Некоторое время назад мы стали знакомить вас с нашими аналитическими исследованиями. Мы уже давно изучаем актуальные киберугрозы в России и мире и регулярно делимся важными для рынка цифрами и фактами, анализируем тренды и даже предсказываем будущее кибербезопасности. С недавних пор мы стали делать подробные исследования по странам Азии и Африки. (Спокойствие! Актуальные угрозы мира никуда не денутся из нашего поля зрения.) И, поверьте аналитику, там есть на что посмотреть: уникальные тренды кибербезопасности, специфика поведения атакующих, техники и тактики атак, особенный портрет жертв. Мы решили рассказывать вам об этом.

Для начала держите подборку самых интересных атак на Ближнем Востоке за последние полтора года. ????Идем на Восток!

1. В начале 2022 года группе хактивистов, известной как Adalat Ali, дважды удалось вмешаться в работу стримингового сервиса Telewebion, принадлежащего национальному телеканалу Исламской Республики Иран (IRIB), и запустить в эфир 50-секундные обращения с призывами к протестам.

2. В Израиле был объявлен режим чрезвычайной ситуации из-за беспрецедентно мощных и продолжительных DDoS-атак на телекоммуникационные компании Bezeq и Cellcom, которые привели к недоступности веб-ресурсов госучреждений: министерств здравоохранения и внутренних дел, канцелярии премьер-министра, а также некоторых крупных СМИ. По сообщениям источников в оборонных ведомствах утверждается, что это была крупнейшая кибератака, когда-либо совершенная против Израиля.

3. Системы городского оповещения городов Иерусалим и Эйлат были скомпрометированы неназванными злоумышленниками, и воскресным вечером в июне 2022 года жители этих городов в течение часа слышали ложные срабатывания сирен воздушной тревоги.

4. Во II квартале 2022 года произошла крупная атака на три иранских сталелитейных завода, в результате которой были нарушены технологические процессы, а на одном из заводов злоумышленникам удалось обрушить ковш с жидким чугуном, что вызвало пожар в цехе и остановку производства.

5. Из-за того, что разработчики израильского сервиса Gamkenbot для записи на прием в госучреждения выложили исходный код в открытый доступ, были значительно затруднены обработка заявок на получение различных документов и оказание услуг населению. Злоумышленники изменили функции сервиса под свои нужды и сделали из него ботов-скальперов, которые находили и бронировали все доступные слоты для записи. После этого мошенники монетизировали своих ботов, продавая гражданам слоты, которые по своей сути должны быть бесплатными.

6. Масштабная утечка данных произошла в израильской компании Cellebrite, которая предоставляет услуги по сбору, анализу цифровых данных и управлению ими. По профилю услуг компания очень похожа на NSO Group, создавшую печально известное шпионское ПО Pegasus. В результате 1,7 ТБ данных, содержавших проприетарное программное обеспечение для диагностики устройств, резервного копирования, передачи, восстановления содержимого, а также инструменты для лицензирования и сопроводительную документацию, оказались в открытом доступе. При этом до сих пор неизвестно, кто совершил атаку и какие тактики, техники и процедуры в ней были использованы.

7. Иранское государственное информационное агентство Fars подверглось кибератаке, ответственность за которую взяла на себя группа хактивистов Black Reward. По заявлениям хактивистов, им удалось похитить почти 250 терабайт конфиденциальной информации, провести дефейс сайта и получить доступ к записям камер видеонаблюдения, однако агентство отрицает взлом. Это событие широко освещалось в ближневосточных СМИ, а записи с камер наблюдения стали вирусными в иранских социальных сетях.

8. Группировка вымогателей Vice Society выложила данные, украденные в ходе атак на IKEA в Марокко и Кувейте. Названия файлов на сайте утечек Vice Society также указывают на то, что злоумышленники получили доступ к конфиденциальным данным сотрудников. IKEA уведомила, что это была не единичная атака и фишинговые письма с вредоносными вложениями продолжают поступать на электронные адреса поставщиков и партнеров шведского мебельного гиганта.

9. В начале 2023 года хактивисты Electronic Quds Force начали масштабную кампанию, направленную на промышленные объекты Израиля, которые производят химикаты. В качестве доказательства получения доступа к программируемым промышленным контроллерам группа опубликовала скриншоты интерфейсов автоматизированных систем управления технологическими процессами (АСУ ТП). В 2022 году подобную кампанию проводили хактивисты из GhostSec, которым удалось получить доступ к 55 ПЛК производства Berghof и атаковать организации, использовавшие эти контроллеры.

10. Работа фермерских систем орошения в долине Хула и Иорданской долине, а также систем управления очисткой сточных вод Galil Sewage Corporation была нарушена из-за кибератак группировок хактивистов. Атаки достигли своей цели из-за слабых механизмов аутентификации и управления уязвимостями в ПЛК Unitronics, что позволило злоумышленникам получить удаленный доступ к контроллерам и изменить параметры их конфигурации.

Какие киберинциденты в странах Ближнего Востока запомнились вам? Делитесь в комментариях!

Федор Чунижеков

Старший аналитик исследовательской группы Positive Technologies