Войти
Российский совет по международным делам

Кибермощь Ирана (Киберстражи Исламской Революции). Часть 3

2360
0
0
Операции иранских кибергрупп
Операции иранских кибергрупп.
Источник изображения: https://tildacdn.com/

Крупнейшие зарубежные операции иранских кибергрупп


Анализ географии киберопераций, проводившихся иранскими акторами, показывает, что в число их целей в приоритетном порядке попадают США, практически все ближневосточные страны (особенно Израиль и Саудовская Аравия), западноевропейские и североафриканские государства, а также некоторые страны Центральной и Южной Азии. К проведению кибератак и операций по кибершпионажу в отношении зарубежных объектов иранскими спецслужбами как правило привлекаются практически те же хакерские группы, что выполняют хакерские атаки на внутрииранские цели, а именно группы Ashiyane Digital Security Team, Flying Kitten, Rocket Kitten, Charming Kitten, Magic Kitten, CopyKittens. При этом часть групп идентифицировались как исходно создававшиеся под проведение конкретных зарубежных операций – к примеру, группы Infy, OilRig, APT33, APT34 и др.


Предыдущая статья: Кибермощь Ирана (Киберстражи Исламской Революции). Часть 2


Страны - цели иранских кибератак по версии Srtatfor.
Источник: https://tildacdn.com/

По оценкам американских специалистов, в отличие от России и Китая, иранские хакерские группы ориентированы не только на мониторинг и сбор разведывательной информации, но и на нанесение непосредственного ущерба объектам атаки. В первую очередь это касается акций в отношении геополитических «врагов Ирана», таких, как США, Израиль и Саудовская Аравия. Они часто становились целью крупнейших киберопераций, проводившихся, как считается, иранскими кибергруппами. К числу таких кампаний можно причислить Madi (2012 г.), Operation Ababil (2012–2014 гг.), Operation Shamoon/Operation Shamoon 2 (2012 г. и 2016–2017 гг.), #OpIsrael и #OpUSA (2013 г. и последующие годы), Operation Cleaver (2012–2014 гг.), Operation Saffron Rose (2013–2014 гг.), Operation Newscaster (2011–2014 гг.), Operation Woolen-GoldFish (2014–2015 гг.), Operation Wilted Tulip (2013–2017 гг.) и Magic Hound (2016–2017 гг.).


Приоритетными объектами локальных операций по кибершпионажу и хакерских атак иранских групп [urlhttps://www.reuters.com/article/us-iran-usa-sanctions-idUSKBN16X0DL=]являются[/url] американские высокотехнологичные и оборонные компании, которые включены Ираном в санкционные списки и осуществляют поставки вооружений Израилю и Саудовской Аравии. Сюда можно отнести Raytheon, ITT Corporation, United Technologies, Oshkosh Corporation, а также Boeing и Northrop Grumman. Также сообщалось о взломе баз данных американской оборонной компании Arrow Tech Associates Inc. При этом, как отмечалось, в отличие от вышеперечисленных масштабных операций в отношении гражданских организаций, кибератаки на американские оборонные компании вследствие высокой степени обеспечения информационной безопасности, как правило, имели весьма ограниченный успех, и сообщения о краже Ираном чувствительной информации почти отсутствуют.


Также объектами кибершпионажа иранских хакеров становились и сопредельные ближневосточные государства, которые рассматриваются в качестве сферы противоборства интересов иранских и иностранных спецслужб. Такие операции не принимали масштабных форм, хотя и выполнялись с привлечением профессиональных кибергрупп. Согласно публиковавшимся в западных источниках данным, к примеру, кибергруппой Infy проводились операции по получению доступа к базам данных правительственных структур Афганистана (в частности, Национального радио и Министерства образования) и веб-ресурсам, связанным с Иракским Курдистаном. Группой Rocket Kitten осуществлялись операции по получению доступа к базам данных силовых структур Афганистана и Пакистана, группами Flying Kitten и Magic Kitten — операции в отношении йеменских политических движений и организаций. Также проводились атаки с целью получения доступа к аккаунтам иракских политиков или должностных лиц, работавших в телекоммуникационных компаниях.


Фиксировавшиеся до середины 2012 г. наиболее заметные операции иранских хакерских групп были направлены преимущественно на США и некоторые западные страны. Однако, несмотря на резонансный характер, они, как правило, не выходили за рамки обычных хакерских атак, проводимых группами средней квалификации с использованием общедоступного инструментария. Они ограничивались организацией фишинговых и спам-рассылок и атаками по блокированию доступа пользователей к базам данных, серверам (компьютерам), веб-страницам, аккаунтам электронной почты и страницам в соцсетях.


В числе наиболее резонансных кибератак с участием иранских хакеров на тот период указывалось блокирование в январе 2010 г. работы китайского поискового интернет-сервиса Baidu, а также взлом в феврале 2011 г. группой Iranian Cyber Army сайта радиостанции «Голос Америки». В результате атаки 2011 г. на сайте «Голоса Америки» был размещен логотип группы с надписью «Мы доказали, что можем» и призыв к США и госсекретарю Хилари Клинтон не вмешиваться во внутренние дела исламских государств. В декабре 2012 г. американскими СМИ также освещалась хакерская атака по взлому и блокированию информационной сети корпорации Las Vegas Sands. Хакеры взломали сайт казино Sands Casino в Лас-Вегасе, что было ответом на антииранские высказывания его собственника, американского бизнесмена Шелдона Адельсона. Как отмечалось, хакерами был установлен удаленный доступ к серверу казино с помощью программы Mimikatz, впоследствии был получен доступ к логинам и паролям и осуществлено блокирование всей информационной сети корпорации. При этом причиненный ущерб оценивался в 40 млн долл.


Западными источниками упоминались неоднократные хакерские атаки на сайт американского космического агентства NASA. В частности, в 2009 г. была осуществлена атака группой Ashiyane Digital Security Team. В мае 2012 г. операцию против NASA провела иранская студенческая хакерская группа, именовавшая себя Cyber Warriors Team. В публикации, размещенной хакерами на сайте Pastebin.com, было указано, что атака была проведена посредством рассылок по электронной почте с использованием учетных записей пользователей и уязвимостей в сертификатах безопасности SSL сайта NASA. Впоследствии веб-ресурсы NASA подвергались атакам хакерской группы Ashiyane Digital Security Team в сентябре 2015 г. и группы Lord Hacking Team — в августе 2016 г.


Также сообщалось о причастности иранских кибергрупп к атакам на веб-ресурсы и базы данных МАГАТЭ. В частности, в 2011 г. была предпринята попытка взлома баз данных инспекторов организации, осуществлявших мониторинг объектов ядерной инфраструктуры Ирана. В ноябре 2012 г. иранская кибергруппа Parastoo проникла на сервер МАГАТЭ и опубликовала в сети базы данных с информацией о сотрудниках организации. Отдельными источниками упоминалось о предполагаемом участии в кибератаках на серверы МАГАТЭ группы Iranian Cyber Army.


2012 год можно условно отметить как рубежный: в 2012 г. стал заметным значительный рост потенциала и компетенций ведущих иранских хакерских групп. Проявлением этого стали проводившиеся ими уже не просто декларативные, а масштабные кибератаки. Причем теперь целью этих атак чаще становились не единичные объекты за рубежом, а крупные инфраструктурные объекты и отрасли, а также группы государств. Также наметилась следующая тенденция: иранские кибергруппы стали проводить атаки в формате планируемых операций по кибершпионажу либо блокированию и уничтожению баз данных.


Операции ComodoGate и Black Tulip


Первыми операциями иранских кибергрупп нового формата стали атаки «ComodoGate» (взлом веб-сайта и электронной почты американской компании по обеспечению информационной безопасности Comodo) и «Black Tulip» (взлом сайта голландской компании по обеспечению информационной безопасности DigiNotar). Они не выделялись по масштабам организации и используемой инфраструктуре, однако именно их можно выделить как первые кибероперации, в которых иранскими хакерами ставилась принципиально новая качественная цель – предварительная организация сетевой инфраструктуры для проведения массированных киберопераций на базе специально создаваемых контролируемых доменов и аккаунтов.


Операция против компании Comodo была проведена в марте 2011 г. В результате этой операции был получен доступ к учетной записи и паролю одной из доверенных компаний-партнеров Comodo и организована кража цифровых SSL-сертификатов для 9 доменов. Как отмечалось самой компанией, атака проводилась с IP-адреса на территории Ирана, причем веб-сайт, с которого она проводилась, был удален после его обнаружения.


В сентябре 2011 г. в западных источниках появилась информация об аналогичной атаке под кодовым названием «Black Tulip», которая была проведена, как предполагается, в июне–августе 2011 г. Суть атаки заключалась во внедрении программного обеспечения, изменявшего сертификаты шифрования, что обеспечило иранским спецслужбам доступ к учетным данным пользователей почтовой службы Gmail. Как указывалось, иранскими хакерами было взломано 500 сертификатов безопасности, что позволило получить доступ к данным 300 000 иранских пользователей Gmail. Причастность иранских хакеров идентифицировалась по набору использовавшихся методов, а также характеру сообщений, оставленных на сайте компании. При этом отдельными исследователями обозначалась причастность к данной операции кибергруппы Magic Kitten. Министерством юстиции Нидерландов был опубликован список поддельных сертификатов доступа к аккаунтам пользователей на сайтах крупнейших информационных компаний и интернет-сервисов, включая Yahoo, Facebook, Microsoft, Skype, AOL, Tor Project, WordPress.


Операция Madi


К июлю 2012 г. относится выявление первого идентифицированного проведения иранскими акторами кибероперации по распространению вредоносного ПО под кодовым названием Madi (названо так по имени файла «mahdi.txt» в составе ПО). По различным данным, от атаки пострадали до 800 пользователей в США, Израиле и ближневосточных государствах, в т. ч. нефтяные корпорации, правительственные учреждения, аналитические центры, научные и финансовые организации. Впоследствии вредоносное ПО распространилось и в ряде других стран. В ходе операции Madi в 2012 г., по оценкам американской компании по кибербезопасности Symantec Corporation, 72 % атакуемых объектов находилось в Израиле, 8% атак пришлось на Саудовскую Аравию, 4% — на США. Остальные объекты находились в Ираке, Греции, Эквадоре, Австралии, Мозамбике, Швейцарии, Вьетнаме. Специалисты «Лаборатории Касперского» и израильской компании Seculert идентифицировали применявшееся ПО Madi как троянскую программу, позволявшую получать доступ к базам данных пораженных компьютеров, регистрировать действия пользователей (например, нажатия клавиатуры), фиксировать скриншоты, перехватывать сообщения в электронной почте и мессенджерах. Организаторы кибератаки получали доступ к учетным записям пользователей в соцсетях и почтовых интернет-сервисах, а также информационных системах управления бизнес-процессами (типа интегрированных систем ERP/CRM). При этом специалистами «Лаборатории Касперского» и израильской компании Seculert отмечалось, что, несмотря на относительно примитивный уровень организации и инфраструктурного обеспечения, организаторам операции Madi удалось добиться довольно масштабных результатов. Причем указывалось, что, вероятно, именно «дилетантский и элементарный подход» позволил на начальном этапе избежать обнаружения.


Operation Shamoon


15 августа 2012 г. была выявлена массированная кибератака (DDoS-атака по блокированию доступа пользователей к базам данных, серверам (компьютерам), веб-страницам, аккаунтам электронной почты и страницам в соцсетях с последующим уничтожением баз данных) на серверы крупнейшей саудовской нефтегазовой компании Saudi Aramco, которая стала началом кибероперации на госучреждения и компании Саудовской Аравии под наименованием Shamoon (по названию вредоносного ПО). Как сообщалось западными источниками, (в т. ч. со ссылкой на информацию, размещенную якобы инициаторами атаки на сайте Pastebin.com), было заражено более 30000 компьютеров компании Saudi Aramco. При этом отмечалось, что доступ к информационной сети компании был восстановлен только через 10 дней.


Помимо компании Saudi Aramco, атаке подверглись серверы Министерства обороны Саудовской Аравии, Министерства иностранных дел, Министерства торговли и инвестиций, а также Саудовская фондовая биржа, Фонд короля Фейсала, частные компании и пользователи. Несколько позже объектом атаки также стала катарская газовая компания RasGas Company.


В ходе кибероперации Shamoon вирусная программа перезаписывала содержимое жестких дисков и блокировала работу серверов, причем на мониторах в это время фиксировалось изображение горящего американского государственного флага. В результате атаки было поражено несколько десятков тысяч компьютеров. Экономический ущерб оценивался в пределах от нескольких десятков до сотен миллионов долларов.


Ответственность за кибератаку на Saudi Aramco взяла на себя хакерская группа The Cutting Sword of Justice, мотивировав ее политическими причинами – причастностью Саудовской Аравии к организации беспорядков в Сирии и Бахрейне. При этом какая-либо связь хакерских групп, позиционировавшихся в качестве независимых религиозных активистов или националистов, с иранскими спецслужбами или госструктурами формально не идентифицировалась. Отдельными исследователями указывалась возможная причастность к данной акции хакеров из кибергруппы Charming Kitten.


Несмотря на утверждения высокопоставленных американских чиновников об однозначной причастности Ирана к кибероперации Shamoon, иранское правительство настаивало на проведении официального международного расследования. По высказыванию секретаря иранского Национального центра по киберпространству Махди Акхавана Бахабади, утверждения США о причастности Ирана к кибератаке связаны исключительно с политическими мотивами, в т. ч. со стремлением использовать эти тезисы как агитационный фактор в ходе проводившейся президентской компании.


Специалистами компании McAfee Inc. отмечалось, что на начальном этапе для выявления возможных веб-уязвимостей атакуемых объектов хакерами использовалась пиратская копия сканера веб-уязвимостей Acunetix Security Scanner. При обнаружении возможности внедрения загружалась веб-оболочка получения удаленного доступа для фиксации имен пользователей и учетных данных. Специалистами российской «Лаборатории Касперского», также анализировавшими ПО Shamoon, отмечался модульный принцип его компоновки.


Отдельными зарубежными источниками указывалось, что взлом серверов на исходном объекте атаки был осуществлен с использованием хакерами паролей доступа, хранившихся в файле с паролями доступа администратора. Впоследствии внедренное программное обеспечение Shamoon исполняло команды активации загруженной с сервера вредоносной программы и уничтожения данных на зараженных компьютерах. Также отмечалось, что для самостоятельного распространения ПО Shamoon выполнялось копирование в административные ресурсы ОС Windows, при успешности которого выполнялся автозапуск и на удаленных компьютерах (их IP-адреса которых извлекались из параметров командной строки).


Operation Shamoon 2


В период с ноября 2016 г. по январь 2017 г., как отмечалось специалистами «Лаборатории Касперского», была зафиксирована новая серия кибератак с использованием модифицированной версии ПО Shamoon, квалифицировавшейся как Shamoon 2. Как указывалось ранее, применявшееся в ходе кибератаки вредоносное программное обеспечение Shamoon 2 содержало усовершенствованную версию вредоносного агента W32.Disttrack – в модификации W32.Disttrack.B. В отличие от исходной версии оно имело полный функционал для инфицирования компьютеров, оснащенных как 32-битными операционными системами, так и 64-битными. ПО Shamoon 2 перезаписывало содержимое жестких дисков пораженных компьютеров с выведением на монитор ссылок на гражданскую войну в Йемене и изображения утонувшего сирийского ребенка-беженца. Это, как указывалось исследователями, апеллировало к проведению кибератаки в качестве протеста против политики вмешательства Саудовской Аравии во внутренние дела Йемена и Сирии.


В результате серии атак Shamoon 2 были уничтожены базы данных саудовских госструктур, в частности, Центрального банка, Главного Управления гражданской авиации, Министерства труда, а также крупных нефтегазовых и нефтехимических компаний (в т. ч. Sadara Chemical Company и Tasnee).


По оценкам зарубежных исследователей, кибероперация Shamoon 2, по сравнению с серией атак 2012 г., характеризовалась большей масштабностью, лучшей организационной подготовленностью и скрытностью операций. В частности, отмечалось, использование целевой фишинговой рассылки вместо поточного выявления уязвимостей, специалистами компании McAfee Inc. отмечался, переход от использования пакетных сценариев атак, к использованию автоматизированных средств системного администрирования PowerShell и передачи трафика посредством DNS-туннелирования. Специалистами российской «Лаборатории Касперского» также отмечалось, что финальные стадии операции Shamoon 2 были полностью автономны и не требовали внешнего управления и координации.


Operation Ababil


18 сентября 2012 г. кибергруппа, именуемая Izz ad-Din al-Qassam Cyber Fighters разместила уведомление на сайте Pastebin.com, анонсировав начало проведения кампании DDoS-атак против финансового сектора США, получившей название Operation Ababil. В качестве формальной причины проведения кибератаки группой указывался протест против показа в США фильма «Innocence of Muslims» («Невинность мусульман»), истолковывавшегося как антиисламский и оскорбляющий имя пророка Мухаммеда. Для проведения атаки хакерами посредством фишинговых рассылок было взломано несколько тысяч сайтов, с использованием которых была создана атакующая платформа для подавления серверов американских банков. В результате большого объема входящего трафика начались массовые сбои серверной инфраструктуры атакуемых банков и финансовых организаций США, что привело, среди всего прочего, к потере баз данных.


Всего в рамках операции Ababil группой Izz ad-Din al-Qassam было предпринято три серии атак и анонсирована четвертая, при этом перед каждым этапом группой размещалось соответствующее предупреждение на сайте Pasterbin.com. Первая серия атак началась 18 сентября 2012 г. и была прекращена 23 октября 2012 г. в связи с мусульманским праздником «Курбан-Байрам». В декабре 2012 г. хакерами было анонсировано начало второй фазы операции Ababil, проведение которой было временно приостановлено в феврале 2013 г. в качестве жеста доброй воли в ответ на удаление компанией Google с видеохостинга YouTube размещенной видеоверсии фильма. В марте 2013 г. было размещено заявление о начале третьей фазы атаки с требованием удалить все трейлеры к фильму. 23 июля 2017 г. группой Izz ad-Din al-Qassam было анонсировано проведение четвертой фазы операции Ababil, однако фактически она была свернута.


Как отмечалось исследователями, самой масштабной была первая серия атак, последующие серии атак были менее результативны вследствие принятых мер защиты. Как сообщалось, всего объектами атаки стали 46 американских банков, в том числе такие крупные банки, как Bank of America, Union Bank, Harris Bank, Huntington, Chase, BT&T, First Citizens Bank, а также PNC Financial Services Group, Sun Trust Banks Inc., BB&T Corp. и Нью-Йоркская фондовая биржа.


Исследователями отмечалось, что средний объем спам-трафика в ходе операции Ababil составлял 65 Гбит/с, что примерно в десятки раз больше, чем при типичной атаке инициирования отказа в обслуживании. По данным ФБР США, пиковый объем трафика доходил до 140 Гбит/с, что в три раза превышало емкость серверов банков, подвергшихся атаке. Кибероперация Ababil по настоящее время считается самой масштабной и результативной кибератакой иранских хакерских групп на компьютерные сети в США. По данным ФБР США, убытки американского банковского сектора от серии кибератак в ходе операции Ababil исчислялись десятками миллионов долларов.


В ходе серии атак в рамках операции Ababil также была выявлена резонансная попытка взлома в 2013 г. компьютерной системы управления шлюзами гидротехнической плотины Bowman Avenue Dam в пригороде Нью-Йорка. В марте 2016 г. Министерством юстиции США было предъявлено обвинение по их организации группе лиц иранского происхождения как действовавшим по указанию иранских госструктур, при этом трое из них идентифицировались в качестве бывших участники иранской кибергруппы Sun Army. Также указывалось на причастность к проведению операции Ababil иранских компаний ITSecTeam и Mersad Company. В числе объектов атак иранских хакеров также назывались Министерство труда США, Федеральная комиссия по регулированию энергоснабжения, информационные базы данных штатов Гавайи и Индиана, а также учреждений Организации Объединенных Наций.


#OpIsrael и #OpUSA


7 апреля 2013 г. была отмечена серия хакерских атак, проведенных в отношении веб-ресурсов госучреждений в США и Израиле. Эта серия атак представляла из себя две операции – #OpIsrael и #OpUSA. Она была проведена в знак протеста против решения США о переводе своего посольства из Тель-Авива в Иерусалим и против декларирования статуса Иерусалима как столицы израильского государства. Принимавшие участие в хакерских атаках анонимные иранские акторы выступали с призывом к сочувствующим им лицам принять участие в атаках на веб-ресурсы американских и израильских учреждений в знак протеста против внешней политики США и Израиля.


В числе исполнителей киберопераций #OpIsrael и #OpUSA американская компания FireEye Inc. называла иранских хакеров (в частности, хакера с ником HUrr!c4nE!), связанных группой Ajax Security Team. Впоследствии такие хакерские атаки стали ежегодно проводимой кампанией, которая в отношении Израиля обычно бывает приурочена ко Дню памяти жертв Холокоста, отмечаемого 7 апреля.


Идентифицированные методы атак в ходе операций #OpIsrael и #OpUSA, как указывалось исследователями, включали внедрение вредоносных программ для получения удаленного доступа к компьютерам (SQL Injection). В последующем происходила кража учетных данных и паролей, взлом серверов, блокирование доступа и удаление данных. Также использовались DDoS-атаки для инициирования отказа в обслуживании: TCP flood с отправкой многочисленных SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок, что приводит к переполнению очереди на подключение; UDP flood с отправкой больших UDP-пакетов в одно место назначения или на случайные порты с целью переполнения интернет-канала, позволяющие атакующему не использовать реальный IP-адрес. Также осуществлялись атаки типа HTTP/S Flood (в т. ч. с использованием бот-нетов) с отправкой потоков сеансовых наборов HTTP-запросов GET или POST на веб-серверы, рассчитанные на вероятное преодоление сетевой безопасности в части идентификации обычного и вредоносного трафика (данный вид наиболее перспективный для атак на веб-серверы).


Operation Cleaver


Кибероперация Operation Cleaver (названа так по имени, встречающемуся в командной строке ПО), проводилась в 2012–2014 гг. и стала одной из наиболее масштабных и массированных кибератак, к проведению которых считаются причастными иранские хакерские группы. При этом Иран официально категорически отвергал свою причастность к кибероперации Cleaver. В частности, пресс-секретарь постоянного представительства при ООН Хамид Бабаи осудил отчет американской компании Cylance Inc. как «необоснованное утверждение, сфабрикованное с целью запятнать имидж иранского правительства, в частности, имеющее целью срыв текущих ядерных переговоров».


Согласно данным, приводившимся в вышеупомянутом отчете, хакерам в период проведения операции Cleaver (2012–2014 гг.) удалось проникнуть на веб-ресурсы более чем 50 организаций и компаний в 16 странах мира, в т. ч. США, Канаде, Китае, Англии, Франции, Германии, Израиле, Саудовской Аравии, Турции, Кувейте, Катаре, Индии, Пакистане, Южной Корее, ОАЭ и Мексике. В числе объектов атаки оказались госучреждения, промышленные, энергетические и нефтегазовые компании, авиакомпании, университеты и учреждения здравоохранения. По данным Reuters, в числе объектов атак – калифорнийская энергетическая компания Calpine Corporation, саудовская нефтегазовая компания Aramco, мексиканская нефтяная компания Petroleos Mexicanos, катарская и южнокорейская авиакомпании Qatar Airlines и Korean Air. При этом специалистами компании Cylance Inc. отмечалось, что основной целью хакеров был сбор информации, хотя достигнутый уровень доступа к инфраструктуре объектов атаки вполне позволял также инициировать и уничтожение баз данных.


По оценкам компании Cylance Inc., к проведению кибероперации Cleaver были причастны не менее 20 хакеров и разработчиков программного обеспечения, в числе которых были идентифицированы Parviz (наблюдается с 2013 г., специализируется в разработке ПО на языках C/C++), Nesha (специализируется на взломе баз данных), Alireza (занимается разработкой ПО на языках программирования C++, Java и C#), группы-разработчики ПО kaJ и Jimbp (на программной платформе .NET developer и на языке C#).


При этом по отдельным выявленным аналогиям в использовавшихся приемах и тактике исполнения исследователями удалось выявить возможные связи исполнителей кибероперации Operation Cleaver с кибергруппой Ashiyane.


Отмечалось использование исполнителями программного обеспечения собственной разработки, внедрявшегося на веб-ресурсы объектов атаки посредством целевой фишинговой рассылки (spear phishing), атак с изменением параметров SQL-запросов к базам данных (SQL injection) и направленного заражения избранных веб-ресурсов, к которым чаще обращались объекты атаки (water-holing attacks).


В числе известных видов программного обеспечения, использовавшихся исполнителями операции Cleaver, были выявлены программы Windows Credential Editor и Mimikatz (для извлечения паролей из памяти в ОС Windows); PsExec (для удаленного выполнения команд – вызова в интерактивном режиме интерфейса командной строки в удаленных системах); Cain&Abel (для восстановления паролей для операционных систем Windows); Plink (интерфейс командной строки к программе подключения и управления удаленными узлами PuTTY); профессиональная система управления сайтами NetCat; программное обеспечение для сбора учетных данных из кэша пораженных компьютеров NetC/Net Crawler; эксплойт MS08-067 (уязвимость получения удаленного доступа); SYN Flood (сетевой инструмент отказа в обслуживании).


Также специалистами американской компании Cylance Inc. указывалось, что в ходе операции Cleaver иранскими хакерами применялось и специально разработанное программное обеспечение. К примеру, хакеры использовали разработанные на C# программу для сбора учетных данных с компьютеров в зараженной сети Net Crawler и интернет-бот TinyZBot (выполнял запрограммированные действия типа регистрации нажатия клавиатуры с передачей данных на командный сервер, отправки сообщений электронной почты на заданный адрес и пр.). Также для атаки была разработана программа для перехвата трафика в локальной сети Jasus и эксплойт получения пользователем привилегий администратора PrivEsc (как предполагается, модифицированная версия известного эксплойта KiTrap0D).


Кибератака на сеть интранет Корпуса морской пехоты ВМС США


Одним из резонансных эпизодов серии кибератак Operation Cleaver (по версии компании Cylance Inc.) стало выявленное в сентябре 2013 г. внедрение неклассифицированного вредоносного программного обеспечения в сеть интранет Корпуса морской пехоты ВМС США, включавшей 2500 объектов и обслуживавшей порядка 800 тыс. пользователей. Начало проведения операции которой относится к 2012 г. По данным службы информационной безопасности ВМС США, в 2012 г. регистрировалось порядка 110000 попыток проникновения на веб-ресурсы сети интранет ежечасно. По сообщениям издания The Wall Street Journal, американским киберспециалистам после обнаружения ПО понадобилось четыре месяца для удаления вирусного контента. Как отмечалось, стоимость процессов по восстановлению ущерба и очистке базы данных сети интранет от вредоносных программ составила порядка 10 млн долл.


Operation Saffron Rose


В 2014 г. стало известно о масштабной кибероперации иранских хакеров, проводившейся в период с октября 2013 г. по апрель 2014 г. и направленной против американских оборонных компаний. Согласно исследованию, проведенному американской компанией по кибербезопасности FireEye Inc., исполнителем операции являлась кибергруппа Ajax Security Team/Rocket Kitten (компанией CrowdStrike Inc. группа идентифицировалась как Flying Kitten).


Как указывалось специалистами компании FireEye Inc., в ходе кибероперации Saffron Rose иранскими хакерами осуществлялись целевые фишинговые рассылки файлов с вредоносным программным обеспечением на аккаунты объектов атак в сервисах электронной почты и социальных сетях. Рассылки осуществлялись с фиктивных веб-страниц и профилей в популярных соцсетях и веб-ресурсах Google, Facebook, Yahoo и LinkedIn. В качестве примера можно привести рассылки от имени института Institute of Electrical and Electronics Engineers (IEEE) с фиктивного сайта аэрокосмической конференции IEEE Aerospace Conference 2014 со специально зарегистрированным доменом «aeroconf2014.org».


В ходе анализа операции Saffron Rose был отмечен один из первых случаев использования иранскими хакерами (группой Ajax Security Team/Rocket Kitten) специально разработанного вредоносного программного обеспечения Stealer, которое устанавливалось на компьютеры объектов атаки при помощи программы Stealer Builder с последующей установкой связи с командным сервером. По оценке американской компании по кибербезопасности FireEye Inc., а также других исследователей, вредоносное программное обеспечение Stealer запускало программу-кейлоггер с функциями регистрации действий пользователя (последовательности нажатия клавиш и пр.), создания скриншотов, сбора данных о системе, учетных данных, файлов cookie, информации о плагинах, сервисах электронной почты и мгновенном обмене сообщениями, данных журнала браузера.


Operation Newscaster


В мае 2014 г. американской компанией по кибербезопасности iSIGHT Partners была идентифицирована долгосрочная операция по кибершпионажу, получившая название Operation Newscaster и проводившаяся ориентировочно с 2011 г. Ее объектами были государственные учреждения и частные компании в финансовом, энергетическом, химическом и телекоммуникационном секторах США, Израиля, Саудовской Аравии, Турции и других ближневосточных стран. Исследование операции Newscaster проводилось компанией FireEye Inc., которая в декабре 2017 г. опубликовала специальный отчет.


В ходе операции Newscaster распространение вредоносного программного обеспечения велось через фиктивные аккаунты в соцсетях и специально созданный новостной сайт NewsOnAir.org, использовавший контент ведущих мировых информационных агентств: Associated Press, BBC, Reuters. Также в состав рассылаемого новостного контента включались ссылки на фишинговые веб-ресурсы. Хакерами было создано 14 профилей в социальных сетях Facebook, Twitter, Google+, LinkedIn, YouTube и Blogger от имени фиктивных личностей, якобы работавших госчиновниками, топ-менеджерами в оборонных компаниях и журналистами. Эти аккаунты использовались для переписки с потенциальными объектами атак. Как отмечалось исследователями, охват объектов атак составил до 2000 человек (среди них – государственные и военные чиновники, дипломаты, журналисты).


По оценке компании iSIGHT Partners, по уровню организации операция Newscaster является одной из самых сложных и эффективных киберопераций, проводившихся иранскими хакерами с использованием технологий «социальной инженерии». В качестве исполнителя операции Newscaster специалисты компании iSIGHT Partners назвали иранскую кибергруппу Rocket Kitten.


Operation Woolen-GoldFish


Кибероперация под кодовым названием Woolen-GoldFish, объектами атак которой в 2014–2015 гг. стали высшие учебные заведения и компании в Израиле, правительственные организации и частные компании в ряде западноевропейских стран (в частности, в Германии), была выявлена и идентифицирована в марте 2015 г. японской компанией Trend Micro Inc. При этом исследователями отмечалось, что имена пользователей и названия организаций, ставших объектами атак, не раскрывались в целях конфиденциальности. Как указывалось специалистами Trend Micro Inc., кампания атак проводилась группой Rocket Kitten посредством целевых фишинговых рассылок пользователям по электронной почте. Примечательно, что вместо обычного вредоносного вложения использовалась ссылка на скачивание с облачного сервиса OneDrive исполняемого архивированного файла в формате PowerPoint. В нем содержалась информация по иранской ракетной программе под названием «Iran's Missiles Program.ppt.exe», что позволяло обойти автоматическое блокирование системы безопасности электронной почты. Впоследствии исполняемый файл выполнял загрузку на компьютер программы-кейлоггера Woolerg (модификация ранее использовавшегося кейлоггера CWoolger). При этом в качестве разработчика кейлоггера CWoolger специалистами Trend Micro Inc. был идентифицирован иранский хакер под ником Wool3n.H4t, связанный с рядом иранских хакерских сообществ.


Operation Wilted Tulip


Летом 2017 г. израильская компания по кибербезопасности ClearSky Cyber Security и японская компания Trend Micro Inc. заявили о раскрытии масштабной операции по кибершпионажу, которая проводилась как минимум с 2013 г. Ее объектами были чиновники правительственных, оборонных, академических организаций и IT-компаний в США, Саудовской Аравии, Израиле, Иордании, Турции и Германии. В Израиле объектами атаки также стали сайт Организации ветеранов вооруженных сил Израиля и сайты газет The Jerusalem Post и Maariv.


Исполнителем операции Wilted Tulip исследователи назвали иранскую кибергруппу CopyKittens. Отмечалось использование группой CopyKittens в ходе операции как общедоступных версий программного обеспечения, так и сложного вредоносного ПО собственной разработки. В частности, отмечалась организация переписки с объектами атак с фейковых профилей в социальных сетях для кражи учетных записей и паролей, хакерские атаки на веб-сайты с использованием программ-сканеров на наличие уязвимостей (типа Havij и Acunetix Web Security Scanner) и инструмента выявления и эксплуатации уязвимостей SQL-map. Также хакеры осуществляли атаки типа «watering hole» и фишинговые рассылки по электронной почте с прикрепленными документами Microsoft Office, содержавшими вредоносные макросы.


В числе программного обеспечения собственной разработки группой CopyKittens использовалась троянская программа Matryoshka (в версиях Matryoshka v1/Matryoshka v2), посредством использования информации системы доменных имен (DNS) обеспечивавшая удаленное управление командами контроля, регистрацию паролей, снятие скриншотов, регистрацию использования клавиатуры, сбор и загрузку файлов на пораженных компьютерах. Также хакеры использовали бэкдор TDTESS (исполняемый файл «tdtess.exe») с аналогичными функциями передачи данных и выполнения команд удаленного доступа.


При этом отмечалось, что фишинговые рассылки и распространение вредоносного ПО хакерами проводилось с IP-адресов, зарегистрированных в США, Канаде, Израиле Франции, Нидерландах и России.


Операция Magic Hound


Специалисты американских компании по кибербезопасности Palo Alto Networks Inc. и SecureWorks Inc. в начале 2017 г. отслеживали кибероперацию под кодовым названием Magic Hound, предположительно проводившуюся иранскими хакерами с середины 2016 г. Объектами операции были саудовские правительственные организации, технологические и нефтегазовые компании.


Как отмечалось исследователями, вредоносное ПО распространялось в виде документов Word и Excel с интегрированными макросами, а также в виде поздравительных открыток, предложений о работе и фейковых документов из Министерства здравоохранения и Министерства торговли Саудовской Аравии. Также в ходе операции Magic Hound использовала инструмент кросс-платформенного удаленного доступа с открытым исходным кодом Pupy, троянские программы (trojan-dropper) для скрытной установки на объект атаки вредоносных программ, IRC-боты. При этом специалистами подразделения кибербезопасности X-Force американской корпорации IBM указывалось на совпадение доменов, использовавшихся в проведении кибероперации Magic Hound, с доменами и программным обеспечением, ранее использовавшимися в ходе серии кибератак Shamoon 2.


Компанией SecureWorks Inc. указывалось на связь предполагаемого исполнителя операции Magic Hound — группы под кодовым названием Cobalt Gypsy — с иранскими госструктурами. Компания Palo Alto Networks Inc. обратила внимание на идентичность программного обеспечения, использовавшегося в ходе операции Magic Hound, с программным обеспечением, применявшимся иранскими кибергруппами Charming Kitten и Rocket Kitten.


Атака на энергосистему Турции


Турецкие и западные исследователи, а также СМИ указывали на причастность иранских хакерских групп к кибератаке на систему управления энергоснабжением Турции в мае 2016 г. В результате атаки произошел глобальный сбой в энергосистеме, половина провинций страны и порядка 40 млн жителей остались без энегоснабжения. Восстановить нормальную работу системы удалось только через 12 часов. Версия иранского следа увязывалась с враждебной политикой Турции в отношении правительства Башара Асада в Сирии и турецким вмешательством в гражданскую войну в Йемене, где Ираном поддерживается община шиитов-хуситов.


APT33


В сентябре 2017 г. американская компания FireEye Inc. заявляла о расследовании серии атак, которая проводилась иранской кибергруппой APT 33 с середины 2016 г. по сентябрь 2017 г. Объектами атак стали сайты американских аэрокосмических компаний Boeing и Northrop Grumman и сайты связанных с ними саудовских авиационных и оборонных компаний. Атаки проводились посредством целевых фишинговых рассылок с фейковых доменов, имитирующих сайты американо-саудовских компаний Vinnell Arabia (СП Boeing, Alsalam Aircraft и Saudia Aerospace Engineering Industries) и СП Northrop Grumman Aviation Arabia, обеспечивавших техническое обслуживание и обучение персонала саудовских гражданских авиакомпаний и ВВС.


Согласно оценке американской компании FireEye Inc., группой APT 33 использовался встроенный модуль фишинговых рассылок с использованием общедоступного инструмента тестирования на уязвимости ALFA TEAM Shell. В результате внедрения распространявшихся с фишинговыми рассылками вредоносных программ проводилась кража либо уничтожение информации на веб-ресурсах и серверах атакуемых объектов. Применявшееся вредоносное программное обеспечение включало бэкдор TurnedUp, программу внедрения DropShot, идентичную использовавшемуся в ходе операции Shamoon 2 вредоносному ПО StoneDrill, а также общедоступные программы типа шпионского трояна NanoCore и NetWire.


Прочие приоритетные направления проведения хакерских атак


Израиль


Израиль, как указывалось ранее, является одной из приоритетных целей иранских киберакций. При этом Израиль становился жертвой иранских хакеров не только в рамках массовых атак на несколько стран, рассмотренных ранее, но и в рамках атак, нацеленных исключительно на израильские объекты. Примечательно, что информация о проведении Ираном киберопераций в отношении Израиля является значительно менее полной, чем, к примеру, аналогичная информация об атаках на Саудовскую Аравию или другие страны региона. Это в том числе является следствием гораздо более высокого уровня защищенности израильской киберинфраструктуры. Специалистами отмечалось, что, несмотря на имевшие место случаи уничтожения баз данных израильских пользователей в результате DDoS-атак, возможности иранских кибергрупп в отношении израильских информационных ресурсов довольно ограничены. Хотя иранские компетенции в киберсфере растут, вероятно, они будут уступать в темпах роста киберзащищенности израильской инфраструктуры.


Вследствие высокой защищенности объектов информационных сетей критической инфраструктуры Израиля, израильских госучреждений и крупных компаний объектами иранских кибератак преимущественно становились менее защищенные объекты: серверы научных и коммерческих организаций, вузов, а также аккаунты в соцсетях сотрудников госведомств и организаций. При этом исследователями отмечается, что с целью большей достоверности в среде израильских пользователей фишинговые рассылки с вредоносным ПО иранские хакеры распространяли преимущественно на иврите.


В числе заметных операций иранских акторов, проводившихся в отношении израильских пользователей в более ранний период, отмечалась проводившиеся в знак протеста против израильского военного вторжения в сектор Газа атака кибергруппы Ashiyane Digital Security Team. Атака была осуществлена в начале января 2009 г., и ее объектом стал сайт Mossad (хакерами указывалось, что функционирование сайта спецслужбы было прервано более чем на два часа). Более того, в 2009 г. объектами атак Ashiyane стали 500 веб-сайтов пользователей. Также выделяется на общем фоне операция по распространению вредоносного ПО Madi в 2012 г. (по оценкам Symantec Corporation, 72 % атакуемых объектов находилось в Израиле). Стоит также отметить массированную кибератаку в июле 2012 г., исполнителем которой декларировалась группа Ditakadrz. Эта атака позиционировалась как операция возмездия за покушение на иранского ученого-ядерщика Дарьюша Резаи-Неджада. Ее объектами стали 220 веб-сайтов организаций финансового сектора, а также учебного центра израильских спецслужб. Аналогичная массированная атака иранской группы DataCoders Security Team была осуществлена в сентябре 2013 г.: группа попыталась взломать 370 сайтов израильских коммерческих организаций и IT-компаний.


К тому же периоду относится, вероятно, наиболее успешная акция иранских хакеров в отношении Израиля – проведенная в начале октября 2012 г. кибероперация под кодовым названием Benny Gantz-55 (по аналогии с использовавшейся троянской программой для уничтожения баз данных в поражаемых информационных сетях). Программа была так названа иранскими разработчиками по имени тогдашнего начальника Генерального штаба Армии обороны Израиля Бенни Ганца. Атака имела настолько резонансные последствия, что в целях блокирования дальнейшего распространения вируса израильской полиции было предписано отключить информационные сети от доступа к интернету и не использовать флеш-карты и компакт-диски.


В конце апреля 2017 г. израильской национальной группой по реагированию на чрезвычайные ситуации в киберпространстве Israel National Cyber Event Readiness Team (CERT-IL) сообщалось о пресечении масштабной кибератаки, объектами которой в период с 19 по 24 апреля 2017 г. стали порядка 120 израильских компаний, госучреждений и частных лиц. По данным специалистов израильской компании по кибербезопасности Morphisec Ltd., организатором кибератаки была иранская группа OilRig (как отмечалось, также идентифицируемая и как Helix Kitten), которая предположительно связана с разведслужбами Ирана. Как отмечалось, хакерами с помощью инструмента Mimikatz был получен доступ к учетным данным электронной почты высокопоставленных сотрудников Университета имени Бен-Гуриона. Эти данные в свою очередь были использованы для рассылки объектам атак документов Microsoft Word с интегрированным в них трояном Helminth. Также хакерами использовался эксплойт для уязвимости CVE-2017-0199 в Microsoft Office, позволявший незаметно установить вредоносное ПО на атакованные компьютеры.


В числе последних идентифицированных акций иранских кибергрупп в отношении израильских пользователей стала выявленная ClearSky Security в начале июля 2018 г. подготовка хакерских атак со специально созданного фишингового сайта, имитирующего сайт компании. Атака готовилась группой Charming Kitten. Отмечалось, что на фейковом сайте, вероятно с целью получения доступа к учетным данным, также было интегрировано приложение авторизации посетителей через сервисы Google, Yahoo, Microsoft и Apple.


Великобритания


Иранские хакерские группы в последние годы также указываются в качестве исполнителей довольно резонансных атак на Великобританию. Как и в случае с Израилем, Великобритания зачастую становилась единственным объектом иранских операций. В частности, упоминались операция по блокированию доступа сотрудников британской телерадиовещательной корпорации BBC к электронной почте в марте 2012 г. накануне дня проведения парламентских выборов. Атака была выявлена в 2014 г. специалистами британского Центра правительственной связи. Также стоит упомянуть операцию по внедрению вредоносного программного обеспечения в интернет-маршрутизаторы британских интернет-провайдеров, что позволило перевести трафик на альтернативный маршрут и обеспечить мониторинг контента и доступ к данным британских пользователей сервисов Google. Также в июне 2017 г. была зафиксирована серия хакерских атак на аккаунты электронной почты членов британского парламента и лично премьер-министра Великобритании Терезы Мэй. В ходе операции злоумышленникам удалось взломать порядка 90 учетных записей, а общее число аккаунтов, подвергшихся атаке, составило около 9 тыс.


В последнее время западными источниками отмечается также причастность иранских хакерских групп к атакам на пользователей с требованием выкупа в криптовалюте. В частности, американской компанией по кибербезопасности Accenture Plc. в августе 2018 г. сообщалось о выявлении пяти хакерских групп, как предполагается иранского происхождения (на это указывало использование ими сообщения на фарси и идентифицированные IP-адреса в Иране), которые с применением программ-криптовымогателей провели операции против ряда компаний в США и ближневосточных государствах. При этом указывалось на возможную связь хакеров с иранскими госструктурами.


О причастности иранских хакерских групп к применению программ-криптовымогателей также сообщалось американскими компаниями по кибербезопасности Palo Alto Networks Inc., Symantec Corporation, CrowdStrike Inc. Среди всего прочего, они указывали на распространение на Ближнем Востоке кодированного ПО по криптомайнингу, которое запускало шифрование и блокирование личных файлов и программ на серверном оборудовании, а потом требовало выкуп для разблокировки. Как отмечалось, с помощью программ-криптовымогателей в 2017 г. злоумышленниками было украдено вычислительных циклов на несколько миллионов долларов.


Компанией по кибербезопасности iDefense (входящей в состав ирландской консалтинговой компании Accenture LLP) указывалось на использование программ-криптовымогателей собственной разработки группой OilRig. В числе этих программ — Rastakhiz (идентифицирована в октябре 2016 г.), Tyrant (идентифицирована в ноябре 2017 г.), WannaSmile (впервые обнаружена в ноябре 2017 г.) и Black Ruby (впервые обнаружена в феврале 2018 г.). Для ПО Tyrant требуемая сумма для получения кода разблокировки составляла 15 долл.и подлежала переводу через иранские платежные системы exchange.ir и webmoney.ir. Для WannaSmile требуемая сумма составляла 20 биткоинов и должна была быть переведена подлежавшая переводу через иранские платежные системы exchangeing.ir, payment24.ir, farhadexchange.net и digiarz.com. Black Ruby отличалась наличием функции отказа от блокирования атакованных компьютеров при обнаружении IP-адреса, привязанного к Ирану, и наличием функции установки на атакованный компьютер программы-майнера Monero, которая использовала его мощности на режимах максимальной загрузки процессора. Требуемая сумма для получения кода разблокировки была выражена в биткоинах и составляла 650 долл.


При этом в мае 2017 г. главой иранской Организации гражданской обороны бригадным генералом Голамом Резой Джалали было озвучено встречное обвинение в адрес США как организатора массовой волны кибератак по блокированию компьютеров с требованием выкупа. Объектами атак стали пользователи в 99 странах (компанией-разработчиком антивирусного программного обеспечения Avast указывалось на более чем 75000 подобных кибератак). Основанием для обвинения США был тот факт, что из крупных государств только США не попали в число объектов операций.


Киберполиция Ирана.
Источник: https://tildacdn.com/

Внутренние операции иранских кибергрупп


В числе внутренних социальных групп, в отношении которых иранскими спецслужбами проводятся хакерские атаки, а также операции по мониторингу и контролю за информационным обменом, фигурируют государственные чиновники, имеющие доступ к критически значимой информации, политические деятели реформистского толка, оппозиционные партии и движения, журналисты, религиозные меньшинства, деятели культуры, социальные и культурные меньшинства (в т. ч. так называемые ЛГБТ), сепаратистские этнические группы.


Иранская оппозиция неоднократно заявляла об использовании властью информационных технологий для шпионажа за пользователями интернет-сервисов и проведения киберопераций по блокированию сайтов оппозиционных партий и политических диссидентов, а также националистических и сепаратистских движений. При этом указывалось на непосредственное координирование таких операций со стороны КСИР.


Отмечалось также, что ко многим кампаниям в сфере кибербезопасности активно привлекаются хакерские группы, контролируемые КСИР, и военизированное ополчение Basij. Например, они принимали участие в проведении мониторинга интернет-трафика и социальных сетей для анализа контента и противодействия его использованию для подрывных операций, оппозиционных выступлений и социальных протестов. Также эти акторы были задействованы при размещении в сети пропагандистского контента и проведении кибератак. Косвенными признаками аффилированности хакерских групп с иранскими госструктурами и спецлужбами, является проведение ими операций против иранских пользователей либо оппозиционных движений на основании информации, полученной от силовых структур, а также отсутствие финансового мотива и признаков интернет-мошенничества.


В 2011 г. заместитель командующего военизированного ополчения Basij Али Фазли признал причастность хакеров, связанных с Basij, к кибератакам на сайты «врагов Ирана». Западными источниками указывалось также на факты организованного и скоординированного использования компьютеров и аккаунтов лиц, находящихся под надзором КСИР, для проведения хакерских атак.


В числе хакерских групп, наиболее активно действующих в отношении иранских пользователей, можно выделить Iranian Cyber Army (проводила акции мониторингу и блокированию сайтов, связанных с иранской политической оппозицией, а также блокирование соцсети Twitter на территории Ирана), Army of the Sun/Sun Army (проводила хакерские атаки на сайты оппозиционных партий, операции по взлому и блокированию аккаунтов иранских пользователей в соцсетях «Twitter», «Facebook» и др.), Magic Kitten (мониторинг и хакерские атаки на сайты, почтовые аккаунты, форумы и блоги иранских журналистов, деятелей культуры, общественных активистов и правозащитников, кражи учетных записей иранских пользователей на сервисах Google и Gmail), Flying Kitten/Rocket Kitten (мониторинг интернет-сервисов, хакерские атаки на мессенджер Telegram), Infy (мониторинг контента иранских пользователей, хакерские атаки на сайты иранских оппозиционных партий и правозащитных организаций, национальных меньшинств и иранских диаспор за рубежом).


Проведение пропагандистских акций


Американским информационным агентством Reuters со ссылкой на глобальные компании социальных сетей (Facebook Inc, Twitter Inc, Alphabet Inc. и др.) в августе 2018 г. указывалось, что масштаб влияния иранских спецслужб на интернет-пользователей значительно превышает ранее оцениваемые границы. Подтверждение этому — рост количества анонимных интернет-сайтов и учетных записей в соцсетях, которые ведутся на 11-ти языках (в т. ч. на английском, французском, арабском, русском, азербайджанском, турецком, испанском, фарси, урду, пушту и хинди) и используются для влияния на общественное мнение в других странах. Иранскими акторами наиболее активно используются глобальные соцсети «Facebook», «Instagram», «Twitter» и хостинговый видеоканал «YouTube».


Исследователями отмечалось, что через анонимные сайты и страницы пользователей в соцсетях проводятся информационные вбросы, контент для которых формируется источниками, напрямую или косвенно связанными с иранским правительством (в частности, государственными СМИ типа PressTV, информационного агентства FARS или телекомпании Al Manar, подконтрольной шиитскому движению «Хезболла»). В числе активных участников данной кампании указывалась организация «Международный союз виртуальных СМИ» (IUVM TV), который через сеть сайтов, страниц в глобальных соцсетях и канал на YouTube распространял агитационный контент, направленный против США, западноевропейских стран, Саудовской Аравии и Израиля.


Информация, опубликованная агентством «Reuters», подтверждалась и результатами анализа технических индикаторов вышеупомянутых сайтов. Анализ проводился американской компанией по кибербезопасности FireEye Inc. и израильской компанией «ClearSky». По их данным, все выявленные сайты были связаны с организацией под названием «Международный союз виртуальных СМИ» (International Union of Virtual Media, IUVM), серверные мощности которой расположены в Иране. Отмечалось, что после публикации агентства Reuters о блокировании канала IUVM TV было заявлено администрацией видеохостинга «YouTube», а компания «Twitter Inc.» сообщила, что кроме 284 заблокированных в середине августа 2018 г. аккаунтов, связанных с Ираном, к концу месяца были заблокированы еще 486 аккаунтов за нарушения условий использования сервиса микроблогов.


Кибернадзор за глобальными интернет-сервисами и социальными сетями


Тегеран однозначно квалифицирует протестные выступления иранской оппозиции в интернет-пространстве в качестве составляющих координируемой внешнеполитическими противниками кибервойны, поэтому необходимость мониторинга и контроля за интернет-трафиком и контентом диктуется необходимостью нивелирования вероятных рисков использования внешнеполитическими противниками масскоммуникационных возможностей для координирования деятельности иранских оппозиционных сил.


Необходимо отметить, что Тегеран уже неоднократно сталкивался с прецедентами проводившейся из-за рубежа координации через телекоммуникационные и социальные сети в интернете массовых протестных выступлений иранской оппозиции. В их числе — активная зарубежная поддержка в 2009–2013 гг. протестного «Зеленого движения» («Green Movement») против результатов президентских выборов 2009 г. Акция была проведена посредством публикаций на Facebook, Twitter, YouTube и в прочих соцсетях, в т. ч. с прямой подачи чиновников администрации президента США Барака Обамы и Госдепартамента США. Немалую роль сыграли публикации в глобальных социальных сетях и в координировании массовых протестных выступлений, прошедших в Иране в конце 2017 – начале 2018 г.


Первоначально инструментарий контроля иранских госструктур за интернет-средой ограничивался введением обязательной фильтрации и блокированием доступа к контенту, классифицируемому в качестве подрывающего культурно-социальные и религиозные устои иранского общества либо содержащего в себе элементы политической пропаганды. Впоследствии, с появлением новых угроз и в ходе качественного изменения интернет-среды и информационных потоков, иранские спецслужбы стали переходить к более активным действиям в форме киберопераций по блокированию веб-ресурсов и нарушению их работы.


В период активной деятельности так называемого «Зеленого движения» (Green Movement) в 2009–2013 гг. иранские кибергруппы занимались мониторингом Интернет-трафика и телекоммуникационных сетей, проведением многопользовательских кибератак, блокировкой и нарушением работы оппозиционных веб-сайтов. По данным иранского оппозиционного движения National Council of Resistance of Iran (NCRI), в 2010 г. иранскими спецслужбами было взломано около 500 веб-сайтов и аккаунтов в соцсетях пользователей, подозреваемых в нелояльном отношении к режиму.


В преддверии президентской предвыборной кампании 2013 г. иранскими оппозиционными движениями отмечалось, что в дополнение к традиционному ужесточению цензуры в отношении медиаресурсов на персидском языке и к прочим жестким мерам воздействия в виде арестов журналистов иранскими спецслужбами был введен жесткий режим информационного контроля и ограничения Интернет-трафика до объявления итогов выборов. Это было сделано во избежание повторения массовых оппозиционных выступлений, аналогичных Green Movement. В период антиправительственных выступлений в конце 2017– начале 2018 г. иранскими властями ограничивалось не только функционирование глобальных соцсетей и мессенджеров, но в ряде провинций полностью блокировался доступ к сети интернет, спутниковым каналам и сотовой связи.


Иранские власти исходно рассматривали интернет-ресурсы типа Telegram, WeChat, Viber и пр. как каналы для сбора западными спецслужбами разведывательной информации и инструмент для продвижения западных ценностей, а также как возможные каналы для координирования социальных протестных мероприятий, особенно с учетом возможности сохранения этими сервисами анонимности пользователей. В условиях возрастающего контроля за иранскими интернет-сервисами все большее количество иранских пользователей стали переносить информационный обмен на глобальные ресурсы, такие как Viber, Skype, Telegram, которые, в отличие от внутренних Интернет-провайдеров и социальных сетей, в силу зарубежного нахождения их интернет-платформ, в значительной мере либо полностью были защищены от воздействия традиционных инструментов доступа и надзора со стороны спецслужб. Поэтому они стали целью мониторинга спецслужб.


В зарубежных источниках приводились свидетельства прямого содействия со стороны иранских телекоммуникационных компаний в предоставлении госструктурам доступа к учетным записям пользователей в популярных мессенджерах типа «Google, Telegram и др. К примеру, в июне 2013 г. компания Google Inc. заявила о фишинговых атаках на аккаунты нескольких тысяч иранских пользователей в почтовом интерне-сервисе Gmail и указала на однозначную причастность к кибератакам иранских госструктур.


Также функционирование большей части популярных социальных сетей и информационных сервисов в Иране периодически ограничивалась либо вообще запрещалась. Так, в 2009 г. были приняты решения о запрете функционирования соцсетей «Instagram», «Facebook», «Twitter» и видеохостинга «YouTube» на территории Ирана. В сентябре 2014 г. судебными властями было выдано предписание Министерству связи и информационных технологий Ирана о блокировании мобильных сервисов WhatsApp, Viber и Tango. Также объектом последовательного агрессивного давления иранских спецслужб стал мессенджер «Telegram», наиболее популярный у иранских пользователей в силу специфики шифрования контента и, как следствие, его практической недоступности для мониторинга (по данным иранских и зарубежных источников, количество пользователей службы «Telegram» в Иране на начало 2017 г. превышало 40 млн человек). Периодически проводилось блокирование Telegram, в т. ч. в октябре 2015 г. из-за игнорирования запросов властей по предоставлению доступа к данным пользователей. В декабре 2017 г. сервис блокировался как информационный ресурс, использовавшийся для координации организаторами протестных выступлений. Также фиксировались попытки мониторинга и получения доступа к учетным записям пользователей посредством контроля за мобильными телефонами. Более того, известны случаи ареста иранских администраторов ресурса. Например, в августе 2016 г. была идентифицирована кибероперация иранской группы Rocket Kitten по взлому мессенджера, в ходе которой был получен доступ к идентификационным данным и телефонным номерам порядка 15 млн иранских пользователей Telegram. В конечном итоге в апреле 2018 г. судебным решением было официально запрещено функционирование мессенджера «Telegram» на территории Ирана, и интернет-провайдерам было дано указание блокировать доступ к сервису.


Альтернативное развитие Ираном национальных социальных сетей и мессенджеров для переориентации пользователей с глобальных ресурсов также было поставлено под надзор спецслужб и КСИР. Иранским оппозиционным движением National Council of Resistance of Iran, к примеру, сообщалось о контроле КСИР над функционированием интернет-маркета Café Bazaar и мессенджера Mobogram, а также о встроенном последний программном обеспечении по мониторингу и идентификации пользователей и их контактов, используемом иранскими спецслужбами в целях шпионажа.


В части применения властями технических ограничений западными исследователями отмечается наличие у иранских интернет-пользователей сбоев использования протокола защищенного доступа к сайтам HTTPS и криптографического протокола SSL, обеспечивающего безопасность Интернет-соединения. Это фактически ограничивает доступ иранских пользователей к сервисам Facebook, Google, Twitter и др., т.е. сервисам, использующим протокол HTTPS для защиты данных пользователей. В целях всеобъемлющего контроля над интернет-пространством в Иране заблокировано использование узлов VPN и Tor, что фактически исключает анонимность пользователей в интернете.


Значительно ужесточились и требования к компаниям, предоставляющим услуги общественного доступа к сети интернет, в частности к интернет-кафе. В 2011 г. Министерством связи и информационных технологий Ирана было введено положение о порядке регулирования деятельности интернет-кафе, требующее фиксирования личности и контактных данных посетителей, истории их посещений, а также ведения видеозаписи с хранением информации не менее шести месяцев. Надзор за исполнением был возложен на киберполицию Ирана (Iranian Cyber Police/FATA). Западными источниками сообщалось, что в 2016 г. Министерством связи и информационных технологий было ассигновано 1 трлн риалов (33 млн долл.) на создание системы по мониторингу и фильтрации интернет-контента.


Кибернаблюдение в отношении иранских политиков


Характерной чертой иранских спецслужб по киберконтролю является надзор за чиновниками госаппарата, особенно работавшими в администрациях, а также за реформистскими лидерами Ирана и их окружением и родственниками. При этом, по информации приводившейся в зарубежных источниках, данные мониторинга использования веб-ресурсов нередко становились основанием для арестов и репрессий госчиновников и политиков.


Иранскими оппозиционными изданиями и западными источниками, к примеру, отмечались многочисленные случаи проведения иранскими спецслужбами операций по киберконтролю за окружением бывшего президента Мохаммада Хатами, возглавлявшего Иран в 1997–2005 гг. и относимого к политикам-реформаторам. Резонансным случаем стал взлом в 2005 г. блога заместителя министра культуры и исламского развития Мохаммада Али Абтахи, работавшего в администрации президента Мохаммада Хатами. Взлом был осуществлен после размещения им публикации об аресте иранскими спецслужбами блоггеров. Впоследствии Али Абтахи неоднократно становился объектом кибервоздействия, причем с его аккаунта после взлома осуществлялась информационная рассылка и попытки проникновения на аккаунты других пользователей, в частности, правозащитников (как предполагается, операции проводились кибергруппой «Rocket Kitten»).


Зарубежные источники также упоминали об имевшем место блокировании по решению Комитета по выявлению несанкционированных интернет-сайтов (Committee to Identify Unauthorized Internet Sites) сайта бывшего президента Ирана Акбара Хашеми Рафсанджани (1989–1997 гг.). Это было сделано с целью оказать давление на Рафсанджани и заставить его удалить некоторые из опубликованных им воспоминаний. Зарубежными источниками также упоминались резонансные случаи взлома в декабре 2015 г. аккаунта в сети Facebook (как предполагалось, кибергруппой «Rocket Kitten») иранского политического активиста Голама Али Раджаи, близкого к окружению Рафсанджани. Впоследствии хакеры использовали взломанный аккаунт для отслеживания информационного обмена связанных с ним лиц и журналистов. Также следует упомянуть взлом в апреле 2016 г. кибергруппой «Rocket Kitten» аккаунтов в Google и Facebook вице-президента Ирана по делам женщин и семьи Шахиндокт Молаверди. Примечательно, что взломанные аккаунты были использованы для информационных рассылок в рамках акции против иранских активистов по защите прав женщин. Эксперты отмечают, что подобные операции проводятся и в отношении членов правительства действующего президента Хасана Рухани.


В числе наиболее частых и приоритетных объектов кибермониторинга за работниками госаппарата также указывались чиновники Министерства иностранных дел Ирана. Особенно жесткий режим киберконтроля действовал в период подготовки к заключению соглашения по ядерной программе Ирана в 2015 г., когда радикальными политиками и религиозными лидерами была инициирована кампания по критике данной сделки, предающей, по их мнению, национальные интересы Ирана. Например, отмечалось, что в тот период в числе прочих госчиновников министр иностранных дел Ирана Джавад Зариф, его окружение и члены его семьи также стал объектом пристального наблюдения со стороны спецслужб в киберсфере, включая попытки получения доступа к учетным данным электронной почты и аккаунтов на веб-ресурсах.


Западными источниками отмечалось проведение иранскими спецслужбами и контролируемыми ими кибергруппами надзора за государственными СМИ и аналитическими центрами. В частности известны случаи проникновения группой «Magic Kitten» на веб-ресурсы государственной телевизионной сети (Islamic Republic of Iran Broadcasting state television network) и Центра стратегических исследований (Center for Strategic Research) при иранском Совете по определению политической целесообразности (Expediency Discernment Council). Также отмечались случаи проведения кибератак по взлому веб-ресурсов и аккаунтов представителей религиозных кругов, в частности, Центра обслуживания студентов исламских семинарий (Center for Services of Islamic Seminaries) и Управления исламской пропаганды (Islamic Propagation Office).


Одним из приоритетных объектов кибершпионажа и фишинговых атак являются иранские журналисты, работающие в неправительственных СМИ реформистского толка и международных изданиях. Примером первой масштабной компании по установлению тотального контроля за медиа-ресурсами и журналистским сообществом, стала предвыборная компания президентских выборов 2013 г., когда иранскими спецслужбами до объявления итогов выборов были предприняты беспрецедентные меры по установлению информационного контроля и ограничения интернет-трафика, а также предприняты аресты отдельных журналистов.


Как отмечалось отдельными исследователями, зачастую кибератаки на веб-ресурсы предшествовали блокированию иранскими службами безопасности работы «проблемных» СМИ или задержаниям журналистов. Например, указывалось, что аресту в июле 2014 г. корреспондента The Washington Post в Иране Джейсона Резайана предшествовала серия кибератак на его аккаунты в Hotmail и Gmail кибергруппой Flying Kitten. Целью атаки был перехват учетных записей посредством рассылок с фиктивных адресов. В числе хакерских групп, причастных к фишинговым атакам сайтов и почтовых аккаунтов иранских СМИ и журналистов, также указывалась группа «Magic Kitten».


Оппозиционные партии и диссиденты


Для Ирана, как и для любого политического режима с жестко централизованным госаппаратом, приоритетным сегментом для мониторинга и контрмер во внутреннем информационном пространстве являются оппозиционные политические движения, тем более что Тегеран уже неоднократно сталкивался с прецедентами координации массовых протестных выступлений через телекоммуникационные и социальные сети в интернете.


Западными источниками и иранскими источниками в эмиграции сообщалось, что иранские кибергруппы, связанные с КСИР (в числе которых упоминались Flying Kitten, Infy, Magic Kitten) проводили мониторинг аккаунтов иранских оппозиционных движений и диссидентов и хакерские атаки на сайты и аккаунты в социальных сетях иранских оппозиционных партий и группировок. В результате этих атак обеспечивался доступ к группам в соцсетях, данным, касающимся планирования различных акций и мероприятий, каналов распространения информации.


Зарубежными и иранскими оппозиционными источниками упоминался ряд акций, направленных на блокирование веб-ресурсов иранских оппозиционных сил. Среди них: операция группы «Iranian Cyber Army» под кодовым названием Gerdab (февраль–март 2009 г.) по блокированию порядка 90-та интернет-сайтов «аморального и антиисламского содержания»; атаки на сайт и онлайн-форум оппозиционного движения Green Freedom Wave (декабрь 2009 г.), на сайт эмигрантской радиостанции Radio Zamaneh (январь 2010 г.) и сайт эмигрантской радиостанции Farsi1 (ноябрь 2010 г.), также проводившиеся Iranian Cyber Army; операция по взлому и блокированию 29 сайтов иранских правозащитных организаций и оппозиционных партий под предлогом их связей «со шпионской сетью, координируемой США», проведенная в марте 2010 г. хакерскими группами, координируемыми КСИР; взлом в мае 2013 г. оппозиционного новостного сайта JARAS; взлом группой «Iranian Cyber Army» 13-ти сайтов и блогов иранских оппозиционных партий и политиков в июне 2013 г. в период президентских выборов; арест спецслужбами КСИР в октябре 2013 г. группы иранских программистов, обвинявшихся в причастности к деятельности оппозиционных веб-сайтов; хакерская атака в декабре 2013 г. по взлому девяти оппозиционных сайтов (Neday-e Sabz-e Azadi, Sabznameh, Norooz, Ostanban, 30mail, Nogam, Iran Opinion и Degarvajeh), обвиненных в антиисламской пропаганде.


Объектами неоднократных хакерских атак группы Flying Kitten становились политические группировки «Организация моджахедов иранского народа», Iranian American Society of Texas и связанный с ними телеканал «Simay Azadi», партии марксистского и коммунистического толка типа «Marxist-Leninist Fedaian» и «Communist Party of Iran». Кибергруппой Infy проводились атаки на сайты информационного агентства «Taftaan News Agency» и сепаратистской группировки «Jonbeshe Moqavemate Mardomie».


Объектами киберопераций становились и зарубежные правозащитные организации, деятельность которых была ориентирована на Иран. Упоминалась серия кибератак группы «Flying Kitten» на веб-ресурсы американского неправительственного образовательного фонда «Eurasia Foundation», проводящего образовательные программы в государствах Ближнего Востока, СНГ и в Китае. Фонд в рамках программ социального развития, ориентированных на Иран, вел онлайн-программы на персидском языке по вопросам социального предпринимательства и семейного права, социальной занятости женщин. Серия кибератак была проведена в 2014 г. посредством взлома аккаунтов пользователей и рассылки вирусных программ. Также проводились атаки против различных американских неправительственных организаций, таких, как Американский институт предпринимательства (American Enterprise Institute) и Совет по внешним связям (Council on Foreign Relations). В числе объектов мониторинга и кибератак оказался и персонал иностранных дипмиссий в Иране, а также сотрудники зарубежных информационных агентств, ориентированных на освещение ситуации в Иране либо ведущих вещание на Иран. В качестве примера можно привести DDoS-атаку в январе 2010 г. на сайт расположенной в Нидерландах радиостанции «Radio Zamaneh», а также атаку в 2011 г. на сайт «Radio Farda» (иранская служба радиостанции «Голос Америки»).


Также эксперты указывали на факты скоординированного использования для проведения хакерских атак против зарубежных объектов компьютеров и аккаунтов лиц, находящихся под надзором иранских спецслужб и КСИР, либо аккаунтов иранских оппозиционных политиков и проживающих за рубежом бизнесменов иранского происхождения. К примеру, отмечались резонансные случаи использования для фишинговой атаки на сайты и профили в соцсетях чиновников госведомств и пользователей на территории США аккаунтов проживавшего в Дубае ученого иранского происхождения Сиамака Намази в период его содержания иранскими властями под арестом (он был арестован при посещении Ирана в октябре 2015 г.). В 2016 г. аналогичным образом использовались серверы компании «Sorinet», принадлежавшей датскому бизнесмену иранского происхождения Бабаку Занджани.


Сфера культуры и шоу-бизнеса


Западными исследователями отмечается, что в число объектов мониторинга и атак иранских спецслужб и действующих в их интересах хакерских групп попадают и иранские деятели культуры и шоу-бизнеса – как находящиеся в Иране, так и эмигрировавшие. Особый акцент делается на тех, кто попадает в «группы риска» – негативно (аморально), по мнению власти, воздействует своим творчеством на социально-культурные устои общества, был замечен в симпатиях к политической оппозиции или критически высказывался в отношении режима. В частности, упоминалась проводившаяся киберполицией FATA в январе 2012 г. операция по мониторингу и последующему аресту четверых администраторов группы в соцсети «Facebook» за организацию онлайн конкурса красоты. Организаторы конкурса были обвинены в коррупции и распространении безнравственности. В иранских СМИ также освещалась проведенная связанными с КСИР хакерами в январе 2016 г. резонансная акция «Operation Spider» — акция по блокированию и удалению учетных записей в социальных сетях представителей модельного бизнеса, обвиненных в пропаганде аморального поведения в интернете. Впоследствии они были арестованы. Также известна кибероперация по блокированию аккаунтов в соцсетях сотрудников музыкального канала «AAAMusic», позднее также арестованных. В качестве исполнителей этих киберопераций зарубежными исследователями называлась группа Flying Kitten, неоднократно замеченная в проведении интернет-мониторинга представителей иранской индустрии моды и развлечений.


Национальные и религиозные меньшинств


Объектами киберопераций иранских хакерских групп также становятся этнические меньшинства, выступающие за предоставление автономии. В их числе этническая группа белуджи — это сунниты по вероисповеданию, проживающие на территориях Ирана и Пакистана и имеющие собственную боевую организацию «Джундалла». Иранскими спецслужбами в июле 2010 г. проводилась кибероперация по блокированию сайтов «Джундалла» посредством внедрения вредоносного программного обеспечения. Отмечалось, что впоследствии через атакованный сайт иранскими хакерами осуществлялась рассылка вредоносного программного обеспечения на веб-ресурсы «Свободной сирийской армии».


Также периодически проводятся кибероперации против курдских организаций на территории Ирана и за рубежом. Экспертами отмечались акции по блокировке курдской спутниковой телевизионной станции «Newroz TV» (проводились в 2014 г. группой «Flying Kitten»), использование фиктивных профилей в LinkedIn для подключения к представителям Регионального правительства Курдистана в Ираке, проводившиеся с 2015 г. хакерские атаки по рассылке вредоносного ПО на веб-ресурсы курдской партии «Free Life Party of Kurdistan» (PJAK), военизированной фракции Марксистско-ленинской рабочей партии Курдистана.


Одним из постоянных объектов воздействия иранских кибергрупп является религиозная группа веры бахаи, классифицируемая иранскими спецслужбами как антиисламская и антиправительственная. К примеру, в апреле 2014 г. сообщалось о полученном иранскими спецслужбами доступе к аккаунту на Gmail бывшего директора по внешним связям организации общины бахаи в США. В результате этого была идентифицирована передача от Всемирной общины Бахаи информации Конгрессу США о статусе религиозных меньшинств в Иране. С использованием ранее взломанных иранскими кибергруппами фиктивных профилей в ресурсе «LinkedIn» и соцсетях иранскими спецслужбами были предприняты попытки взлома веб-ресурсов общины с использованием фишинговых сообщений по тематике религиозных преследованиях в Иране. В дальнейшем отмечались неоднократные попытки кибератак в отношении веб-ресурсов общины — например, масштабная кибератака по взлому и блокированию сайтов общины в феврале 2017 г.


Мониторингу подвергаются веб-ресурсы и религиозных меньшинств, даже таких толерантных, как мусульмане-сунниты, христиане, евреи, зороастрийцы. Сообщалось о хакерских операциях по взлому с помощью вредоносного ПО сайта еврейской общины, когда ее руководство пыталось организовать выпуск местного религиозного издания. В январе 2016 г. сообщалось об аналогичной кибератаке группы Infy на веб-ресурс христианской общины с использованием фиктивных профилей.


Кибероперации против сепаратистских и террористических организаций


Как и для любого государства, для Ирана естественным объектом внимания в информационном пространстве являются террористические и сепаратистские группировки, особенно учитывая, что на международном уровне нормой стало обеспечение национальной информационной безопасности путем мониторинга и организации киберопераций для противодействия террористическим группировкам и проведению финансовых махинаций. По геополитическим причинам кибероперации иранских спецслужб по сбору разведданных и подавлению веб-ресурсов нацелены на террористические организации, действующие на Ближнем Востоке и в Северной Африке, а также в Афганистане и Пакистане. Среди них приоритетными объектами являлись наиболее крупные движения, такие как «аль-Каида» (здесь и далее — организация признана террористической, ее деятельность запрещена в РФ) и ИГ (здесь и далее — организация признана террористической, ее деятельность запрещена в РФ).


Зарубежными исследователями отмечались проводившиеся иранскими спецслужбами кибероперации против суннитских джихадистов и ИГ посредством взлома веб-ресурсов, внедрения шпионского и вредоносного программного обеспечения. В качестве примера подобных киберопераций приводятся факты создания фишинговых сайтов со ссылками на страницы в Facebook различных исламских террористических организаций, таких, как Salafe Kurdistan, пакистанская Lashkar-e-Khorasan, а также так называемое Министерство информации движения «Исламское государство» и филиалы «Аль-Каиды». Для распространения и внедрения вредоносного программного обеспечения на веб-ресурсы террористических организаций иранские кибергруппы также активно использовали фиктивные рассылки на персидском и арабском языках от имени крупных региональных медиаструктур, таких, как Al Jazeera и Al Arabiya. В частности, исследователями отмечались операции группы Flying Kitten по распространению вредоносного контента посредством размещения комментариев на странице Al Arabiya в Facebook, использовавшейся для пропаганды джихадизма.


Автор: Артур Хетагуров

Независимый аналитик рынков вооружений, эксперт РСМД

Консультант: Юлия Свешникова.

Права на данный материал принадлежат Российский совет по международным делам
Материал размещён правообладателем в открытом доступе
Оригинал публикации
  • В новости упоминаются
Похожие новости
01.04.2019
Кибермощь Ирана (Киберстражи Исламской Революции). Часть 2
24.09.2018
Война в Заливе 1991 года: причины и уроки
08.09.2014
Страны Северной и Северо-Восточной Африки вышли в мировые лидеры по темпам роста военных расходов в 2006-2013 гг.
15.11.2013
Рейтинг 157 стран, заключивших контракты на импорт ВиВТ в 2005-2012 гг., возглавляют Саудовская Аравия, Индия и Австралия
03.10.2011
Импорт многоцелевых вертолетов в 2003-2010 гг. осуществили 105 стран на сумму 18,5 млрд долларов - ЦАМТО
Хотите оставить комментарий? Зарегистрируйтесь и/или Войдите и общайтесь!
  • Разделы новостей
  • Обсуждаемое
  • 17.10 19:20
  • 3
Стальные владыки морей: самые могущественные корабли ХХ века
  • 17.10 18:28
  • 9
Южная Корея показала перспективный стелс-танк нового поколения NGMBT
  • 17.10 17:33
  • 2
"Горящие как спички" высадились в Риге
  • 17.10 17:23
  • 9
Сухопутные войска РФ оснащают новейшим зенитным ракетным комплексом
  • 17.10 17:18
  • 8
Импортные компрессоры "Газпрома" отключили через спутник
  • 17.10 17:07
  • 19
Птица низкого полета. Почему американский конкурент Ту-160 вышел "сырым"
  • 17.10 16:33
  • 1
В ВВС Индии поставили сроки в рамках программы истребителя 5 поколения
  • 17.10 15:43
  • 6
Российская армия учится беречь свою военную технику
  • 17.10 15:24
  • 5
Япония успешно испытала сверхманевренный спутник
  • 17.10 15:24
  • 2
Назад в будущее: новый боевой робот США напоминает танки 1930-х годов
  • 17.10 15:18
  • 1
Связисты ЦВО к профессиональному юбилею получили подарок
  • 17.10 15:09
  • 24
Первоочередная цель удара - радиолокационные станции.
  • 17.10 14:59
  • 2
В Приморье работники "Прогресса" после сокращения смогут устроиться на завод "Звезда"
  • 17.10 13:36
  • 1
"Грех не воспользоваться": Запад лишает Турцию оружия
  • 17.10 12:52
  • 5
Пик поставок вооружений в рамках гособоронзаказа пройден, заявил Путин