Новый отчет компании угрозовой разведки KELA выявил тревожную эскалацию киберопераций, связанных с иранскими субъектами, поддерживаемыми государством. Эти группы все чаще используют стратегию «вымогатель-как-посредник» для атак и нарушения работы критической инфраструктуры США. Вместо проведения прямых атак иранские группы расширенных постоянных угроз (APT) используют установившихся партнеров-вымогателей и брокеров доступа. Этот метод обеспечивает уровень правдоподобного отрицания для иранского государства, позволяя при этом осуществлять разрушительные атаки, соответствующие геополитической напряженности. Нацеливание на критические секторы — такие как энергетика, транспорт и производство — сигнализирует о стратегическом сдвиге в сторону операций, способных нанести ощутимый, разрушительный ущерб национальной безопасности и экономической стабильности.
Операционная модель предполагает, что иранские хакеры покупают первоначальный сетевой доступ у киберпреступных брокеров доступа, которые уже скомпрометировали организации. Впоследствии они развертывают программы-вымогатели, часто через партнерские программы, для шифрования и сбоя операций. Эта стратегия посредничества высокоэффективна: она скрывает истинное государственное происхождение атаки, усложняет атрибуцию для защитников и использует сложные инструменты и инфраструктуру, уже разработанные криминальной экосистемой вымогателей. Для иранских групп это представляет собой усилитель, позволяющий им сосредоточиться на стратегических целях, передавая первоначальное вторжение и развертывание вредоносных программ способным преступным субъектам.
Выводы KELA подчеркивают растущее сближение целей национальных государств и киберпреступного предпринимательства. Границы между политически мотивированными атаками и финансово обусловленными преступлениями размываются, создавая более сложный ландшафт угроз. Для защитников в организациях критической инфраструктуры это означает, что вторжение, изначально выглядящее как стандартный инцидент с криминальным программой-вымогателем, на самом деле может быть действием, поддерживаемым государством, с потенциально более разрушительными и постоянными целями. Эта тактика также позволяет Ирану потенциально извлекать финансовую выгоду из выплат выкупа, что дополнительно финансирует его киберпрограммы и военные программы.
В ответ на эту развивающуюся угрозу эксперты по кибербезопасности подчеркивают настоятельную необходимость повышения бдительности и обмена разведданными в сообществе критической инфраструктуры. Оборонные стратегии теперь должны учитывать двойственную природу таких атак, сочетая надежные планы реагирования на инциденты для программ-вымогателей с передовыми методами поиска угроз, обычно предназначенными для кампаний государственных субъектов. Укрепление базовой гигиены безопасности — включая оперативное управление исправлениями, строгий контроль доступа и всестороннюю сегментацию сети — остается наиболее важной защитой от первоначальной компрометации, независимо от мотивов конечного субъекта.
