на июнь 2025 года обнаружила 43 167 устройств Tridium Niagara, 2639 устройств Red Lion, 1697 устройств Unitronics и 123 устройства Orpak SiteOmat, доступных из интернета. Основной рост числа открытых устройств Tridium Niagara пришёлся на Германию, Швецию и Японию. Аналитики отдельно отметили, что стандартные пароли по-прежнему остаются лёгким путём проникновения в критические системы, и призвали производителей не поставлять оборудование и ПО с заводскими учётными данными, а вместо этого требовать уникальные пароли и предусматривать защиту от прямого доступа из интернета.
«За исключением Unitronics, чаще всего встречающейся в Австралии, наибольшее число таких устройств наблюдается в США, — сообщили в Censys. — Хотя у Tridium Niagara самые высокие показатели открытости, это программное обеспечение для автоматизации зданий, и в зависимости от целей атакующего эти системы, при всей их массовости, могут не быть самой ценной мишенью».
Компания SOCRadar сообщила, что конфликт между Ираном и Израилем в 2025 году спровоцировал всплеск кибератак: с 12 по 27 июня было зафиксировано более 600 заявлений об атаках более чем в 100 Telegram-каналах. Больше всего пострадал Израиль — 441 заявление, далее следуют США (69), Индия (34), Иордания (33) и Саудовская Аравия (13). Среди наиболее активных хактивистских групп этого периода — Mr Hamza, Keymous, Mysterious Team, Team Fearless, GARUDA_ERROR_SYSTEM, Dark Storm Team, Arabian Ghosts, Cyber Fattah, CYBER U.N.I.T.Y и NoName057(16). Чаще всего атаковали государственные структуры, оборонный сектор, телеком, финансовые организации и технологические компании.
«С начала войны активизировались государственные хакеры, хактивисты обеих стран, а также кибергруппы из третьих стран — от Южной Азии до России и Ближнего Востока», — отметили в SOCRadar. По данным компании, Израиль стал главной целью DDoS-атак — 357 заявлений, то есть 74% всей DDoS-активности.
Хактивисты по обе стороны конфликта
Исследователь из Outpost24 KrakenLabs Лидия Лопес Санс отмечает, что более 80 отдельных хактивистских групп «активно проводят или поддерживают» наступательные киберoперации против Израиля и его союзников. По её словам, предполагаемые «фейктивистские» структуры — Cyber Av3ngers, Handala и Predatory Sparrow — вероятно, действуют при поддержке государства или напрямую по его указанию.
Среди хактивистских объединений, заявивших о солидарности с Ираном, — DieNet, Mysterious Team Bangladesh, Team Insane Pakistan, Z-Alliance, Server Killers, Akatsuki Cyber Team, GhostSec, Keymous+, Inteid, Anonymous Kashmir и Mr Hamza Cyber Force.
«Резкий рост хактивистских киберопераций на фоне последней геополитической эскалации между Израилем и Ираном подчёркивает всё более центральную роль кибервойны в современных конфликтах, — заявили в Outpost24. — Идейно мотивированные хактивисты наряду с возможными государственными фейктивистами явно демонстрируют готовность использовать геополитическую напряжённость для достижения самых разных стратегических целей».
Источник: The Hacker News.