В XXI веке Иран гораздо чаще становился жертвой кибератак, чем их инициатором. Однако за последние годы Исламская Республика всерьез озаботилась вопросами интернет-безопасности и сформировала специализированные киберорганизации для борьбы с внутренними и внешними угрозами.
В технологическом плане Иран не может конкурировать с такими цифровыми державами, как США, Китай или Россия, но в Тегеране осознали, что для успеха отдельных операций огромные материальные ресурсы и не требуются. Поэтому сегодня Иран уже не ограничивается оборонительными действиями, но практикует интернет-вылазки на территорию противника.
Жертва кибератак
Иран одним из первых на Ближнем Востоке стал активно подключаться к интернету. И очень скоро выяснилось, что современные технологии несут не только новые возможности для развития страны, но и серьезные угрозы. До определенного момента структуры иранского режима регулярно становились жертвой кибератак.
После того как в 2002 году оппозиционные группы обнародовали информацию о тайных атомных исследованиях Ирана, различные силы пытались получить несанкционированный доступ к ядерным, экономическим, военным и правительственным объектам страны с разведывательными или диверсионными целями.
Самый известный случай произошел в 2010 году, когда при помощи вируса Stuxnet, разработанного американскими и израильскими спецслужбами, была взломана инфраструктура ведущего на тот момент иранского ядерного завода в Нетензе. В результате атаки было выведено из строя около тысячи из пяти тысяч центрифуг, расположенных на объекте.
Следующая серия атак пришлась на 2012 год. В мае вирус под названием Wiper and Flame поразил компьютеры Министерства нефти Ирана и Национальной нефтяной компании. Считается, что этот взлом был организован Израилем. В том же году масштабным кибернападениям подверглись атомные объекты, Центральный банк, Министерство культуры и буровые платформы Иранской нефтяной офшорной компании.
По самым скромным оценкам, против Исламской Республики в интернете неоднократно действовали США, Израиль, Канада, Франция, Россия и Великобритания. Благодаря Эдварду Сноудену стало известно, что Иран едва ли не чаще, чем другие страны мира, становился объектом кибернападений. В то же время вплоть до конца 2000-х годов не было известно ни об одном случае агрессивных действий, организованных в интернете проиранскими силами.
Терпение Тегерана лопнуло на рубеже 2000-х и 2010-х годов, когда к кибератакам из-за рубежа добавились внутренние угрозы. В 2009 году прошли самые масштабные в новейшей истории страны антиправительственные выступления, участники которых координировали свои действия через социальные сети и другие интернет-сервисы. В результате Иран изменил свою стратегию информационной безопасности и приступил к формированию подразделений, способных проводить специальные операции в интернете.
Иранский ответ
Прежде всего Иран озаботился созданием многоуровневой системы цифровой обороны. Основными направлениями стали защита критически важных инфраструктурных объектов и источников информации, нейтрализация кибератак, исходящих от внешних и внутренних противников режима, а также ограничение доступа иранских пользователей к западным источникам информации, которая могла бы повредить иранскому режиму. Власти начали повышать и регулярно проверять интернет-грамотность сотрудников государственных, военных и гражданских учреждений.
Важным новшеством было создание хакерских организаций, аффилированных с Корпусом стражей исламской революции (КСИР) или Министерством информации Ирана. Их задачей стали кибератаки против объектов в США или в странах – союзниках Вашингтона. Первая крупная акция состоялась в августе 2012 года, когда иранцы при помощи вируса Shamoon атаковали ключевого партнера США в регионе – Саудовскую Аравию.
Целью хакеров была нефтяная компания Saudi Aramco. В результате около 30 тысяч ее компьютеров временно вышли из строя и госкорпорация понесла серьезный финансовый ущерб.
При этом в сфере кибертехнологий Иран значительно отстает от таких стран, как США, Китай или Россия. Но Исламская Республика компенсирует это грамотным выбором целей, не готовых к отражению масштабной киберагрессии. Так как правительственные учреждения крупных государств хорошо защищены от атак иранских хакеров, Тегеран предпочитает взламывать личную почту работников этих учреждений или их аккаунты в социальных сетях, чаще всего используя фишинг.
Схожей стратегии иранцы придерживаются в отношении крупных финансовых компаний, не жалеющих сотен тысяч долларов на создание эффективных систем безопасности. Тегеран не связывается с ними напрямую, но старается подобраться к ним через другие организации, менее защищенные и уязвимые для иранских хакеров.
Опыт Исламской Республики показывает, что для проведения разовых эффективных атак достаточно освоить базовые приемы кибервойны. Методы иранских хакеров относительно примитивны, но подчас приносят результат. За последние годы целями Ирана в интернете становились крупные корпорации, негосударственные организации, а также военные, дипломатические и финансовые институты Германии, Израиля, Саудовской Аравии и США.
Одной из самых крупных атак Тегерана стала операция Ababil, организованная в 2012 году против ряда коммерческих структур в США, включая холдинг JPMorgan Chase и Нью-Йоркскую фондовую биржу. В результате финансовый сектор США понес ущерб на сотни миллионов долларов. Это была одна из самых масштабных DDoS-атак в истории, организованная небольшой группой молодых иранских хакеров, сумевших вызвать непредсказуемый сбой программного обеспечения банковской инфраструктуры.
Помимо попыток нанести ущерб иностранным объектам, Иран активно использует киберсферу для сбора закрытой информации. Освоившись в интернете, иранские спецслужбы отказались от вербовки зарубежных агентов, способных снабдить Тегеран необходимыми данными. Деятельность хакеров гораздо сложнее вычислить и пресечь.
Правительственный шпионаж в интернете стал нормой международных отношений, поэтому действия иранских киберразведчиков, даже когда о них становится известно, редко приводят к шумным международным протестам. На этом направлении иранцы работают против всех стран мира, включая союзников. Также Тегеран практикует промышленный шпионаж. Наибольший интерес у властей страны вызывают технологии в области авиации, обороны, добывающей промышленности и телекоммуникаций.
В целом власти Исламской Республики рассматривают киберпространство как удобную сферу для наступательных действий, способных причинить реальный вред соперникам, или для несанкционированного доступа к важной информации, который можно получить без риска спровоцировать отрицательную международную реакцию и новые санкции.
Солдаты киберармии
Далеко не все действия Тегерана в интернете можно назвать успешными. Неудачи иранских хакеров порой объясняются такими элементарными причинами, как плохое знание английского языка или использование устаревших технологий. Зачастую пренебрежение базовыми мерами безопасности или просто непрофессионализм иранцев приводят к тому, что противнику становятся известны их имена и личные данные.
Так, в марте 2018 года Госдепартамент США объявил о раскрытии группы в составе десяти «иранских киберпреступников», ответственных за атаки на десятки американских университетов, компаний и госучреждений. В общей сложности члены группы похитили 31 терабайт информации и интеллектуальной собственности. Девять из десяти членов группы входили в организацию, аффилированную с КСИР.
Как правило, иранские хакеры не являются штатными сотрудниками органов безопасности. У них может быть самое разное происхождение и образ жизни. Кто-то из них подчеркнуто религиозен, другие, помимо хакерской деятельности, используют интернет для распространения порнографии или продажи наркотиков.
Кроме того, деятельность Ирана в киберсфере очень децентрализованна. Это открывает простор для односторонних действий каких-то институтов власти, о чем другие правительственные структуры могут и не подозревать. При этом группы иранских хакеров часто непостоянны и функционируют в среднем не более пары лет. В разное время главными проводниками иранских интересов в интернете назывались Иранская киберармия, APT33, Voyeur, Rocket Kitten, Oilrig, впоследствии исчезавшие из поля зрения наблюдателей.
Наконец, Иран пытается расширить свое присутствие в киберпространстве за счет использования стран-союзниц. Тегеран активно поддерживает Сирийскую электронную армию, специализирующуюся на хакерских атаках.
Интернет против оппозиции
Антиправительственные выступления 2009 года показали, что интернет может быть использован как мощный инструмент мобилизации населения, способный создать серьезные проблемы для режима.
Важную роль сыграло и то, что во время протестов администрация Барака Обамы поддерживала иранских пользователей, стараясь обеспечить им бесперебойный доступ к популярным интернет-ресурсам. Госдепартамент США обратился к руководству Twitter с просьбой отложить плановое обновление сервиса в Иране на время, пока там идут демонстрации. Неудивительно, что в такой ситуации Тегеран стал относиться к интернет-платформам, созданным на Западе, как к потенциальной угрозе.
Попытки иранских властей запросить у иностранных компаний информацию об активности своих граждан в интернете в большинстве случаев не увенчались успехом. Онлайн-сервисы, разрабатывавшиеся в Иране при поддержке государства как альтернатива западным аналогам, не смогли стать полноценной заменой популярных платформ. Блокировка западных соцсетей также лишь частично решала ситуацию.
Поэтому параллельно с киберборьбой против зарубежных стран прорежимные хакеры начали работу внутри Ирана. Они принялись блокировать сайты оппозиционеров, организовывать атаки на независимые персоязычные СМИ и медиаплатформы, а также рассылать агитационные сообщения. Как правило, организации, причастные к иранским атакам за границей, проводили и кибернападения на правозащитников и активистов внутри страны.
Одной из таких организаций стала Иранская киберармия, действовавшая в 2009–2013 годах. Громкий инцидент с ее участием произошел в 2011 году. Иранские хакеры сумели взломатьголландский центр сертификации DigiNotar и получить сертификаты шифрования, открывавшие доступ ко всем иранским адресам Gmail. Этот случай стал одним из самых крупных нарушений безопасности интернет-пользователей в истории. В целом опыт 2010-х годов показал, что деятельность иранских хакеров оказалась намного более эффективной против внутренних, чем против зарубежных целей.
Интернет против реформ
Прорежимные интернет-активисты действуют не только против правозащитников и оппозиционеров. Децентрализованный характер иранской политической системы и тот факт, что большинство хакерских организаций аффилированы с КСИР, приводит к тому, что кибератаки в Иране используются и в борьбе между различными группировками во власти.
Хакерские атаки стали одним из методов давления на администрацию президента-реформатора Хасана Рухани со стороны консерваторов, выступающих против налаживания диалога с Западом. Например, неоднократно предпринимались попытки взлома личных аккаунтов и почтовых ящиков дипломатов Министерства иностранных дел. Кибератаки против реформаторов часто сопровождались публикациями в консервативной прессе, обвинявшей сторонников ядерной сделки в предательстве национальных интересов. Зафиксированы случаи взлома почтовых ящиков нескольких сотрудников кабинета Рухани.
Примером успешного давления на сторонников нынешнего президента стала история известного иранского ученого-эколога, научного сотрудника Имперского колледжа Лондона Каве Мадани. По приглашению Хасана Рухани в сентябре 2017 года он занял пост вице-президента Организации по охране окружающей среды Ирана, чтобы заниматься экологической политикой и сохранением водных ресурсов. Это назначение было с воодушевлением воспринято иранской реформаторской общественностью, а ряд СМИ и экспертов прочили Мадани пост министра энергетики.
Вскоре после этого почта ученого была взломана. Затем в консервативных СМИ появились фотографии, на которых Мадани был запечатлен за столом с алкоголем и девушками, не соблюдающими исламский дресс-код. Это стало частью кампании по дискредитации ученого, которого консерваторы называли агентом Запада. В результате давления, включавшего, помимо публичных обвинений в прессе, вызовы на допрос, Мадани в апреле 2018 года принял решение оставить пост и вернуться к академической карьере за рубежом.
Кибератака как месседж
В западной прессе регулярно появляются заявления о том, что Иран представляет не меньшую киберугрозу, чем Китай или Россия. Но с такой оценкой сложно согласиться. Несмотря на заявления об успехах в разработке собственных интернет-технологий, Иран продолжает отставать как от развитых стран, так и от ключевых конкурентов на Ближнем Востоке по объемам инвестиций в телекоммуникационные технологии. Десятки миллионов долларов, которые Тегеран тратит на эти цели, не идут ни в какое сравнение с миллиардами, вкладываемыми в США.
Несмотря на повышенный интерес к возможностям кибервойны, Исламская Республика по-прежнему испытывает острый дефицит технологий и специалистов высокого класса из-за санкций и неэффективности собственной бюрократии.
Даже для Ближнего Востока деятельность Тегерана в киберсфере представляет куда меньшую опасность, чем присутствие иранцев и вооруженных иранских союзников на земле. Что касается крупных мировых держав, то иранские хакеры пока не способны причинить ощутимый урон их критически важной инфраструктуре. Не обладает Иран и потенциалом для превращения в кибердержаву первого ряда в ближайшем будущем.
По большому счету, почти все кибератаки, связанные с иранскими структурами, были ответом на агрессивные действия со стороны зарубежных оппонентов. То есть их цель – возмездие, а не подстрекательство к новым конфликтам. Иными словами, главная задача иранских кибервойск – послать мировым державам четкий сигнал: Тегеран не всегда способен эффективно защититься от нападений в киберпространстве, но постоянно готов ответить США или их союзникам на любые действия в свой адрес.
При этом Иран, зная о своей неготовности бросить вызов по-настоящему развитым странам, предпочитает бить по наиболее слабым местам оппонентов. По этой логике одной из самых частых целей Исламской Республики становится Саудовская Аравия – главный ближневосточный партнер США, не обладающий хорошо развитой киберзащитой.
Тот же сигнал иранские власти посылают и внутренней оппозиции. Нападения хакеров на сайты активистов и оппозиционные медиа должны давать понять, что противники режима и в интернете находятся в зоне его досягаемости.
Автор: Никита Смагин; Центр Карнеги