В конце июня Иран пережил одну из крупнейших хакерских атак. Полностью парализованной тогда оказалась работа одного из сталелитейных заводов. Ответственность за атаку взяла на себя хакерская группа Predatory Sparrow ("Хищный воробей")? Что это за люди?
В подтверждении своих слов Predatory Sparrow опубликовала видеоролик, на котором, как утверждается, запечатлены последствия кибератаки. На кадрах, снятых, судя по всему, камерами наружного наблюдения, видно, как одна из установок, контролирующая подачу раскаленного металла на конвейер, выходит из строя и становится причиной сильного пожара. Работники завода в панике бегут врассыпную. Видео заканчивается тем, что люди начинают из шлангов тушить пожар.
На другом видео, появившемся в интернете, слышно, как рабочие кричат, чтобы вызывали пожарных, и перечисляют урон, причиненный оборудованию.
Predatory Sparrow, (на фарси — Gonjeshke Darande) утверждает, что это была лишь одна из трех кибератак, осуществленных 27 июня на иранские сталелитейные предприятия в ответ на неназванные "акты агрессии" со стороны Исламской республики.
Хакерская группировка начала также выкладывать в общественный доступ гигабайты информации, похищенной, как она утверждает, у этих предприятий, в том числе конфиденциальные имейлы.
"Эти компании находятся под международными санкциями, но продолжают работать, несмотря на введенные ограничения, — говорится в "Телеграм"-канале Predatory Sparrow. — Кибератаки были осуществлены с предосторожностями, чтобы не причинить вред невинным людям".
Вот эта последняя фраза и заставила специалистов в области кибербезопасности задуматься.
Очевидно, что хакеры понимали, что своими действиями могут причинить ущерб обычным людям, и попытались сделать так, чтобы во время кибератаки в цеху по возможности было пусто. И они в равной степени хотели убедиться в том, что всем станет известно, какие меры предосторожности они предприняли.
Это заставило многих предположить, что Predatory Sparrow это профессиональная и хорошо организованная команда военных хакеров. Перед подобной операцией они скорее всего четко оценивали риски и понимали опасность.
"Они называют себя хакерами-активистами, но учитывая их профессиональный уровень и масштаб нанесенного урона, мы полагаем, что эта группа либо управляется, либо спонсируется каким-то государством", — говорит начальник отдела киберисследований компании Check Point Software Итай Коэн.
В последнее время Иран не раз становился жертвой кибератак, но ничего сравнимого по масштабам с последними событиями еще не было.
"Если окажется, что это хакерское нападение спонсировалось государством, это станет важным фактором, — говорит редактор издания Cyber Policy Journal Эмили Тейлор. — Нападение с помощью вируса Stuxnet на иранское предприятие по обогащению урана в 2010 году до сих пор было одним из немногих, если не единственным примером кибератаки, причинившей физический урон".
Stuxnet был компьютерным вирусом, обнаруженным в 2010 году и повредившим или уничтожившим центрифуги на иранском предприятии по обогащению урана в Нетензе, что ударило по ядерной программе Тегерана. С тех пор подтвержденных случаев физического ущерба в результате кибератак было совсем немного.
Один из таких случаев, возможно, был зарегистрирован в Германии в 2014 году, где, согласно официальным отчетам, в результате кибератаки был причинен серьезный ущерб сталелитейному предприятию, которое пришлось на время закрыть. Однако других подробностей не сообщалось.
Были и другие кибератаки, которые потенциально могли нанести серьезный урон, но они не увенчались успехом. К примеру, хакеры пытались проникнуть в компьютерную систему водоочистных сооружений и добавить в питьевую воду химреагенты, но им это не удалось.
Намного чаще хакеры добиваются успеха, когда вызывают хаос, к примеру на транспорте, что, впочем, не приводит к физическому ущербу.
По словам редактора издания Cyber Policy Journal Эмили Тейлор, последняя кибератака, вызвавшая пожар на иранской сталелитейной фабрике, принципиально отличается от всех остальных. Если вмешательство иностранного государство действительно имело место, возможно, были нарушены нормы международного законодательства о неприменении силы. А значит Иран получит основания для ответного удара, считает эксперт.
Но если Predatory Sparrow — это на самом деле группа военных хакеров, то какое государство может за ней стоять? Само название "Хищный воробей" явно обыгрывает имя иранской хакерской группы Charming Kitten ("Домашний или Милый котенок"), так что быть может это намек на то, что хакеров поддерживает государство — важный соперник Ирана.
Многие уверены в том, что нападение на иранский ядерный объект с помощью вируса Stuxnet осуществил Израиль при поддержке США. Вот и на этот раз пересуды о том, что Predatory Sparrow может быть связана с Израилем были достаточно громкими, чтобы вызвать ответ израильского правительства.
Как сообщили израильские СМИ, министр обороны Бенни Ганц отдал распоряжение расследовать утечки в прессу, позволившие израильским же журналистам начать активно намекать на то, что за кибератакой стоит Израиль.
Судя по сообщениям, Ганц был обеспокоен тем, что могла быть нарушена традиционная политика Израиля, который как правило не подтверждает и не опровергает проведение каких-либо операций против Тегерана.
"Если это была спонсированная государством кибератака, то, разумеется, Израиль становится главным подозреваемым. Израиль и Иран находятся в состоянии кибервойны и обе стороны официально подтверждают это, — говорит Эрсин Кахмутоглу из базирующейся в Анкаре компании ADEO Cyber Security Services. — Обе страны проводят кибератаки друг против друга через свои спецслужбы, а эскалация случилась после 2020 года, когда Израиль нанес ответный удар после неудачной попытки иранцев провести хакерскую атаку против инфраструктуры водоочистных сооружений Израиля и вбросить хлор в питьевую воду".
В октябре прошлого года Predatory Sparrow взяла на себя ответственность за вывод из строя системы оплаты национальных заправочных станций Ирана. Группировка заявила также о том, что именно она стоит за хакерской атакой на щиты цифровой рекламы вдоль дорог, на которых высветился вопрос (к верховному лидеру Ирана аятолле али Хаменеи) "Хаменеи, где наше топливо?"
И в тот раз хакеры проявили определенную степень ответственности, заранее предупредив службы спасения Ирана о потенциальном хаосе на дорогах.
Исследователи из компании Check Point указывают также на то, что им удалось обнаружить в хакерской программе Predatory Sparrow код, используемый другой группировкой под названием Indra, которая в июле прошлого года провела хакерскую атаку на информационные табло иранских железнодорожных станций.
По сообщениям иранских СМИ, хакеры разместили на табло железнодорожных станций по всей стране сообщения об отмене или задержке поездов и призывы к гражданам обращаться за разъяснениями к верховному лидеру.
Теперь эксперты говорят, что атака на сталелитейный завод поднимает ставки в кибервойне.
По словам гендиректора Mobarakeh Steel Company, где судя по всему и произошел пожар, кибератака не нарушила работу фабрики и никто не пострадал. Две другие компании, попавшие под удар хакеров, также утверждают, что все обошлось без проблем.
Между тем, базирующийся в Великобритании иранский оппозиционер Нарим Гариб, который также занимается независимым расследованием случаев кибершпионажа, убежден, что размещенное в интернете видео хакерской атаки на заводе — подлинное, и отмечает, что в "Твиттере" были размещены еще два видеоролика этого пожара.
"Эта хакерская атака имела место, потому что рабочие фабрики вели съемку и с другого ракурса, к тому же мы видели объявление компании в "Телеграм"-канале о том, что производственный конвейер был приостановлен, хотя потом они это отрицали, — говорит Нарим Гариб. Он считает, что красная черта в кибервойне Ирана и Израиля уже пройдена. — Если за этими нападениями в самом деле стоит Израиль, то я полагаю, что они хотят показать, что способны причинить реальный ущерб, а не просто нарушить работу. И это наглядно демонстрирует, как быстро может произойти эскалация".