Лента новостей

13:11
Счетная палата обнаружила бюджетные нарушения почти на 800 млрд рублей
13:07
Украина получает новую «первую леди»: что известно о Елене Зеленской
13:06
Новая линия Москвы не предполагает удовлетворения капризов Лукашенко
13:05
Министр обороны Англии спятил
13:03
Хуаньцю шибао (Китай): активное развитие сельского хозяйства в России
13:03
Чего ждать православным от Президента Зеленского
13:02
Венесуэла платит по долгам, Кремль обвиняют в авантюризме и трусости
13:01
Армия Хафтара начала новое наступление на Триполи
13:00
Итоги деятельности Петра Порошенко на посту президента Украины
13:00
Игорь Немодрук: шо натворила Украина?
12:57
Теракты на Шри-Ланке: последнее звено войны четвертого поколения (Yeni Şafak, Турция)
12:57
Украинский бизнес поставил президенту Зеленскому семь условий
12:53
Начнут ли на Донбассе выдавать российские паспорта после победы Зеленского на выборах
12:46
Эта Америка поломалась и протухла. Несите более великую вновь.. Как это "она гораздо хуже"???
12:45
Киевские судьи подали иск против Порошенко
12:40
Подписан контракт на закупку Индонезией еще 22 БМП-3Ф и 21 бронетранспортера БТ-3Ф
12:39
Отнятая стоимость
12:38
Что я думаю про выборы на Украине
12:29
Украинские выборы: новые линии разлома
11:52
Посол МИД РФ: Москва выделила Приднестровью свыше 5 млрд рублей
11:51
Мистика с истребителем ВВС США
11:50
Доскакались: Новый Шелковый путь окончательно обошел Украину
11:40
Украина: Заглянуть за горизонт событий
11:39
США приказали всему миру платить России больше денег
09:26
Кравчук посоветовал Зеленскому вернуть Крым любовью
09:26
У бедного «борца с коррупцией» Соболь нашли недвижимости на 51 миллион
09:22
Совет Федерации одобрил закон об увеличении пенсии ветеранам войны
09:21
Суд в Киеве приостановил процесс переименования УПЦ
09:21
Анатолий Вассерман: Украинцы будут разочарованы Зеленским
09:19
В Украине резко подорожали бензин и дизель
09:16
Израильские СМИ пытаются понять, является ли Зеленский евреем
09:14
"Тогда нас всех наверное надо отдать под суд"...
09:09
Влад Росс: почему хотят убить Зеленского и как он удивит украинцев
09:07
Не прошло и суток: на Украине начался «ветер перемен»?
08:56
Швеция готовит плацдарм для наступления на Россию
08:55
Российские С-400 опередили время
08:53
Литва никуда не делась с подводной лодки
08:52
Победа Зеленского в интерьере Хьюстонского проекта
08:49
Доскакались: Новый Шелковый путь окончательно обошел Украину
08:48
Русский язык до тюрьмы доведёт
08:46
Роль Зеленского в мирном Донбассе
08:43
Любой каприз Вашингтона за деньги польского фермера
08:42
25 лет Рунету: Россия становится сильнее не только армией
08:38
Военная база в Тартусе станет российским нефтяным хабом
08:37
Пентагон уже планирует замену F-22
Все новости

Архив публикаций

«    Апрель 2019    »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
2930 


» » Кибермощь Ирана

Кибермощь Ирана


Насколько важна информационная и кибербезопасность для стабильности Ирана?

Для Ирана, практически с начала 1980-х гг. находящегося в сложном геополитическом и геостратегическом окружении и глобальном противостоянии с основными внешнеполитическими соперниками — США, Израилем и блоком нефтяных монархий Персидского залива, возглавляемым Саудовской Аравией — необходимость обеспечения информационной безопасности и кибербезопасности в национальном масштабе является одним из факторов геополитической устойчивости наравне с поддержанием относительного военно-политического паритета. 

Как и для всех современных государств, этому способствует все возрастающая зависимость функционирования системы государственного управления, социальной, экономической, транспортной и военной инфраструктуры Ирана от устойчивости и дееспособности обеспечивающей их информационной инфраструктуры. При этом для Ирана спектр угроз в киберпространстве, исходящих от внешних источников, дополняется внутренним фактором: устойчивость иранской государственной системы сильно зависит от внутриполитической ситуации в иранском обществе. Это, в свою очередь, связано с внутриэкономическими проблемами и сложной общественно-политической атмосферой, которая подвержена информационному воздействию оппозиции и поддерживающих ее внешних сил. Не раз выявляемая вероятность использования внешними силами интернет-сетей для информационного воздействия на внутриполитическую ситуацию в стране также ориентирует иранское руководство на приоритетное развитие эффективных механизмов по обеспечению контроля за интернет-пространством, мониторингу размещаемого контента и активности пользователей. 

Иран, официально причисленный США к «оси зла», стал, пожалуй, одним из приоритетных объектов кибератак со стороны спецслужб США и их союзников — в первую очередь Израиля. Это не могло не побудить Иран к созданию собственного потенциала в сфере кибербезопасности — как в части противодействия киберугрозам, так и в части развития систем по кибершпионажу и кибератакам на объекты критической инфраструктуры возможных противников. При этом потенциал в сфере кибербезопасности рассматривается Ираном в качестве одного из ключевых и эффективных инструментов так называемой «мягкой силы». 

Приоритетными направлениями иранских киберопераций являются США, Израиль, монархии Персидского залива, а также ведущие западноевропейские государства. По данным приводимого в статье мониторинга деятельности иранских кибергрупп, промышленный кибершпионаж и кибератаки со стороны Ирана были нацелены в первую очередь на высокотехнологичные отрасли государств-мишеней, базы данных которых имеют ценность для развития соответствующих иранских компетенций, либо инфраструктурные отрасли, сбои в работе которых обеспечивали наибольший общественный резонанс. В частности, это аэрокосмическая промышленность, оборонно-промышленный комплекс, добывающая промышленность, энергетический, финансовый и телекоммуникационный секторы. В числе крупнейших киберопераций, проводившихся иранскими группами (либо группами, идентифицируемыми в качестве иранских), отмечались такие резонансные акции, как компания Madi (2012 г.), Operation Ababil (2012–2014 гг.), Operation Shamoon/Operation Shamoon 2 (2012 г. и 2016–2017 гг.), #OpIsrael и #OpUSA (2013 г. и последующие годы), Operation Cleaver (2012–2014 гг.), Operation Saffron Rose (2013–2014 гг.), Operation Newscaster (2011–2014 гг.), Operation Woolen-GoldFish (2014–2015 гг.), Operation Wilted Tulip (2013–2017 гг.) и Magic Hound (2016­–2017 гг.). В ходе этих операций объектами становились десятки госучреждений и частных компаний вышеперечисленных стран. 

Зарубежными исследователями указывается на все большее смещение акцента иранских спецслужб на проведение киберопераций для сбора разведданных. Также кибероперации в случае их неудачного исхода, по сравнению с провалами агентов иранских спецслужб или завербованных ими лиц, гораздо менее доказуемы и менее резонансны в дипломатическом отношении. При этом западными исследователями отмечалось, что целью большинства киберопераций, проводимых иранскими кибергруппами, в отличие от, к примеру, Китая и других стран, зачастую является не только шпионаж, но и нанесение максимального ущерба объекту атаки. Также наиболее заметными иранскими хакерскими группами практически не проводятся кибероперации, связанные с финансовым пиратством. 

Важными объектами киберопераций иранских спецслужб в сфере контроля за информационным пространством также являются иранские оппозиционные партии, диссиденты и неправительственные организации (как в самом Иране, так и за границей), национальные диаспоры и сотрудники госструктур. В отдельных источниках отмечается, что большая часть операций иранских киберструктур проводится именно против внутренних оппозиционных движений, при этом применяются довольно разнообразные эффективные методы мониторинга и проведения киберопераций по взлому, уничтожению баз данных, блокировке сайтов и аккаунтов. 

Развитие национальных компетенций в сфере обеспечения кибербезопасности упомянуто в государственных программных документах. В частности, в рамках реализации национального плана экономического развития на 2011–2016 гг. обозначалось обеспечение доступа пользователей к безопасным онлайн сетям и обеспечение кибербезопасности, внедрение в государственных ведомствах системы управления информационной безопасностью (Information Security Management System — ISMS). Также в национальном плане говорилось о создании операционных центров информационной безопасности (ISOCs) в соответствии с программным документом, разработанным и принятым AFTA в 2015 г. и посвященным вопросам национальной кибербезопаности. В сентябре 2015 г. министр связи и информационных технологий Ирана Махмуд Ваези анонсировал, что в рамках реализации национального плана экономического развития на 2016–2021 гг. Иран планирует выйти на ведущее место в регионе по обеспечению кибербезопасности пользователей. 

При этом, по данным Международного союза электросвязи (International Telecommunication Union — ITU), по индексу кибербезопасности (Global Cybersecurity Index) в 2014 г. Иран занимал 19-е место в мире, а в 2017 г. ­— лишь 60-е. Однако необходимо учитывать, что рейтинг преимущественно отражает уровень информационной безопасности государств по комплексу базовых показателей — наличию национальных правовых систем координации политики и стратегий развития кибербезопасности, технических возможностей по обеспечению информационной безопасности, научно-исследовательских и образовательных программ в сфере информационной безопасности. При подсчете индекса не сравнивается потенциал и компетенции стран в части кибербезопасности и проведения кибератак. Для сравнения: в рейтинге Global Cybersecurity Index 2017 первые три позиции заняли Сингапур, США и Малайзия, Франция заняла 8-е место, Россия — 10-е, Великобритания — 12-е, а Израиль и Китай только 20-е и 30-е соответственно. Такой рейтинг мало коррелирует с реальными компетенциями данных государств в сфере обеспечения кибербезопасности критически важных объектов и их возможностями по проведению киберопераций в отношении потенциальных противников. 

При этом важно отметить, что хотя антииранские санкции и оказали существенное сдерживающее воздействие на ВПК Ирана и потребовали значительных бюджетных ассигнований (в силу сохраняющейся зависимости от зарубежного технического содействия и от передачи технологий), но они несильно повлияли на развитие иранской сферы кибербезопасности. 

Иранские официальные лица при оценке развития национальных компетенций в сфере кибербезопасности указывают на их достаточно высокий уровень и поступательный рост и при этом неизменно отмечают их приоритетную направленность на защиту от иностранного вмешательства. К примеру, по оценке, сделанной еще в 2013 г. заместителем командующего ополчением Basij бригадным генералом Мохамадом Хосейном Сепером, по потенциалу в области кибербезопасности Иран находится на четвертом месте в мире и целью КСИР является поддержка киберкомпетенций на уровне, обеспечивающем выдерживание стратегического баланса с США и Израилем. В 2014 г. руководителем департамента информационных технологий и связи Генерального штаба Вооруженных сил Ирана генералом Мохаммадом Акакиши отмечалось, что «Иран в полной мере готов к противоборству в киберпространстве», и подчеркивалось, что, несмотря на постоянные угрозы США в адрес Тегерана, Вашингтон вынужден учитывать потенциал Ирана в сфере информационных технологий. 

Как правило, высоко оцениваются возможности Ирана в сфере кибербезопасности и большинством западных исследователей, относящих Иран к числу шести государств мира с наиболее развитыми компетенциями, наряду с США, Россией, Китаем, Израилем и Великобританией. 

Уже в 2013 г. израильским исследовательским центром Institute for National Security Studies (INSS) отмечалось, что Иран имеет значительный потенциал для проведения кибератак, и в случае эскалации противостояния между Ираном и западными странами он может быть использован в отношении критически значимых объектов инфраструктуры США и их союзников, включая банковский и финансовый сектор, энергетическую и транспортную инфраструктуру. Тогда же командующий Космическим командованием ВВС США генерал Уильям Шелтон заявил, что Иран в скором времени станет «значимой силой в области кибербезопасности, с которой нужно будет считаться с учетом потенциальной угрозы, которую он может представлять для Соединенных Штатов». У. Шелтон также отметил, что «китайские хакеры — не единственные хакеры, о которых нужно беспокоиться Вашингтону». 

В 2014 г. американские разведслужбы и эксперты в сфере кибербезопасности были вынуждены признать достижение Ираном значительного уровня компетенций в этой области и потенциала по проведению киберопераций, свидетельством чему стали массированные атаки на финансовый, банковский и оборонный сектор США (операции Ababil, Safron Rose) и против объектов на Ближнем Востоке (операции Shamoon/Shamoon 2). По данным доклада «Iranian Cyber Warfare Threat Assessment», опубликованного в 2015 г. американской компанией по кибербезопасности Defense Technology Corporation LLC, Иран позиционировался в числе пяти ведущих стран мира с наиболее развитыми компетенциями в области кибербезопасности и проведения киберопераций. Не менее высокая оценка была дана в 2016 г. адмиралом Майклом Роджерсом, возглавлявшим АНБ и Киберкомандование вооруженных сил США. Он отметил, что Иран становится одним из наиболее опасных противников в киберпространстве наряду с Россией и Китаем. В 2017 г. Научный совет Министерства обороны США опубликовал отчет с выводом о возрастающем потенциале Ирана и Северной Кореи по проведению кибератак в отношении США, а также о необходимости принятия усилий для их сдерживания, аналогичных мерам противодействия развитию ядерной программы этих стран. 

Согласно недавним оценкам специалистов американского института Washington Institute for Near East Policy, Иран готов к проведению киберопераций для блокирования систем управления критически важными военными объектами, инфраструктурой и логистикой США. Аналогичные оценки приводились чиновниками американской администрации, заявлявшими, что Иран подготовил фундамент для проведения масштабных кибератак на критически значимые объекты инфраструктуры США, западноевропейских и ближневосточных стран. При этом, согласно опубликованному в 2016 г. отчету Управления государственной отчетности США, в отношении возрастающей активности иранских хакерских атак отмечалось, что почти все критически важные инфраструктурные отрасли США не имели адекватных показателей по кибербезопасности. 

Несмотря на очевидный потенциал Ирана по противодействию зарубежным кибератакам и проведению собственных, отдельными зарубежными источниками отмечается ограниченность компетенций Ирана по сравнению, к примеру, с возможностями США, России и Китая, в т.ч. и в силу значительного отставания в техническом оснащении. 

Большинством зарубежных исследователей указывалось, что, несмотря на довольно масштабный характер иранских кибератак, в ряде случаев приводивших к серьезному ущербу, в том числе финансовому, их объектами преимущественно становились коммерческие организации. При этом отмечалось, что кибератаки, проводившиеся в отношении информационных ресурсов американских оборонных компаний, имели весьма ограниченный успех, и практически отсутствовали сообщения о краже Ираном чувствительной информации. Случаи успешных киберопераций против американских и европейских госструктур также пока являются единичными, и основная масса резонансных инцидентов связана с атаками на менее защищенные аккаунты и почтовые адреса госслужащих, либо второстепенные и внешние инфраструктурные объекты. Признавалась определенная эффективность проведения иранскими хакерами кибератак по хищению баз данных и их блокировке. 

Аналогичные оценки давались и в контексте анализа потенциала иранских хакеров при атаках на Израиль. Исследователи отмечали, что, несмотря на имевшие место случаи уничтожения баз данных израильских пользователей, возможности иранских кибергрупп для атак на критически значимые инфраструктурные объекты были довольно ограниченными. Поэтому их целями преимущественно становились менее защищенные объекты — серверы научных и коммерческих организаций, вузов, а также аккаунты сотрудников госведомств и организаций в соцсетях. 

Из довольно широкого спектра комментариев для оценки реальных возможностей Ирана в сфере кибербезопасности стоит отметить два крайних момента. Во-первых, несмотря на подчеркиваемую необходимость всего лишь обеспечить собственную кибербезопасность, Иран все же стремится позиционировать свои возможности по киберпротивоборству в качестве действенного фактора воздействия на геополитических соперников. Во-вторых, западные, прежде всего американские, чиновники стремятся представить рост иранского киберпотенциала (как и его ядерной программы) в качестве жупела для обоснования геополитического давления на Тегеран и выбивания дополнительных ассигнований для реализации собственных масштабных программ по развитию киберпотенциала и оборонного сектора. При этом очевидно, что проведением довольно масштабных киберопераций против правительственных, военных и научных учреждений, экономических субъектов и инфраструктурных объектов в США, Саудовской Аравии, западноевропейских и прочих государствах Иран продемонстрировал наличие дополнительного спектра возможностей ответного реагирования на вероятную внешнюю военную агрессию. 

Зарубежные источники признают, что иранские кибероперации могут служить примером довольно успешного противодействия стран третьего мира ведущим мировым державам в данной сфере. Многие эксперты рассматриваютставку Ирана на приоритетное развитие национальных компетенций в сфере кибербезопасности не только как фактор обеспечения военно-стратегического паритета с США и прочими потенциальными противниками. Также указывается, что достигнутый потенциал в сфере кибервозможностей вполне может использоваться Тегераном в качестве силового фактора в переговорном процессе с США и прочими геополитическими оппонентами. 

Например, зарубежные наблюдатели отмечали видимый спад активности киберопераций, направленных на США, после заключения в 2015 г. международного соглашения по иранской ядерной программе (Joint Comprehensive Plan of Action — JCPOA). Это трактовалось в т.ч. как косвенное свидетельство связи иранских кибергрупп с госструктурами. При этом одновременно отмечался рост активности проводимых киберопераций на региональном уровне против союзников США (в первую очередь против Саудовской Аравии и Израиля), что отдельными западными наблюдателями воспринималось как сохранение косвенного давления на США. После фактического демарша в сентябре 2017 г. администрации Дональда Трампа по отказу от JCPOA американские спецслужбы указывали на риск возобновления Ираном масштабных кибератак против США, что подтверждалось активизацией деятельности иранских хакеров. 

Организация системы национальной кибербезопасности Ирана

 

Прогрессирующий рост числа интернет-провайдеров и пользователей в Иране к началу 2000-х гг., а также вероятность использования внешними силами Интернет-сетей для информационного воздействия на внутриполитическую ситуацию в стране ориентировали иранское руководство к формированию специальных структур по контролю за интернет-пространством. Целью такой меры стал мониторинг поведения пользователей и размещаемого контента. Также были назначены ответственные за разработку национальной политики в сфере регулирования и обеспечения контроля над информационным пространством. 

Так, в конце 2002 г. был организован Комитет по предписанию мер в отношении запрещенных Интернет-ресурсов. Он выступал в качестве органа, определяющего критерии запрета функционирования Интернет-ресурсов. Также был создан Комитет по надзору за запрещенными веб-ресурсами, в который входили представители Министерства разведки, Министерства культуры и исламской ориентации, Министерства юстиции. Как сообщалоиранское оппозиционное движение National Council of Resistance of Iran (NCRI), к началу 2003 г. Комитет по надзору заблокировал более 15 тыс. сайтов. 

Позднее, в 2003 г., Высшим советом по информационной безопасности был принят план по кибернадзору, ставший программным документом по комплексному мониторингу и контролю над киберпространством. В 2005 г. для разработки политики и стратегии технологического развития, в т.ч. в области информационной безопасности и кибертехнологий, был создан Высший совет по технологическим инновациям. 

В рамках дальнейшей политики усиления контроля над киберпространством в июле 2009 г. Высшим советом культурной революции при главе государства был создан Комитет по идентификации несанкционированных сайтов. В его состав входили генеральный прокурор, глава национальной полиции, министры юстиции, культуры, разведки, телекоммуникаций, науки, руководство радиотелевизионных компаний. Позднее был создан Комитет по выявлению криминального интернет-контента, также формируемый из представителей профильных министерств и ведомств. 

Обеспечение собственно кибербезопасности и проведение киберопераций изначально обеспечивались Корпусом стражей исламской революции и Министерством разведки (Департаментом технологий), однако деятельность их киберслужб носила автономный и довольно изолированный характер, преимущественно ориентированный на выполнение операций в ведомственных интересах, зачастую без осведомленности и согласования с остальными госструктурами. По данным иранского оппозиционного движения National Council of Resistance of Iran (NCRI), создание специальных сил кибербезопасности в структуре разведслужбы Корпуса стражей исламской революции (КСИР) относится к 2008­–2009 гг. При этом решение о создании специальных сил кибербезопасности инициировалось на уровне Верховного совета по национальной безопасности. К этому же периоду относится установление со стороны КСИР непосредственного контроля над деятельностью идентифицированных иранских хакерских групп. 

Переломным моментом для обеспечения Ираном кибербезопасности на общегосударственном уровне стала разрушительная кибератака, проведенная на объекты иранской ядерной инфраструктуры с использованием вируса Stuxnet в 2010 г. Предложение о необходимости формирования централизованной системы обеспечения национальной кибербезопасности при ведущей роли КСИР было озвучено в декабре 2010 г. Это произошло на совещании, инициированном командующим КСИР генерал-майором Мохаммадом Али Джафари и начальником сил кибербезопасности КСИР Маджидом Садекианом. Помимо киберподразделений, подчиненных непосредственно КСИР, также предлагалось формировать кибергруппы в структуре военизированного ополчения Basij и сил специального назначения Qods Force, которые должны были действовать в координации с разведывательной службой КСИР. 

Также в составе «Организации пассивной гражданской обороны», существующей с 2003 г., были созданы две структуры: Командование кибербезопасности и штаб-квартира кибербезопасности. «Организация пассивной гражданской обороны» входит в структуру Генерального штаба ВС Ирана и является органом межведомственной координации и управления мероприятиями по обеспечению внутренней обороноспособности государства и гражданской обороны в случае военных действий. В свою очередь Командование кибербезопасности было организовано в ноябре 2010 г. в качестве органа управления мероприятиями по обеспечению информационной безопасности и киберзащиты. Штаб-квартира кибербезопасности была создана в октябре 2011 г. и стала играть роль национального координирующего органа по непосредственному управлению мониторингом и предотвращением кибератак на критически значимые объекты (ядерные объекты, электростанции, центры обработки данных, банки и пр.). 

В марте 2012 г. высшим руководителем Ирана аятоллой Али Хаменеи было инициировано создание Верховного совета по киберпространству — структуры, определяющей и координирующей государственную политику в сфере кибербезопасности, возглавляемую президентом Ирана и формируемуюиз руководителей ключевых госструктур и ведомств — меджлиса (парламента), КСИР, Министерства разведки, Министерства науки, исследований и технологий, Министерства культуры, Министерства связи и информации, полиции, судебной системы, государственных телерадиокоммуникационных компаний, научных организаций. Известно также о создании в структуре Верховного совета по киберпространству Центра национальной кибербезопасности Ирана, который в настоящее время возглавляет Саид Махдиюн. 

В структуре Министерства связи и информационных технологий Ирана в 2008 г. был создан Центр информационной безопасности MAHER (MAHER Information Security Center), отвечающий за реагирование на чрезвычайные ситуации в киберпространстве. 

В 2012 г. на базе MAHER была организована национальная группа реагирования на чрезвычайные ситуации в киберпространстве Iranian National Computer Emergency Response Team — IrCERT/MAHER. В тесной координации с ней работают специализированные центры крупнейших профильных технических вузов — Исфаханского технологического университета, Технологического университета имени Амира Кабира, Ширазского университета, Технологического университета имени Шарифа. Сообщалось, что с целью обеспечения информационной безопасности данных пользователей крупнейшим иранским оператором мобильного доступа к интернету компанией Mobile Telecommunications Company of Iran (MCI) в январе 2018 г. также была создана группа реагирования на чрезвычайные ситуации MCI CERT. 

В числе крупнейших базовых организаций по исследованию проблем кибербезопасности и профессиональной подготовки специалистов также упоминаются Центр информационных технологий и кибербезопасности приТегеранском университете, Исследовательский институт по киберпространствупри Университете имени Шахида Бехешти (Shahid Beheshti University), Центр перспективных информационных и телекоммуникационных технологий и Институт перспективных коммуникационных исследований, созданные при Технологическом университете имени Шарифа. 

Несмотря на организацию в национальном масштабе иерархически выстроенной вертикали управления информационной и кибербезопасностью, ключевые компетенции, ресурсы и потенциал (особенно в части проведения киберопераций) в данной сфере по-прежнему сосредоточенны в структуре Корпуса стражей исламской революции. 

Как упоминалось ранее, создание специальных сил кибербезопасности в структуре разведслужбы КСИР относится к 2008–2009 гг., причем решение о создании специальных сил кибербезопасности в структуре КСИР инициировалось на уровне Верховного совета по национальной безопасности. Как сообщалось иранскими оппозиционными движениями, непосредственное управление в структуре КСИР вопросами кибербезопасности и киберопераций ведется Командованием по кибербезопасности. Известно также о наличии в составе КСИР специальной структуры по радиоэлектронной борьбе и кибербезопасности — IRGC JANGAL Organization (Islamic Revolutionary Guard Corps Electronic Warfare and Cyber Defense Organization). 

По информации, фигурировавшей в западных источниках, численность подразделений кибербезопасности КСИР на момент их организационного формирования составляла порядка 2400 специалистов, а годовой бюджет оценивался в 76 млн долл. 

В 2010 г. в структуре подчиненного КСИР военизированного ополчения Basij также была создана собственная координирующая структура — Совет по кибербезопасности. Он был ориентирован на обеспечение информационной безопасности, проведение мониторинга и осуществление киберопераций. Зарубежными обозревателями указывалось, что непосредственное обеспечение мероприятий по информационной безопасности и проведение киберопераций, входившее в сферу ответственности Basij, осуществлялось Департаментом технологий и информации Basij. Как сообщалось, созданный в 2011 г. Совет по кибербезопасности также занимается подготовкой и вербовкой хакеров, привлекаемых для проведения кибер-операций в интересах КСИР и спецслужб. 

Как обозначалось иранскими оппозиционными источниками, в структуре Министерства разведки Ирана вопросы обеспечения кибербезопасности и проведения операций по кибершпионажу находятся в ведении Департамента технологий. По данным зарубежных источников и иранской оппозиции, помимо КСИР и Министерства разведки Ирана собственная структура по кибербезопасности также имеется и в «Организации электронной промышленности Ирана» — группа Communications and Intelligence Innovation Group. 

В январе 2011 г. специальное подразделение по борьбе с киберпреступностью – киберполиция (Iranian Cyber Police / FATA) — было создано в структуре иранских сил обеспечения правопорядка. В начале 2016 г. командующим силами правопорядка Ирана генерал-лейтенантом Хусейном Аштари было заявлено о создании киберполицией FATA специального центра реагирования на киберпреступления — Online Cybercrime Emergency Center. Позднее сообщалось о создании Центра реагирования на чрезвычайные ситуации в киберпространстве, в функции которого входит отражение кибератак. Помимо официально декларируемых функций борьбы с киберпреступностью, противодействия интернет-мошенничеству и кражам данных пользователей, FATA в том числе ориентирована на мониторинг социальных сетей, интернет-трафика и контента пользователей, а также проводит кибероперации и кибершпионаж против оппозиционных партий и диссидентов. 

В начале 2018 г. иранскими СМИ сообщалось, что в целях правового и законодательного обеспечения национальной политики в области кибербезопасности специальный комитет по киберпространству планировалось создать в структуре парламентской комиссии по национальной безопасности и внешней политике. 

Национальная инфраструктура кибербезопасности Ирана: компетенции и потенциал

Информационные сети и инфраструктура профильных иранских госструктур, специализированных организаций и информационных центров составляют базис обеспечения национальной информационной безопасности от внешних вторжений. Координирующие функции в вопросах мониторинга и управления мероприятиями по обеспечению информационной безопасности и киберзащиты выполняют головные структуры в виде Центра национальной кибербезопасности Ирана (Iranian National Cyberspace Center), Верховного совета по киберпространству, Командования кибербезопасности (Cyber Defense Command) и штаб-квартиры кибербезопасности (Сyber Defence Headquarters). Все они входят в «Организацию пассивной гражданской обороны» (Passive Civil Defense Organization). 

Непосредственное функциональное обеспечение информационной безопасности и киберзащиты осуществляется Национальной группой реагирования на чрезвычайные ситуации в киберпространстве IrCERT/MAHER и входящими в ее структуру специализированными центрами крупнейших профильных технических вузов. В число последних входят Исфаханский технологический университет (Isfahan University of Technology CERT), Технологический университет имени Амир-Кабира (Amirkabir University of Technology CERT), Ширазский университет (Shiraz University CERT), Технологический университет имени Шарифа (Sharif University CERT). Также вопросами кибербезопаности занимается входящая в состав IrCERT/MAHER группа реагирования на чрезвычайные ситуации MCI CERT. В части обеспечения борьбы с киберпреступностью и противодействия интернет-мошенничеству также задействована инфраструктура киберполиции FATA, в т. ч. ее специальные структуры — Центр реагирования на киберпреступления(Online Cybercrime Emergency Center) и Центр реагирования на чрезвычайные ситуации в киберпространстве (Cyber Attacks Emergency Center), в функции которого входит отражение кибератак. 

Компетенции в сегменте проведения киберопераций (акций пропагандистского характера и операций по блокированию веб-ресурсов, кибершпионажу в отношении внутренних и внешних объектов) сосредоточены в структуре Корпуса стражей исламской революции, подчиненной ей организации военизированного ополчения Basij и Министерства разведки Ирана. Для мониторинга социальных сетей, интернет-трафика и контента пользователей, а также проведения киберопераций и кибершпионажа против оппозиционных партий и диссидентов также используется аппарат и сетевая инфраструктура киберполиции FATA. 

Как упоминалось ранее, непосредственное управление вопросами кибербезопасности и киберопераций в структуре КСИР ведется командованиемпо кибербезопасности (IRGC Cyberspace Command), а также специальной структурой по радиоэлектронной борьбе и кибербезопасности — IRGC JANGAL Organization (Islamic Revolutionary Guard Corps Electronic Warfare and Cyber Defense Organization/IRGC JANGAL Organization). В структуре подчиненного КСИР военизированного ополчения Basij функции управления и инфраструктурного обеспечения мероприятий по информационной безопасности, проведению мониторинга и осуществлению киберопераций находится в ведении Совета по кибербезопасности (Basij Cyber Council). Непосредственное проведение киберопераций, входящее в сферу ответственности Basij, осуществлялось 

Департаментом технологий и информации данной организации (Basij Technology and Information Department), который, как сообщалось, был создан в 2011 г. 

Согласно данным, приводившимся иранскими оппозиционным движением«Национальный совет сопротивления Ирана» (National Council of Resistance of Iran) и западными источниками, крупнейшим инфраструктурным объектом КСИР по обеспечению кибербезопасности и проведения киберопераций является база Ammar Cyber Base (Ammar Cyberspace base), также обозначаемая как Ammar Cyber Headquarters. Ее командующий — Мехди Таеб, заместитель – Алиреза Панахиан. Западными исследователями также сообщалось о наличии батальона киберопераций Cyberspace Cultural Operations Battalions в составе расквартированного в Тегеране из состава КСИР корпуса Muhammad-Rasul-Allah Corps (MRAC). Он ориентирован на проведение мониторинга и контроля за медиа- и интернет-ресурсами в Тегеране. 

Западными исследователями указывалось, что большая часть иранской IT-инфраструктуры, используемой для проведения пропагандистских акций в интернете и киберопераций, поддерживается специалистами ополчения Basij. Частью этой инфраструктуры являются и веб-сайты региональных командований КСИР (всего 31 региональное командование, в каждой из провинций Ирана) с доменными адресами www.province.basij.ir. 

Также отмечается, что для кибератак иранские хакеры используют IT-инфраструктуры иранских технических вузов, имеющих свои центры по информационной безопасности. В частности, западные источники на основании мониторинга идентифицированных при проведении кибератак IP-адресов на территории Ирана и использовавшихся доменов, указывали на проведение кибератак с IP-адресов связанных с Технологическим университетом имени Шарифа (Sharif University), Mabna Institut, а также Университета имени имама Хусейна (Imam Hossein University – IHU). Примечательно, что первые два из них внесены США в санкционные списки иранских организаций, причастных к хакерским атакам. К примеру, Министерством юстиции США в марте 2018 г. указывалось на причастность афиллированного с КСИР института Mabna Institute к массовым кибервторжениям в компьютерные системы и кражам баз данных. Объектами атаки стали примерно 144 американских университетов и не менее чем 176-ти университетов из 21-й страны мира, а также 47 американских и иностранных компаний. В результате операций из баз данных было украдено более 31 Тбайт информации, а финансовый ущерб оценивался в 3,4 млрд долл. 

Западные источники также отмечали, что иранскими кибергруппами при проведении хакерских атак активно использовались веб-ресурсы, размещавшиеся за рубежом. В частности, часть интернет-инфраструктуры и сайтов группы Ashiyane Digital Security Team базировалась на хостинге американских и германских провайдеров. Группой CopyKittens фишинговые рассылки проводились с IP-адресов, зарегистрированных в США, Канаде, Израиле Франции, Нидерландах и России. ФБР США в июле 2017 г. были опубликованы данные о сети серверной инфраструктуры на территории США, включавшей 87 IP-адресов и 136 специально зарегистрированных доменов, использовавшихся иранскими хакерскими группами для атак на компьютерные сети государственных учреждений и коммерческих компаний в США, Европе и на Ближнем Востоке. Доменные адреса использовались для фишинговых рассылок по электронной почте и атак типа «watering hole». 

Помимо развития инфраструктурного обеспечения информационных сетей и ресурсов, серьезные и целенаправленные усилия прилагаются Ираном в части обеспечения самостоятельности в разработке программного обеспечения, в том числе антивирусных программ. Министерством связи и информационных технологий Ирана после серии кибератак на иранские инфраструктурные объекты в 2010–2012 гг. был введен запрет на приобретение антивирусного программного обеспечения зарубежной разработки и инициирована разработка национальных программных продуктов. К примеру, по оценкам зарубежных специалистов, долгое время основным инструментом для мониторинга и фильтрации интернет-контента для иранских спецслужб было специализированное ПО SmartFilter, разработанное американской компанией Secure Computing Corporation. При этом сама компания отрицала какие-либо поставки и указывала на использование Ираном нелицензионных копий. Примерно с 2006 г. отмечалось использование модифицированной иранскими специалистами версии ПО SmartFilter: она была оптимизирована для фильтрации сайтов на персидском языке и англоязычных сайтов. Позднее сообщалось о самостоятельной разработке Ираном аппаратных комплексов и программного обеспечения для мониторинга и фильтрации интернет-контента. В апреле 2011 г. иранскими СМИ сообщалось, что иранская компания Amnafzar Ltd. Разработала интернет-фильтр Separ с функцией программного изменения режимов. В январе 2013 г. иранская полиция анонсироваларазработку «интеллектуального программного обеспечения», обеспечивающего мониторинг и контроль за доступом пользователей к контенту интернет-сайтов и социальным сетям. 

Западными источниками сообщалось, что в 2016 г. Министерство связи и информационных технологий ассигновало 1 трлн риалов (33 млн долл.) на создание системы по мониторингу и фильтрации интернет-контента. При этом отмечалось, что повышению эффективности контроля за интернет-трафиком способствует сама специфика доступа к сети, предоставляемая интернет-провайдерами через инфраструктуру контролируемой государством, крупнейшей иранской телекоммуникационной компании Telecommunication Company of Iran (TCI). 

Как сообщалось национальными СМИ, к созданию собственного антивирусного ПО, в т. ч. для обеспечения кибербезопасности инфраструктурных объектов, Иран приступил в 2010 г. Разработки велись группой реагирования на чрезвычайные ситуации при Ширазском университете. В феврале 2012 г. Иран принял радикальное решение и полностью запретил приобретать зарубежное антивирусное ПО. Целью данной меры была независимость от зарубежного ПО в сфере обеспечения кибербезопасности и исключение возможности получения несанкционированного доступа к национальным информационным системам с его помощью. При этом Иран периодически заявляет об оригинальных разработках специальных программных продуктов для защиты информационных сетей и серверов. В частности, отмечалось, что еще в 2009 г. хакерским сообществом Ashiyane был разработан межсетевой экран (файервол) Apadana в качестве альтернативы используемым брандмауэрам разработки зарубежных компаний. В ноябре–декабре 2011 г. директор Организации пассивной обороны Голам Реза Джалали сообщил иранским СМИ о разработке антивирусной программы для очистки систем, пораженных вирусом Duqu. В мае 2012 г. Национальной группой реагирования на чрезвычайные ситуации в киберпространстве Iranian National Computer Emergency Response Team (IrCERT/MAHER) было заявлено о разработке антивирусного программного обеспечения, специально оптимизированного для выявления и нейтрализации вредоносного вируса Flame в компьютерных сетях. 

В декабре 2013 г. министром обороны Ирана Хосейном Дехганом были представлены 12 новых программных продуктов, разработанных для кибербезопасности, в частности антивирусное программное обеспечение Padvish, разработанное компанией Amnpardaz Co. В мае 2017 г. иранскими источниками сообщалось, что разработанная в 2016 г. обновленная версия ПО Padvish показала высокую эффективность в выявлении и нейтрализации программы-кибервымогателя WannaCry, жертвами которой в тот период стали сотни тысяч пользователей в более чем 100 странах мира. 

Несмотря на демонстрацию поступательного развития компетенций Ирана в сегменте программных средств обеспечения информационной безопасности, зарубежные исследователи указывают на отставание Ирана в части оснащенности техническими (аппаратными) средствами обеспечения контроля за информационными сетями и киберинфраструктурой. Это подтверждалось сохраняющейся зависимостью Ирана от зарубежных закупок аппаратно-программных средств. 

Стоит также отметить, что ввиду действовавшего в последние годы режима международных санкций и отдельных санкционных ограничений со стороны США и западноевропейских государств, практически единственным зарубежным поставщиком телекоммуникационных программно-аппаратных средств в Иран стал Китай. В частности, сообщалось о закупке в 2010 г. телекоммуникационной компанией Ирана Telecommunications Company of Iran (TCI) у китайской компании ZTE Corporation интегрированной системы мониторинга ZXMT. Посредством прослушивания голосовой связи, перехвата текстовых сообщений, а также мониторинга веб-трафика и контента данная система обеспечивает мониторинг информации, передаваемой по компьютерным сетям, а также линиям стационарной и сотовой связи. Стоимость закупки составила 98,6 млн евро/130,6 млн долл. При этом большая часть номенклатуры оборудования и программного обеспечения была произведена американскими компаниями Hewlett Packard, Symantec, Microsoft, Dell и Cisco. Номенклатура поставок включала серверы Hewlett Packard ProLiant DL380 G7, принтеры HP LaserJet P2055dn, дисковые системы хранения данных HP 2000sa G2 Modular Smart Array, серверные контроллеры HP SC08Ge Host Bus Adapter, антивирусные программные комплексы для серверов и рабочих станций Symantec Endpoint Protection, системы управления базами данных Microsoft SQL Server 2005, серверные операционные системы Microsoft Windows Server 2003, операционные системы для ПК Microsoft Windows 7 Professional, широкоэкранные плоскопанельные дисплеи производства компании Dell, рабочие станции Dell T3500, системы управления базами данных Oracle 10g Enterprise Edition и Oracle 9i Enterprise Edition 9.2 для ОС Linux, многоуровневые матричные коммутаторы Cisco MDS 9124. 

В июне 2011 г. Telecommunication Company of Iran (TCI) заключила еще один контракт с ZTE Corporation на закупку телекоммуникационного оборудования и программного обеспечения стоимостью 8 млн евро (10,5 млн долл.), включавшем порядка 20 номенклатурных позиций разработки и производства американских компаний, запрещенных США к экспорту в Иран (в частности, серверов производства IBM, коммутаторов производства Cisco Systems Inc и Brocade Communications Systems Inc., программного обеспечения для управления базами данных Oracle и EMC Corp, антивирусного ПО Symantec Corporation, файерволов Juniper Networks). Отмечалось, что большую часть контракта составляли серверы (30 единиц) и вспомогательное оборудование производства IBM на сумму более 6,8 млн евро (8,9 млн долл). 

После преодоления последствий серии кибератак на объекты иранской ядерной инфраструктуры в 2010–2012 гг. Ираном декларировался поступательный рост потенциала и возможностей противодействия внешним киберугрозам. В части роста потенциала кибербезопасности иранскими официальными СМИ отмечалось, что, несмотря на продолжающиеся многочисленные попытки кибератак на иранские информационные ресурсы из-за рубежа, Ирану удается успешно им противостоять. 

Уже в декабре 2012 г. заместитель командующего сил правопорядка Ирана Ахмад Реза Радан заявил, что Иран входит в число стран, наиболее успешно противодействующих киберугрозам: он выявляет до 60% кибератак, тогда как в других странах этот показатель не превышает 21­–25%. В конце 2014 г. иранские официальные источники, цитировавшиеся иранской телекомпанией PressTV, отмечали, что на протяжении года иранскими службами кибербезопасности ежедневно отражалось более 1000 кибератак на национальные IT-ресурсы. В 2015 г. иранские источники сообщали, что ежедневно киберполицией FATA и прочими службами по обеспечению кибербезопасности выявляется до 10000 кибератак на иранские IT-ресурсы. При этом указывалось, что большая часть из них успешно нейтрализуется. Можно отметить, что столь позитивные оценки косвенно подтверждалось практическим отсутствием каких-либо крупных успешных случаев проникновения зарубежных акторов на объекты иранской киберинфраструктуры в тот период. 

По данным, приводившимся начальником киберполиции FATA бригадным генералом Сейедом Хадианфаром, за 2017 г. (период март 2017г. – март 2018 г.)было выявлено 7525 кибератак (в т. ч. 296 крупных) на инфраструктурные объекты Ирана. В их числе были атаки на информационные сети госучреждений, банков и финансовых организаций, телекоммуникационной инфраструктуры, объектов жизнеобеспечения. При этом было отмечено, что практически все кибератаки были пресечены и не нанесли заметного ущерба

Развитие компетенций в сегменте средств радиоэлектронного подавления и противодействия

Важное значение Иран придает развитию компетенций и потенциала в смежных со сферой кибербезопасности сегментах разработки и оснащения вооруженных сил и спецслужб системами связи и управления, обеспечивающих устойчивость к средствам радиоэлектронного противодействия, а также созданию собственных систем радиоэлектронного и радиотехнического противодействия (РЭБ). В частности, иранскими специалистами достигнуты значимые результаты в области разработки средств радиоэлектронного противодействия системам спутниковой связи и навигации. 

Свидетельством этому являются вызвавшие широкий резонанс у специалистов инциденты с поражением иранскими военными лазерным излучением оптических систем разведывательного спутника ЦРУ, проходившего над иранской территорией в декабре 2011 г. Также в данном контексте примечательны факты дистанционного перехвата управления американских БПЛА RQ-170 Sentinel (в декабре 2011 г. вблизи ирано-афганской границы) и ScanEagle (в декабре 2012 г.). Это стало доказательством наличия у Ирана технических средств обнаружения и бесконтактного противодействия беспилотным летательным аппаратам и низкоорбитальным спутникам. Согласно иранским источникам, перехват был осуществлен посредством блокирования управления БПЛА наземными операторами и искажения координатных сигналов системы геопозиционирования GPS. 

По версии западных СМИ, перехват управления БПЛА RQ-170 Sentinel мог быть осуществлен с применением российского наземного комплекса исполнительной радиотехнической разведки 1Л222 «Автобаза». При этом Ираном сообщалось о разработке собственного комплекса радиотехнической разведки Alim, имеющего дальностьобнаружения радиоизлучающих целей до 250–300 км. Западными источниками указывается также на вероятную возможность перехвата либо нарушения Ираном управления системой регулирования судоходства в Персидском Заливе и Ормузском проливе посредством искажения сигналов системы глобального позиционирования (GPS). В 2012 г. сообщалось об отработке подразделением кибербезопасности иранских ВМС (Naval Cyber Defense Group) в ходе учений Velayat 91 сценария отражения кибератаки условного противника против компьютерной сети иранских ВМС с целью проникновения и взлома информации или внедрения вирусов. 

Система подготовка специалистов по кибербезопасности

Иран предпринимает систематические и направленные усилия по формированию профессионального сообщества в области информационной и кибербезопасности. В специализированном формате подготовкой специалистов по кибероперациям, а также вербовкой хакеров занимается Совет по кибербезопасности военизированного ополчения Basij (Basij Cyber Council). Западными исследователями отмечалось, что в структуре ополчения Basij организованы специальные курсы и было открыто несколько тысяч специальных блогов для практического освоения навыков. 

В 2010 г. бригадный генерал КСИР Хоссейн Хамедани указывал, что Basij Cyber Council подготовил более 1500 «киберджихадистов». Позднее,в иранских СМИ, со ссылкой на высокопоставленных чиновников командования КСИР и военизированного ополчения Basij,упоминалось, что подготовку по профилю ведения интернет-блогов и проведения пропагандистских мероприятий на интернет-ресурсах прошло до 15000 членов организации, из числа которых порядка 2000 специалистов получили подготовку в области проведения киберопераций. 

В конце 2016 г. иранскими и ближневосточными СМИ приводилось заявление командующего учебным подразделением Basij Али Сабир Хамани о формировании в структуре ополчения «кибербригад» из числа студентов профильных иранских вузов и колледжей для их содействия в обеспечении национальной кибербезопасности. Подготовка специалистов проходит на базе так называемого виртуального ресурса «Virtual Cyber Committee» со специализацией по работе в социальных сетях и медиапространстве. Как сообщалось, в 2016 г. учебные программы прошли около 200 студентов. 

По данным, приводившимся в западных источниках, на специальных курсах в структуре ополчения Basij прошли обучение десятки тысяч членов организации, а всего, в случае необходимости, может быть мобилизовано порядка 120000 хакеров-добровольцев. При этом указывалось, что, несмотря на вероятное преувеличение, с учетом количества штатных специалистов по кибероперациям и информационной безопасности в иранских ведомствах и IT-компаниях, а также студентов вузов и колледжей, обучающихся по данному профилю и смежным специальностям, Basij может в той или форме привлекать для своих нужд сопоставимое количество исполнителей. В частности, иранскими СМИ в 2011 г. отмечалось, что иранскими вузами по IT-специальностям выпущено порядка 2 млн специалистов. 

При этом западными исследователями указывалось на низкий профессиональный уровень киберспециалистов военизированного ополчения Basij, которые, как и привлекаемые организацией сторонние специалисты, преимущественно используются для проведения акций, не требующих сложной организации и инструментария. Например, их силы часто бывают задействованы в мониторинге интернет-трафика и контента веб-ресурсов и социальных сетей, проведении пропагандистских акций в интернете, а также кибероперациях, не требующих масштабной координации и подготовки. Зарубежными источниками также отмечалось, что порядка 8000 специалистов по IT-технологиям из числа членов военизированного ополчения Basij привлекалось к реализации проекта создания национального интернета. 

Согласно приводившемуся в 2015 г. на специализированных сайтах по кибербезопасности комментарию эмигрировавшего в США иранского журналиста и оппозиционного активиста Мохсена Сазегары, рекрутируемым КСИР хакерам выплачивалась заработная плата в размере порядка 10000 долл. Это примерно в двадцать раз превышало среднюю заработную плату в Иране. По информации, озвученной в 2011 г. заместителем командующего Basij Али Фазли, к исполнению акций по кибербезопасности и обеспечению пропагандистских кампаний в интернете в том числе привлекаются преподаватели и студенты профильных вузов. По словам Али Фазли, оплатаисполнителям за одну публикацию в соцсетях составляла 60 долл., а за создание блога выплачивалось около 1000 долл. 

Иран создал развитую и эффективную систему подготовки специалистов по информационным технологиям и кибербезопасности из числа студентов иранских профильных вузов и колледжей, которые уже в период обучения проходят стажировку в специализированных центрах госструктур, а также привлекаются к прохождению стажировок в кибергруппах. Упоминалось высказываниевысшего руководителя Ирана аятоллы Али Хаменеи, который назвал иранских студентов, обучающихся по профилю информационной безопасности, «агентами кибервойны», которые должны готовиться «всем сердцем» к противоборству с врагами Ирана в киберсфере. 

Подготовка специалистов по информационным технологиям и кибербезопасности ведется ведущими иранскими техническими вузами. Например, Технологический университет имени Шарифа (Sharif University of Technology) обучает по специальностям инженер-электронщик и компьютерный инжиниринг. В Технологическом университете имени Амира Кабира (AmirKabir University of Technology) есть факультеты математики, компьютерной техники, компьютерного инжиниринга и информационных технологий. Аналогичные направлена есть также в Исфаханском технологическийом университете (Isfahan University of Technology), Ширазском университете (Shiraz University), Университет имени имама Хусейна (Imam Hossein University). При ведущих профильных вузах также имеются специализированные центры реагирования на чрезвычайные ситуации в киберпространстве, входящие в национальную группу реагирования на чрезвычайные ситуации в киберпространстве Iranian National Computer Emergency Response Team – IrCERT/MAHER. В этих центрах проходят стажировку будущие специалисты. Иранскими вузами по специальности «Кибербезопасность» реализуются магистерские и аспирантские программы подготовки, одобренные Министерством науки Ирана. Университет имени имама Хусейна (Imam Hossein University – IHU), является одним из ведущих и базовых центров подготовки специалистов по кибербезопасности (в т. ч. для военизированного ополчения Basij) и проведению соответствующих исследований. В структуре университета функционирует подразделение по радиоэлектронной борьбе и кибербезопасности (Electronic Warfare and Cyber Defense (EWCD) department). Также Университет имени имама Хусейна является организатором регулярно проводимой с 2013 г. национальной конференции по кибербезопасности (National Conference on Cyber Defense). 

В числе крупнейших базовых организаций по исследованию проблем кибербезопасности и профессиональной подготовке специалистов также упоминаются Центр информационных технологий и кибербезопасности (Center for Information Technology and Cyberspace – CITC) при Тегеранском университете (University of Tehran), Исследовательский интитут по киберпространству(Cyberspace Research Institute) при Университете имени Шахида Бехешти (Shahid Beheshti University), Центр перспективных информационных и телекоммуникационных технологий (Advanced Information and Communication Technology Center) и Институт перспективных коммуникационных исследований (Advanced Communication Research Institute) при Технологическом университете имени Шарифа(Sharif University of Technology). 

Для отбора талантливых специалистов среди студентов и аспирантов регулярно проводятся различные программы по примеру профессиональных турниров типа Capture the Flag. В частности, в ходе проводившихся в августе 2017 г. компанией Iran Cyber Security Company соревнований Capture the Flag, участники состязались по таким тематическим направлениям, как проведение взлома информационной сети, криптография, эксплойтинг (Exploiting/PWN, выявление и использование уязвимостей), киберкриминалистика и решение комплексных задач. Как отмечали организаторы, награда за первое место составляла 10 млн риалов (около 300 млн долл.) или их эквивалент в биткоинах, за второе и третье места – соответственно 7,5 и 3,5 млн риалов.

Бюджетное обеспечение национальной системы кибербезопасности

По информации иранских и зарубежных источников, среднегодовой объем ассигнований из госбюджета на кибербезопасность до настоящего времени не превышал 10–20 млн долл. К примеру, в 2013/2014 бюджетном году (1393 год по иранскому календарю, начинается 21 марта) ассигнования на обеспечение национальной кибербезопасности составили 42 073 млн риалов/3,43 млн долл., в 2014/2015 (1394) – 178 800 млн риалов/7,12 млн долл., в 2015/2016 (1395) — 550 000 млн риалов/19,65 млн долл., в 2016/2017 (1396) – ок. 570 000 млн риалов/18,9 млн долл. Ранее, в декабре 2011 г., Ираном анонсировался претенциозный план перспективного ассигнования в размере 1 млрд долл. на развитие национальной системы кибербезопасности, однако отсутствует информация об их предполагаемом распределении в календарном периоде. 

При этом, как и в оборонный бюджет, в бюджетные ассигнования не входят расходы Корпуса стражей исламской революции, в фактическом ведении которого находится проведение киберопераций. В силу определенной специфики практически отсутствует официальная информация о величине данной категории расходов КСИР, но по сведениям, фигурировавшим в зарубежных источниках, годовой бюджет подразделений кибербезопасности КСИР в период их формирования (2008 г.) оценивался в 76 млн долл. 

Для сравнения: совокупный объем бюджетных ассигнований на цели кибербезопасности Ирана в сотни раз меньше бюджетных ассигнований на аналогичные цели у США и на порядок меньше инвестиций в кибербезопасность американских корпораций и банков. К примеру, в 2013 финансовом году бюджет Агентства национальной безопасности США на проведение киберопераций составил 1 млрд долл., а ЦРУ — 685,4 млн долл. На нужды головной структуры обеспечения национальной кибербезопасности — Киберкомандования США (United States Cyber Command) — в 2013 г. предусматривалось выделение 3,94 млрд долл., на 2014 г. — 4,65 млрд долл. При этом, несмотря на колоссальный разрыв между суммами финансирования сил кибербезопасности США и Ирана, нет прямой корреляции между выделяемым бюджетом и эффективностью проводимых киберопераций.

Международное сотрудничество и связи с зарубежными акторами

Существуют версии о том, что Иран получает зарубежную помощь и технологии для проведения кибератак, со стороны КитаяРоссии и КНДР. Это утверждают США, однако большинством зарубежных независимых исследователей эта версия не поддерживаются. В качестве подтверждения независимыми экспертами отмечалось отсутствие каких-либо существенных фактологических и документальных подтверждений, а также указывалось на то, что уровень организации приписываемых Ирану кибератак в отношении иностранных объектов сопоставим с уровнем квалификации хакерских групп, действующих в самом Иране. 

Вместе с тем Иран официально выступает одним из активных сторонников создания международных и региональных органов для борьбы с кибертерроризмом и интернет-мошеничеством. С инициативными предложениями по межгосударственному координированию вопросов борьбы с киберпреступностью и кибертерроризмом, в частности по вопросу принятия всеобъемлющего международного документа по киберпреступности, Иран неоднократно выступал в ООН. Также Иран является одним из инициаторов создания интерактивной системы безопасности для оперативного расследования киберпреступности и кибертерроризма в рамках Шанхайской организации сотрудничества (ШОС). 

Киберполицией Ирана (FATA) в сфере борьбы с киберпреступностью установлены рабочие контакты с примерно 100 государствами мира, а также обеспечивается участие иранских представителей в работе Конференции по киберпреступности (Europol-Interpol Cybercrime Conference) и Недели кибербезопасности (Cyber Security Week), ежегодно проводимых по линии европейского отделения ИНТЕРПОЛа. Также FATA участвует в проводимой под эгидой ИНТЕРПОЛа международной операции «Operation Pangea» по противодействию незаконной интернет-продаже фальсифицированных медикаментов и лекарственных средств. 

У Ирана установлено тесное сотрудничество в сфере кибербезопасности с Китаем. Базисом для этого является общий уровень двусторонних внешнеэкономических связей, в т. ч. в сегменте телекоммуникационных технологий. Как сообщалось иранскими СМИ, китайскими и иранскими чиновниками в ходе официальных встреч неоднократно подчеркивалась необходимость развития двустороннего сотрудничества в сфере информационной безопасности, в т. ч. для противодействия «доминированию в глобальном киберпространстве ограниченного числа государств». 

В условиях режима международных санкций, Китай, несмотря на давление США, также был для Ирана практически единственным поставщиком телекоммуникационного оборудования, которое могло использоваться в целях обеспечения информационной безопасности, мониторинга интернет-трафика и контента, а также сетей стационарной и сотовой связи. В частности, по ранее упоминавшимся контрактам китайской компании ZTE Corporation 2010 и 2011 годов на поставку телекоммуникационной компании Ирана Telecommunications Company of Iran (TCI) оборудования для мониторинга информационных и телекоммуникационных сетей, перехвата веб-трафика и контента, по факту наличия в которых номенклатурных позиций запрещенных США к экспорту в Иран видов аппаратного оборудования и программного обеспечения разработки и производства американских компаний, ZTE Corporation в 2017 г. была обвинена в нарушении положений экспортного контроля США и выплатила компенсационный штраф в сумме 892 млн долл. 

Сотрудничество в сфере информационной безопасности на межгосударственном уровне ведется и с Россией. Министром связи и информационных технологий Ирана Махмудом Ваези в ходе официального визита в Россию в марте 2017 г. указывалось на взаимную заинтересованность сторон в развитии сотрудничества в сфере информационных технологий и кибербезопасности как одной из составляющих обширных политических и экономических связей. Министр связи и массовых коммуникаций России Николай Никифоров также заявил о заинтересованности в сотрудничестве с Ираном в сфере информационной безопасности, электронной коммерции и информационных технологий и создания программного обеспечения. 

Американскими источниками неоднократно выдвигались версии и обвинения в поддержке Россией (наряду с Китаем и КНДР) иранских кибергрупп, при этом даже в них признается, что по большинству эпизодов отсутствуют фактические подтверждения. В то же время независимые западные исследователи неоднократно отмечали, что наблюдаемый формат и уровень сотрудничества России с Ираном в вопросах обеспечения кибербезопасности не дает поводов для подобных подозрений и обвинений. Причем это справедливо как в отношении контактов на государственном уровне, так и в отношении взаимодействия по линии IrCERT/MAHER — «Лаборатория Касперского» (последняя оказывала техническое содействие Ирану в выработке мер противодействия кибератакам). 

Также и по периодически появляющимся в американских СМИ материалах, в которых авторами обосновывается вероятность наличия тесной координации Ирана и КНДР в части проведения кибератак, пока что отсутствуют фактологически подтверждаемые доказательства. Израильская компания Intezer Labs Inc., к примеру, в качестве подтверждения наличия потенциальных связей иранских и северокорейских хакерских групп, указывала на сходства в кодах программ WannaCry (сетевой червь/программа-вымогатель криптовалют) и Joanap (троян), использовавшихся, как считается, северокорейскими хакерами, с кодом иранской вредоносной программы Magic Hound. Также американская компания по кибербезопасности Cylance Inc. сообщала о том, что в 2013–2014 гг. зафиксировала факт мониторинга объектов критической инфраструктуры Южной Кореи иранскими хакерскими группами, причастными к проведению операции Cleaver. Это было расценено как свидетельство взаимодействия и обмена информацией между кибергруппами КНДР и Ирана. При этом широкий резонанс в США и других западных странах вызвало подписание Ираном и КНДР в 2012 г. обширного соглашения о научно-техническом сотрудничестве, которое, как указывалось, предусматривало объединение усилий двух стран в борьбе с «общим врагом в цифровом пространстве». 

Зарубежными исследователями отмечается активное использование Ираном потенциала хакерских групп союзных исламских группировок на Ближнем Востоке типа движения «Хезболла» (Hezbollah) и ливанских шиитских группировок, которым предоставляется необходимый инструментарий и программное обеспечение. Указывалось, что потенциал таких группировок используется для проведения второстепенных киберопераций, не требующих сложной организации и координации. Ирану это полезно тем, что позволяет дезавуировать причастность иранских спецслужб. 

Западными источниками сообщалось о проведении Ираном кибератак на веб-ресурсы сирийской оппозиции и диссидентов, а также о вероятной поддержке аналогичных киберопераций, проводившихся Сирией и движением «Хезболла» (Hezbollah). В частности, в ноябре 2017 г. сообщалось об операции, проведенной иранской хакерской группой OilRig, целью которой было блокирование веб-ресурсов ливанских политиков в качестве информационной поддержки движения «Хезболла» при подготовке выборов в Ливане. Также приводились отдельные свидетельства о предоставлении Ираном специального оборудования для проведения киберопераций Сирии, хотя указывалось на отсутствие сколь-нибудь значимой зависимости Сирии от иранской помощи по данной категории целей. Это объяснялось наличием довольно жизнеспособной системы кибербезопасности, созданной Дамаском. Она доказала свою эффективность в проведении киберопераций против оппозиционных движений и диссидентов. Достаточно высокая оценка давалась и компетенциям ливанского шиитского движения «Хезболла» в проведении локальных киберопераций. 

Западными и израильскими источниками указывается и на возможную причастность иранских хакерских групп к информационной поддержке шиитских группировок в Йемене. По даннымизраильской компании по кибербезопасности ClearSky, из числа идентифицированных в 2015 г. киберопераций по получению доступа к аккаунтам пользователей, проведенных группой Rocket Kitten, не менее 11 процентов было связано с Йеменом. Это воспринималось как информационное обеспечение иранского участия в йеменской гражданской войне. В частности, указывалось на операции блокирования веб-ресурсов оппонентов поддерживаемой Ираном этнической группы хаттисов, являющихся шиитами. В ряде западных специализированных источников отмечаласьвозможная причастность Ирана к кибератакам на Саудовскую Аравию, осуществленным йеменской группой Yemen Cyber Army. В ходе этих атак был получен доступ к секретным документам Министерства иностранных дел Саудовской Аравии, впоследствии опубликованным WikiLeaks. 

Развитие сектора IT-коммуникаций и национального Интернета в Иране

Иран одним из первых государств на Ближнем Востоке подключился к всемирной сети интернет — в январе 1992 г. К началу 2000-х гг. доступ иранского населения к интернету приобрел массовый характер. Это произошло в результате роста как мест коллективного доступа (интернет-кафе), так и числа индивидуальных пользователей. Зарубежными источниками указывалось, что иранские власти поощряли развитие интернета и способствовали появлению частных интернет-провайдеров, делая ставку на использование интернета в качестве мощного и современного средства распространения происламской и проправительственной идеологии. По различным данным, по состоянию на 2008 г. только в Тегеране функционировало порядка 1500 интернет-кафе. 

В Иране монополией на инфраструктуру сетей фиксированной связи и доступа к интернету обладает крупнейшая телекоммуникационная компания Telecommunication Company of Iran (TCI), также являющаяся крупнейшим оператором сотовой связи. Ранее TCI контролировалась государством, а в 2009 г. акции Telecommunication Company of Iran были проданы частному консорциуму, однако, как отмечалось наблюдателями, это практически не отразилось на политике государственного контроля за доступом к интернету. 

По данным Internet World Stats, в конце 2017 г. в Иране насчитывалось 56,7 млн интернет-пользователей (70% населения), что по сравнению с 46,8 млн пользователей 2015 г. (57,2% населения) обеспечило прирост на 21,1%. При этом в 2000 г. число пользователей сети интернет в Иране не превышало 250 тыс. 

Согласно данным Государственного центра статистического наблюдения Ирана, к началу 2017 г. коммутационный выход в интернет имели 62,21% домовладений (15,3 млн), причем по сравнению с началом 2016 г. рост составил 7%. Значительный рост наблюдается и в сегменте мобильного доступа в интернет. По официальным данным Министерства связи и информационных технологий Ирана, по состоянию на март 2018 г. число пользователей мобильного интернета составляло 53,2 млн — по сравнению с сентябрем 2017 г. оно увеличилось на 5,9 млн человек. Крупнейшими иранскими операторами мобильного доступа к интернету являются компании Mobile Telecommunications Company of Iran — MCI (Hamrahe Avval) и Irancell, обеспечивающие пользователям доступ по стандартам 3G и 4G. Пропускная способность в сети интернет по состоянию на март 2018 года оценивалась на уровне 1500 Гбит/с, при том что в 2017 г. этот показатель составлял 743 Гбит/с, а в 2008 г. — всего 6,05 Гбит/с. 

Довольно высоким является и уровень охвата иранского населения сотовой связью. По данным Министерства связи и информационных технологий, иранскими операторами мобильной связи было выпущено более 169,5 млн сим-карт, из которых по состоянию на март 2018 г. было активно порядка 88 млн абонентских номеров мобильной связи (в начале 2017 г. их количество составляло 77,5 млн). При этом число абонентов фиксированной телефонной связи в 2017 г. составляло всего 30,3 млн. Указывалось, что по числу абонентов мобильной связи Иран находится на уровне развитых западноевропейских государств, занимая 14 место в мире наряду с Италией и Великобританией. 

В рамках создания национальной информационной сети Ираном были реализованы проекты национальных сервисов электронной почты. В июле 2013 г. почтовой компанией Ирана и компанией TCI был запущеннациональный почтовый интернет-сервис Post.ir. Ранее, в 2012 г., был запущен частный проект электронной почты ChMail.ir / Chaapaar.ir. Позднее были запущены еще два национальных почтовых интернет-сервиса – на доменах Iran.ir и Rayana.ir. По данным Министерства связи и информационных технологий Ирана, в среднем создание интернет-сервиса электронной почты обходилось в сумму порядка 200 млрд риалов (около 5,1 млн долл.). 

В 2010 г. Министерством связи и информационных технологий Ирана была инициирована разработка и запуск поисковых интернет-сервисов Yahagh.ir и Yooz.ir, разработанных иранской компанией Shidandish Dadeh Pardazan Co. На это из госбюджета было выделено 56,7 млн долл. В 2015 г. Университетом Язда был разработан и запущен частный проект поискового интернет-сервиса Parsijoo.ir. Аппаратные мощности его сервиса включали 150 серверов, и, как отмечается, он является наиболее популярным в Иране после Google. В западных источниках указывалось, что на разработку поискового интернет-сервис Parsijoo и запущенного в том же году сервиса Gorgor, было инвестировано 1700 млрд иранских риалов (около 60 млн долл. по курсу 2015 г.). 

Для нивелирования пользовательского интереса к международным социальным сетям Иран активно развивает собственные аналогичные интернет-ресурсы. В частности, иранскими телекоммуникационными компаниями были запущены социальные сети Cloob FacekoobFacenamaа также Soroush, iGap, BisPhone Plus, Wispi, EsomSaina,. Также был запущен видеохостинговый сайт Aparat — аналог YouTube. Созданы интернет-сервисы обмена сообщениями и медиафайлами Mobogram (разработчик — IT-компания Hanista Programing Group) и TD Messenger. Также сообщалось о разработке иранскими IT-компаниями собственной версии медиаплеера iTunes Apple под названием BeepTunes. Примечательно, что в мае 2018 г. заместителем директора Верховного совета по киберпространству Аббасом Асошехом отмечалось, что за апрель и май 2018 г. число пользователей, использующих приложения иранских месседжеров увеличилось на 9,2 млн. 

Однако, несмотря на активные усилия иранского правительства, по данным, приводившимся иранскими и западными источниками, отмечается низкий интерес иранских пользователей к национальным почтовым интернет-сервисам — иранцы отдают предпочтение иностранным сервисам электронной почты. К примеру, по данным, приводившимся в сентябре 2017 г. руководителем факультета информационных технологий иранского Научно-исследовательского центра связи и информационных технологий Алирезой Яри, из 1,5 млн пользователей, создавших учетные записи на Chmail.ir, не более 300 пользуются этим сервисом постоянно. 

Западными эксперты отмечали, что одним из основных недостатков иранских национальных сервисов электронной почты с точки зрения пользователей является необходимость указывать при регистрации в дополнение к своему адресу личный идентификационный номер и проходить обязательную сверку указанных регистрационных данных с подлинниками документов. 

Иранские интернет-провайдеры также активно предлагают услуги по интернет-коммерции. По официальным данным, по состоянию на 2017 г. было зарегистрировано более 50 тыс. интернет-магазинов, товарооборот сектора за 2015 г. составил 16,2 млн долл. Одним из крупнейших является запущенный в 2010 г. интернет-маркет Café Bazaar, аналогичный Google Play. 

По данным западных источников, еще в начале 2000-х гг. в телекоммуникационном секторе Ирана было занято около 150 тыс. человек, из них в сегменте разработки программного обеспечения — порядка 20 тыс. человек. В Иране насчитывается более 200 IT-компаний и компаний-разработчиков программного обеспечения, в числе которых Iran Software & Hardware Co. (NOSA), Iran System Electronic Industries (ISEI) Company, Magfa Co.Iran Info-Tech Dvelopment Co.Iran Bornaа также H3 Software, Samar Software Solutions, Sena Soft, Asman Software, Douran Software Technologeis Research Center и др. В начале 2016 г. сообщалось, что примерно 80 иранскими IT-компаниями ведется разработка более 180 видов программного обеспечения. 

В целях снижения зависимости иранских пользователей от иностранного программного обеспечения (в первую очередь американского) Ираном был инициирован переход пользователей на альтернативные версии и разработка национальных аналогов. В частности, в конце 2012 г. Организацией информационных технологий Ирана и Центром телекоммуникационных исследований Ирана была разработана национальная операционная система Zamin, базирующаяся на Linux. При этом в сентябре 2013 г. Ираном было принято решение о запрете использования правительственными учреждениями операционной системы Windows и их переходе на Linux или ее национальные аналоги в течение шести месяцев. В 2017 г. Технологическим университетом имени Шарифа была представлена еще одна версия национальной операционной системы Sharif Linux. Ранее, в начале 2015 г., сообщалось о разработке специалистами КСИР специальной операционной системы Sepand для использования в компьютерах спутниковых систем, робототехнике и автомобильной промышленности. 

Согласно данным, приводившимся иранскими СМИ, достигнутый уровень компетенций позволил Ирану выступить поставщиком программного обеспечения — к примеру, в 2007/2008 финансовом году программного обеспечения было экспортировано на 50 млн долл., в 2013/2014 финансовом году — на 400 млн долл., в 2014/2015 — на 200 млн долл

Объем иранского рынка телекоммуникационных услуг в 2014 г. оценивалсязападными аналитиками в 12,8 млрд долл. При этом объем продукции и услугиранских компаний-производителей телекоммуникационного оборудования и разработчиков программного обеспечения составил 5,1 млрд долл. (на оборудование и аппаратные системы пришлось 3,1 млрд долл., на разработку ПО — 900 млн долл., на софтверные услуги – 1,1 млрд долл.).

Проект создания национальной информационной сети

Иран в рамках национальной политики в сфере информационной безопасности с 2005 г. реализуетпроект по созданию национальной сети интернет — информационной сети (National Information Network / SHOMA), ориентированного на соответствие морально-этическим нормам иранского общества и исламского права (это так называемый Halal Internet) и исключающего возможность наличия (размещения) в ней нежелательного контента, в т. ч. для ограничения фактора негативного информационного влияния на внутриполитическую ситуацию. Как известно, аналогичные проекты уже реализованы в КНДР, а также на Кубе и Мьянме. 

По официальным данным стоимость реализации проекта национального интернета оценивалась в 4 млрд долл. На реализацию первого этапа проекта до 2012 г. бюджетные ассигнования составили 333,3 млн долл., в 2014 г. — 410 млн долл., в 2015 г. — 333,3 млн долл. Отмечалось также, что к реализации проекта национального интернета привлекалось порядка 8 000 специалистов по IT-технологиям из числа членов военизированного ополчения Basij. 

Первый этап проекта национальной интернет-сети был завершен в августе 2016 г.: пользователям был предоставлен доступ к электронным правительственным услугам, контенту иранских сайтов и цифровым услугам иранских компаний. Как сообщалось иранскими СМИ, пропускная способность сети на начальном этапе составляла 4000 Гб/с. К завершению проекта (первоначально планировавшемуся к середине 2017 г.) должен быть обеспечен высококачественный доступ пользователей к внутреннему широкополосному контенту и услугам, а также построение независимой национальной коммуникационной инфраструктуры. 

С развитием инфраструктурного обеспечения национальной информационной сети Ираном исходно планировалось обеспечить перевод на национальный хостинг центров обработки данных и большей части иранских интернет-ресурсов. Как отмечалось иранским Министерством связи и информационных технологий, к концу 2011 г. 90% сайтов иранских госучреждений было переведено на национальный хостинг. В 2015 г. на национальном хостинге базировалось порядка 40% всех иранских интернет-ресурсов. Согласно комментарию, сделанному в 2015 г. вице-президентом по экономике Ирана Али Ага-Мохаммадом, иранская национальная информационная сеть в перспективе может полностью заменить глобальный интернет на территории страны, а также, возможно, в других мусульманских государствах. 

При этом западными наблюдателями и иранскими правозащитниками отмечалось, что создание национальной иранской сети интернет приведет к ее изолированности от мировой сети и фактически полной онлайн-цензуре, а с точки зрения глобальной кибербезопасности это создаст благоприятную среду для ее использования международной киберпреступностью. 

С целью обеспечения информационной безопасности государственных структур в начале 2012 г. сообщалось о запуске штаб-квартирой по кибербезопасности Ирана локального почтового сервера, который позволит пользователям не зависеть от зарубежных сервисов. Также в августе 2012 г. Иран анонсировал перевод всех государственных ведомств на использование автономной информационной сети для нивелирования рисков внешнего доступа к их базам данных. Этот шаг рассматривался в качестве переходного этапа к изоляции от всемирной сети интернет и выстраивания национальной информационной сети. 

В последнее время значительное внимание Иран уделяет также подготовке к введению собственной криптовалюты. При этом до недавнего времени, в соответствии с распоряжением иранского центробанка, иранским кредитным учреждениям было запрещено совершать любые операции с криптовалютами. Этот запрет являлся частью политики борьбы с отмыванием преступных доходов. В ноябре 2017 г. Верховный совет по киберпространству Ирана одобрил режим регулирования обращения криптовалют в Иране. В рамках исполнения поручения президента Ирана Хасана Рухани о разработке национальной криптовалюты в конце августа 2018 г. Центром национальной кибербезопасности Ирана был представлен законопроект по государственной цифровой валюте. Указывалось, что для Ирана целью введения национальной криптовалюты является создание финансового инструмента для обхода американских санкций и обеспечение возможности беспрепятственного перечисления денежных средств в любую страну мира.

Государственное регулирование и мониторинг доступа к сети Интернет

С массовым подключением внутренних пользователей к всемирной сети Интернет иранские спецслужбы получили принципиально новые возможности по мониторингу и перехвату информационных потоков. При этом появились и объективные ограничения по контролю государства за информационной сферой. Социальные сети и большое количество чатов стали для иранцев принципиально новой средой, в которой отсутствовала возможность применения государством традиционных инструментов цензурных ограничений. 

Для обеспечения действенного контроля государства за интернет-пространством с начала 2000-х гг. существует практика мониторинга иранскими госструктурами посещаемых пользователями интернет-сайтов, а также фильтрация просматриваемого контента. 

В октябре 2001 г. по указанию высшего руководителя Ирана аятоллы Али Хаменеи Верховный совет культурной революции принял резолюцию о государственном регулировании и правилах доступа к всемирной сети интернет. Доступ к сети интернет для всех провайдеров был установленисключительно через компанию Data Communication Company of Iran (DCI), входящую в контролируемую государством телекоммуникационную компанию TCI. 

В 2011 г. Министерством связи и информационных технологий Ирана было введено положение о порядке регулирования деятельности интернет-кафе. В числе ограничительных мер были предписаны требования к владельцам точек общественного доступа в Интернет (интернет-кафе) на допуск к выходу во всемирную сеть исключительно посетителей, предоставляющих документ, удостоверяющий личность. Также было введено ограничение по одновременному использованию одного компьютера одним посетителем, необходимости фиксировать и сохранять IP-адреса пользователей, журналы просмотров и список посещаемых сайтов, а также ведения видеозаписи с сохранением баз данных на протяжении не менее шести месяцев. Надзор за исполнением был возложен на киберполицию Ирана (FATA). 

В июне 2012 г. иранские СМИ сообщали, что киберполиция также будет блокировать использование виртуальных частных сетей (VPN), которые использовались многими иранцами для обхода интернет-цензуры. В январе 2013 г. иранской полицией также анонсировалась разработка «интеллектуального программного обеспечения», обеспечивающего мониторинг и контроль за доступом пользователей к интернету и социальным сетям. Как отмечалось главой иранской полиции генералом Эсмаилом Ахмади Могадамом, установление «интеллектуального контроля» за доступом к контенту интернет-ресурсов гораздо эффективнее их запрета, а специальное программное обеспечение позволит предотвратить доступ пользователей к вредоносному контенту, позволяя им воспользоваться «полезными аспектами» интернета. Западные источники сообщали, что в 2016 г. Министерство связи и информационных технологий было выделило 1 трлн риалов (33 млн долл.) на создание аппаратно-программной системы по мониторингу и фильтрации интернет-контента. 

Кибергруппы, аффилированные с иранскими госструктурами

Как ранее указывалось, анализ киберопераций, проводившихся иранскими спецслужбами, отражает присущую им специфику привлечения формально не аффилированных с иранскими госструктурами хакерских групп. При этом спецслужбами обеспечивается целеполагание, а также содействие в планировании, разработке и организационном обеспечении операций, а конечная стадия выполняется привлекаемыми либо специально формируемыми под выполнение разовых операций хакерскими группами. 

Ранее, когда различными иранскими хакерскими группами предпринимались хаотичные и несистемные атаки на пользователей, практически отсутствовала возможность выявить причастность к их деятельности иранских госструктур и спецслужб, поскольку фишинговые рассылки, взлом учетных записей или компьютеров отдельных пользователей могут проводиться и отдельными лицами, без какой-либо внешней целевой мотивации. Однако к началу 2000-х гг. появились идентифицируемые иранские хакерские группы, которые стали проводить организованные кибератаки с использованием целевых фишинговых рассылок пользователям. Они также использовали информацию об уязвимостях инфраструктуры объектов атак и специально разработанное вирусное программное обеспечение. Одновременно западные источники все чаще стали указывать на наличие в Иране организованных кибергрупп и их вероятную связь с иранскими спецслужбами. К концу первой декады 2000-х гг. появились структурированно действующие кибергруппы типа Iranian Cyber Army, Ajax Security Team, Infy и др. Также вырос организационный уровень проводимых ими атак, и они напрямую коррелировали с приоритетными интересами иранских спецлужб и направлениями проводимых ими разведывательных операций. Тогда зарубежными источниками стало указываться на вероятное наличие единого органа координации и управления большинством идентифицируемых иранских хакерских групп. 

Согласно оценке специалистов американской компании по кибербезопасности FireEye Inc., к концу первой декады 2000-х гг. стал очевидным переход иранских кибергрупп от тактики декларативных хакерских атак к хорошо планируемым масштабным операциям по кибершпионажу, включающим детальную разведку объектов атаки и стратегию реализации атак. В частности, в числе очевидных критериев идентификации аффилированности иранских хакерских групп с госструктурами зарубежными источниками указывалось на проведение ими операций против иранских пользователей либо оппозиционных движений на основании информации, которая могла быть получена только от силовых структур. Также указывалось на факты скоординированного использования для проведения хакерских атак компьютеров и аккаунтов лиц, находящихся под надзором КСИР. 

В качестве косвенного свидетельства выполнения иранскими хакерскими группами операций в координации с госструктурами в частности указывается, что в отличие от акторов из прочих стран, наиболее заметные иранские хакерские группы не имеют финансового мотива и не действуют из соображений коммерческой выгоды. Также в качестве аргумента называется то обстоятельство, что периоды их активной деятельности практически полностью синхронизированы с обычным распорядком госслужащих (рабочая неделя с субботы по среду) и бездействием на период иранских праздников. В последние годы исследователями указывают на все более устойчивую тенденцию встраивания в деятельность государственных и корпоративных структур изначально не аффилированных с ними хакерских групп либо частных IT-компаний. 

Зарубежные исследователи утверждали, что связанные с иранскими спецслужбами кибергруппы, используемые для операций против внутренней оппозиции, привлекаются и к проведению операций в отношении зарубежных объектов. При этом отмечалось, что ими используется практически те же тактика и инструментарий, а это в определенной степени, облегчает идентификацию происхождения таких кибергрупп и выработку мер противодействия. 

В то же время отдельными источниками отмечается, что не приходится говорить об обязательной причастности иранских госструктур к деятельности хакерских групп. На примере кибератак на саудовскую нефтегазовую компанию Saudi Aramco и финансовые организации в ходе операции Shamoon, приведшую к многомиллионным убыткам, указывалось, что она была реализованы в рамках относительно простой схемы, не требующей сложной организации и ресурсов, и вполне могла быть инициирована и проведена частным образом. 

Отмечается ряд сложностей при идентификации иранских хакерских групп, в том числе и в части проведения ими кибератак в интересах спецслужб или госструктур, поскольку для них характерна децентрализация и внутренняя миграция специалистов. Также однозначное определение причастности к атакам иранских госструктур затруднено по причине периодической трансформации и изменения состава участников иранских кибергрупп. Это формально позволяет Тегерану дистанцироваться от подобных инцидентов. При этом стоит отметить, что тактика использования иранскими спецслужбами разрозненных хакерских групп для проведения кибератак, не требующих сложной организации (типа фишинговых рассылок) либо являющихся отдельным звеном более сложных киберопераций, является довольно действенной тактикой. Это связано с тем, что идентификация и блокирование хакерских групп, действующих на негосударственном уровне, будет оставаться весьма трудной задачей даже для крупных кибердержав, в т.ч. по причине неэффективности проведения масштабных киберопераций против неструктурированной хакерской сети. 

До настоящего времени большинство иранских хакерских групп идентифицировано и известно под кодовыми названиями, которые присваивались им западными исследователями (к примеру, Flying Kitten, Charming Kitten, Rocket Kitten, Infy, OilRig, APT33). При этом часть известных иранских кибергрупп (Iranian Cyber Army, Ashiyane Digital Security Team, Izz Ad-Din Al Qassam), наоборот, в большинстве проводившихся ими атак на веб-ресурсы пользователей фиксировали свою причастность к проведенным атакам, в том числе посредством размещения соответствующих уведомлений. 

Зарубежными исследователями отмечается, что большинство иранских хакерских групп характеризуются преимущественно фрагментарным появлением и проведением операций в течение ограниченного промежутка времени. Также сложно однозначно идентифицировать цели проводимых ими атак, по окончании которых они ликвидируют группы (сообщества) и использовавшуюся инфраструктуру, которая впоследствии может использоваться другими исполнителями для атаки с совершенно иными целями. 

Примером подобных трансформаций являются уже упомянутые выше Ashiyane Digital Security Team и группы Flying Kitten, Charming Kitten, Rocket Kitten, для участников которых характерно использование схожего инструментария и которыми в разное время использовались элементы единой инфраструктуры, а также преемственной тактики, что позволило специалистом указывать на вероятность их внутренней трансформации. Аналогичные моменты в отношении использования единой инфраструктуры и инструментария отмечались специалистами израильской компании ClearSky Cyber Security в отношении групп Charming Kitten и Rocket Kitten и специалистами американской компании FireEye Inc. при отслеживании связей прекратившей по наблюдениям западных исследователей свое существование в 2014 году группы Flying Kitten и деятельности группы Rocket Kitten, что затрудняло возможность их точной идентификации и установления причастности к конкретным атакам. 

В данной связи отдельными исследователями справедливо указывается, что в отсутствие фактологически подтверждаемой идентификации, появление новых акторов зачастую неверно трактуется западными наблюдателями в качестве свидетельства неуклонного роста иранского хакерского сообщества и появления новых кибергрупп. 

Зарубежные кибератаки в отношении Ирана

Поскольку целью данного исследования является освещение компетенций Ирана в сфере кибербезопасности и проведения киберопераций, кибератаки, которым подвергался Иран, не будут детально анализироваться. Более того, они подробно описаны в различных зарубежных и российских источниках. Тем ее менее стоит вкратце описать наиболее известные из них для сопоставительного отражения компетенций Ирана в сфере обеспечения кибербезопасности. 

Первой крупной и самой разрушительной по последствиям кибератакой против Ирана стала операция Olympic Games, которая, как предполагается большинством исследователей, была спланирована и проведена США и Израилем. В рамках этой операции в 2010 г. было осуществлено внедрение вирусной программы-червя Stuxnet на один из важнейших объектов ядерной инфраструктуры Ирана — предприятие по обогащению урана Natanz. В результате перенастройки вирусом Stuxnet систем управления объекта из строя вышли 1 368 из 5 000 имевшихся центрифуг по обогащению урана. Программа Stuxnet в теневом режиме изменяла работу центрифуг до критических значений, что в конечном итоге привело к их износу и выходу из строя. При этом операторы получали генерировавшиеся вирусом искаженные данные о работе оборудования, соответствовавшие нормальным показателям. Как отмечалось зарубежными экспертами, атака отбросила развитие ядерной программы Ирана на два года назад. 

При дальнейшем распространении Stuxnet, по данным Совета по информационным технологиям Министерства промышленности добывающих отраслей Ирана, вирусом было пораженно более 30000 промышленных компьютерных систем. Министерством связи и информационных технологий Ирана указывалось, что не было отмечено каких-либо аварийных сбоев. Операция по внедрению вируса Stuxnet была кибератакой в классическом смысле (т.е дистанционной), поскольку исходно имело место внедрение ПО в информационную сеть с носителя, выполненное внедренными или завербованными агентами. На это указывает тот факт, что информационная сеть объекта Natanz была локальной, без какой-либо возможности внешнего доступа. В дальнейшем вирус распространялся уже посредством перемещения по связанным сетям. Министерством связи и информационных технологий Ирана отмечалось, что вирус Stuxnet в том числе предназначался для передачи данных с поражаемых информационных систем на зарубежные сервера. 

Считается, что данная кибератака против ядерной инфраструктуры Ирана стала рубежным моментом для иранского политического и военного истеблишмента по форсированному развитию собственного потенциала кибербезопасности. Касательно выработки мер противодействия кибератаке вирусом Stuxnet иранскими и зарубежными источниками отмечали, что Иран довольно быстро смог найти средства противодействия для предотвращения дальнейшего распространения вируса. 

Впоследствии, в сентябре 2011 г. специалистами венгерской компании по кибербезопасности CrySyS Lab. (Laboratory of Cryptography of Systems Security) при Будапештском университете технологии и экономики было выявленоналичие в информационных сетях, пораженных Stuxnet, нового вируса – троянской программы Duqu, разработанной ранее. Как отмечалосьисследователями, вирус Duqu был ориентирован на идентификацию топологии сетей и выявление уязвимостей, и, как предполагалось, был вирусом-разведчиком для определения «точек входа» для вируса Stuxnet. Компанией CrySyS Lab. было разработано специальное программное обеспечение «Duqu Detector» для выявления данного вируса. 

Следующим масштабным инцидентом стало выявление в мае 2012 г. Национальной группой реагирования на чрезвычайные ситуации в киберпространстве (MAHER) и оказывавшими им техническую помощь специалистами российской компании «Лаборатория Касперского» новойвредоносной программы — Flame (названной по имени одного из составляющих модулей). Согласно оценке специалистов «Лаборатории Касперского», программа Flame предположительно была связана с вирусом Stuxnet ввиду ориентированности на поиск аналогичных уязвимостей. Как сообщалось иранскими источниками, вирус Flame первоначально поразил порядка 1000 компьютеров иранских госведомств (в частности Министерства нефти Ирана), вузов и частных компаний, затем распространившись за пределы Ирана. Позднее была обнаружена отличающаяся разновидность вируса – программа Wiper, вызывавшая отключение поражаемых компьютеров и копирование данных с жестких дисков. 

Специалистами MAHER указывалось на возможность внедрения вируса Flame в ходе серии предшествовавших кибератак США и Израиля на иранские информационные сети. Иран официально обращался в международные организации с просьбой об оказании помощи после кибератак с использованием программ Flame и Wiper, причем это сопровождалось призывами к усилению контроля над интернетом со стороны ООН. 

На протяжении 2012 г. иранские официальные лица неоднократно заявляли о выявлении массированных кибератак на информационные ресурсы иранских организаций, в частности ядерных объектова также Центрального банка Ирана и нефтяных компаний. К примеру, сообщалось, что осенью 2012 г. иранские финансовые учреждения подверглись атаке вредоносным программным обеспечением (червем) Narilam. Распространяясь через интернет и флеш-носители, программа внедрялась в реестры пораженных ресурсов и получала доступ к управлению базами данных. При этом MAHER отмечал, что вирус Narilam не вызвал каких-либо масштабных проблем и его распространение нейтрализовывалось имевшимися средствами. В октябре 2012 г. министр разведки Ирана Гейдар Мослехи заявил, что Иран ежедневно выявлял порядка 500 кибератак на свои информационные ресурсы. 

После серии кибератак в 2012 г. Ираном периодически декларировался поступательный рост потенциала и возможностей противодействия внешним киберугрозам. Например, в конце декабря 2012 г. заместитель командующего сил правопорядка Ирана Ахмад Реза Радан отметил, что Иран входит в число стран, наиболее успешно противодействующих киберугрозам: Иран выявляет до 60% кибератак, тогда как в других странах этот показатель не превышает 21–25%. Позитивные оценки иранских официальных лиц в определенной степени косвенно подтверждаются практическим отсутствием информации о крупных инцидентах по проникновению зарубежных акторов на объекты иранской киберинфраструктуры в тот период. 

Иранскими чиновниками сообщалось, что отечественные специалисты оперативно разработали эффективные программные средства для устранения последствий вирусных кибератак и недопущения их дальнейшего распространения. В частности, в ноябре–декабре 2011 г. директор «Организации пассивной обороны» Голам Реза Джалали сообщил иранским СМИ о разработке антивирусной программы для очистки систем, пораженных вирусом Duqu. В мае 2012 г. группа MAHER заявила о разработке антивирусного программного обеспечения, специально оптимизированного для выявления и нейтрализации вредоносного вируса Flame в компьютерных сетях. 

Вероятно, частью диверсий против иранской киберинфраструктуры сталопохищение и убийство в октябре 2013 г. неизвестными лицами командующего штаб-квартирой киберопераций Моджтаба Ахмади, обнаруженного застреленным в лесистой местности недалеко от города Карадж, к северо-западу от Тегерана. Отмечалось, что ранее в результате покушений, в организации которых Иран обвинил израильскую разведслужбу Моссад, были убиты пять иранских ученых-ядерщиков и руководитель иранской ракетной программы. По комментариям западных наблюдателей, серия убийств иранских специалистов, причастных к критически значимым проектам оборонных программ, способствовала принятию иранскими спецслужбами экстренных мер по ужесточению режима безопасности. 

Впоследствии иранские официальные СМИ периодически сообщали о фиксировании многочисленных попыток кибератак, однако неизменно говорили об отсутствии сколь-либо крупного ущерба от них. Иранскими официальными источниками, цитируемыми иранской телекомпанией PressTV, отмечалось, что в 2014 г. ежедневно отражалось более 1000 кибератак на национальные IT-ресурсы, а в 2015 г. иранские источники сообщали, что ежедневно киберполицией FATA и прочими службами по обеспечению кибербезопасности выявляется до 10000 кибератак на иранские IT-ресурсы, при этом указывалось, что большая часть из них успешно нейтрализуется. Например, в феврале 2015 г. иранскими СМИ сообщалось об успешном отражении иранскими военными [вероятнее всего – специалистами КСИР] серии кибератак на объекты научной и промышленной инфраструктуры Ирана. В марте 2015 г. центром реагирования на киберугрозы киберполиции FATA были успешно отражены кибератаки США на иранские объекты промышленной инфраструктуры, в т.ч. на серверы Министерства нефти. 

Зарубежными источниками при этом отмечалось, что иранскими службами не была предотвращена кибероперация, проведенная в маеиюне 2016 г. (как указывалось, саудовскими хакерами), в результате которой были блокированыи взломаны сайты Статистического центра Ирана, Министерства культуры, некоторых организаций судебной системы, а также ряда иранских посольств, в частности в России, Украине, Аргентине и Кыргызстане. При этом начальником Организации гражданской обороны Ирана Голамом Резой Джалали (Gholam Reza Jalali) отмечалось, что хакерам удалось лишь проникнуть на внешний уровень инфраструктуры и объектам атаки не было нанесено существенного ущерба. 

По данным, приводившимся начальником FATA, бригадным генералом Сейедом Хадианфаром, за год (с марта 2017 г. по март 2018 г.) было выявлено 7 525 атак на киберинфраструктуру Ирана, основными объектами которых были иранские госведомства, банки и финансовые институты, инфраструктура связи и сетей энергораспределения. Указывалось, что 50% атак исходили из США и Китая, 30% – из европейских стран (преимущественно из Германии и Нидерландов). Остальные случаи были связаны с акторами из азиатских стран. При этом глава FATA отметил, что практически все кибератаки были пресечены и не нанесли заметного ущерба. 

Зарубежными источниками в числе наиболее заметных кибератак на Иран в 2017 г. также отмечалась атака по взлому в июне 2017 г. саудовской кибергруппой Team Bad Dream сайта Министерства иностранных дел Ирана. 

Иран также сообщал о серии кибератак, проведенных в феврале 2018 г. и нацеленных на веб-сайты и серверы иранских СМИ (в частности, иранских газет Qanoun, Arman Daily и Setareh Sobh). При этом указывалось, что атаки велись с IP-адресов в США и Великобритании. Согласно комментарию пресс-секретаря FATA бригадного генерала Саида Аль Махди,хакерам удалось проникнуть только на веб-страницы и разместить на них фейковые выпуски новостей, в то время как попытки проникновения на серверы были пресечены иранскими специалистами. 

Также 6 апреля 2018 г. сообщалось о кибератаке на серверные центры ряда иранских IT-компаний (Afra Net (Afr@Net), Asiatech, Shatel, Pars Online, ISIRAN, Respina Telecommunication Co.), в результате которых на части коммутаторов и маршрутизаторов производства американской компании Cisco был зафиксирован сброс настроек до уровня заводских (атаке подверглось порядка 35000 маршрутизатров). Отмечалось, что наиболее серьезный урон был нанесен базам данных компаний Respina Telecommunication Co., ISIRAN и Shatel. На мониторах пораженных веб-ресурсов отражалось изображение флага США и отсылка к иностранному вмешательству в прошедшие президентские выборы США. Как сообщалось, технические операции по противодействию кибератаке велись специалистами MAHER. Через день после кибератаки они распространили информацию о том, что все центры обработки данных и крупные компании, подвергшиеся атаке, возобновили свою нормальную работу. 

Зарубежными СМИ, в частности оппозиционным радио Radio Farda (иранская служба «Радио Свободная Европа»/«Радио Свобода») отмечалось, что министр связи и информационных технологий Мохаммад Джавад Азари Джахроми дал неудовлетворительную оценку работе Национальноого центра по информационной безопасности в связи с имевшим место хакерским взломом, поскольку, как отмечалось министром, несмотря на имевшуюся информацию о возможной кибератаке, не было предпринято соответствующих мер. 

В связи с продолжающимися зарубежными кибератаками на иранские инфраструктурные объекты, иранские официальные СМИ упоминаливыступление бывшего руководителя спецподразделения радиоэлектронной разведки Unit 8200 Управления военной разведки AMAN Эхуда Шнеерсон на конференции по кибербезопасности, прошедшей в июне 2018 г. В этом выступлении он указывал, что приоритетной целью израильских кибератак будет киберинфраструктура энергетического сектора Ирана. Интересно, что некоторые иранские оппозиционные силы стали тиражировать аналогичный тезис о целесообразности выбора мишенью для давления (в том числе и посредством кибератак) энергетический сектор Ирана для максимального ослабления режима. В начале ноября 2018 г. Ираном сообщалось о серии кибератак на его телекоммуникационную инфраструктуру, которые, по комментарию генерального директора Телекоммуникационной компании Ирана Хамида Фатахи, были сорваны иранскими специалистами. Фатахи указывал на высокую вероятность причастности к атакам именно Израиля, при этом отмечалось намерение Ирана обращаться в международные организации с требованием мониторинга и расследования подобных инцидентов. В свою очередь министр связи и коммуникационных технологий Ирана Мохаммад Джавад Азари Джахроми заявил о возможном применении в кибератаках на иранскую телекоммуникационную инфраструктуру выявленной иранскими специалистами в конце октября 2018 г. новой модификации вируса Stuxnet. 

Крупнейшие зарубежные операции иранских кибергрупп

Страны - цели иранских кибератак по версии Srtatfor

Анализ географии киберопераций, проводившихся иранскими акторами, показывает, что в число их целей в приоритетном порядке попадают США, практически все ближневосточные страны (особенно Израиль и Саудовская Аравия), западноевропейские и североафриканские государства, а также некоторые страны Центральной и Южной Азии. К проведению кибератак и операций по кибершпионажу в отношении зарубежных объектов иранскими спецслужбами как правило привлекаются практически те же хакерские группы, что выполняют хакерские атаки на внутрииранские цели, а именно группы Ashiyane Digital Security Team, Flying Kitten, Rocket Kitten, Charming Kitten, Magic Kitten, CopyKittens. При этом часть групп идентифицировались как исходно создававшиеся под проведение конкретных зарубежных операций – к примеру, группы Infy, OilRig, APT33, APT34 и др. 

По оценкам американских специалистов, в отличие от России и Китая, иранские хакерские группы ориентированы не только на мониторинг и сбор разведывательной информации, но и на нанесение непосредственного ущерба объектам атаки. В первую очередь это касается акций в отношении геополитических «врагов Ирана», таких, как США, Израиль и Саудовская Аравия. Они часто становились целью крупнейших киберопераций, проводившихся, как считается, иранскими кибергруппами. К числу таких кампаний можно причислить Madi (2012 г.), Operation Ababil (2012–2014 гг.), Operation Shamoon/Operation Shamoon 2 (2012 г. и 2016–2017 гг.), #OpIsrael и #OpUSA (2013 г. и последующие годы), Operation Cleaver (2012–2014 гг.), Operation Saffron Rose (2013–2014 гг.), Operation Newscaster (2011–2014 гг.), Operation Woolen-GoldFish (2014–2015 гг.), Operation Wilted Tulip (2013–2017 гг.) и Magic Hound (2016–2017 гг.). 

Приоритетными объектами локальных операций по кибершпионажу и хакерских атак иранских групп являются американские высокотехнологичные и оборонные компании, которые включены Ираном в санкционные списки и осуществляют поставки вооружений Израилю и Саудовской Аравии. Сюда можно отнести Raytheon, ITT Corporation, United Technologies, Oshkosh Corporation, а также Boeing и Northrop Grumman. Также сообщалось о взломе баз данных американской оборонной компании Arrow Tech Associates Inc. При этом, как отмечалось, в отличие от вышеперечисленных масштабных операций в отношении гражданских организаций, кибератаки на американские оборонные компании вследствие высокой степени обеспечения информационной безопасности, как правило, имели весьма ограниченный успех, и сообщения о краже Ираном чувствительной информации почти отсутствуют. 

Также объектами кибершпионажа иранских хакеров становились и сопредельные ближневосточные государства, которые рассматриваются в качестве сферы противоборства интересов иранских и иностранных спецслужб. Такие операции не принимали масштабных форм, хотя и выполнялись с привлечением профессиональных кибергрупп. Согласно публиковавшимся в западных источниках данным, к примеру, кибергруппой Infy проводились операции по получению доступа к базам данных правительственных структур Афганистана (в частности, Национального радио и Министерства образования) и веб-ресурсам, связанным с Иракским Курдистаном. Группой Rocket Kitten осуществлялись операции по получению доступа к базам данных силовых структур Афганистана и Пакистана, группами Flying Kitten и Magic Kitten — операции в отношении йеменских политических движений и организаций. Также проводились атаки с целью получения доступа к аккаунтам иракских политиков или должностных лиц, работавших в телекоммуникационных компаниях. 

Фиксировавшиеся до середины 2012 г. наиболее заметные операции иранских хакерских групп были направлены преимущественно на США и некоторые западные страны. Однако, несмотря на резонансный характер, они, как правило, не выходили за рамки обычных хакерских атак, проводимых группами средней квалификации с использованием общедоступного инструментария. Они ограничивались организацией фишинговых и спам-рассылок и атаками по блокированию доступа пользователей к базам данных, серверам (компьютерам), веб-страницам, аккаунтам электронной почты и страницам в соцсетях. 

В числе наиболее резонансных кибератак с участием иранских хакеров на тот период указывалось блокирование в январе 2010 г. работы китайского поискового интернет-сервиса Baidu, а также взлом в феврале 2011 г. группой Iranian Cyber Army сайта радиостанции «Голос Америки». В результате атаки 2011 г. на сайте «Голоса Америки» был размещен логотип группы с надписью «Мы доказали, что можем» и призыв к США и госсекретарю Хилари Клинтон не вмешиваться во внутренние дела исламских государств. В декабре 2012 г. американскими СМИ также освещалась хакерская атака по взлому и блокированию информационной сети корпорации Las Vegas Sands. Хакеры взломали сайт казино Sands Casino в Лас-Вегасе, что было ответом на антииранские высказывания его собственника, американского бизнесмена Шелдона Адельсона. Как отмечалось, хакерами был установлен удаленный доступ к серверу казино с помощью программы Mimikatz, впоследствии был получен доступ к логинам и паролям и осуществлено блокирование всей информационной сети корпорации. При этом причиненный ущерб оценивалсяв 40 млн долл. 

Западными источниками упоминались неоднократные хакерские атаки на сайт американского космического агентства NASA. В частности, в 2009 г. была осуществлена атака группой Ashiyane Digital Security Team. В мае 2012 г. операцию против NASA провела иранская студенческая хакерская группа, именовавшая себя Cyber Warriors Team. В публикации, размещенной хакерами на сайте Pastebin.com, было указано, что атака была проведена посредством рассылок по электронной почте с использованием учетных записей пользователей и уязвимостей в сертификатах безопасности SSL сайта NASA. Впоследствии веб-ресурсы NASA подвергались атакам хакерской группы Ashiyane Digital Security Team в сентябре 2015 г. и группы Lord Hacking Team — в августе 2016 г

Также сообщалось о причастности иранских кибергрупп к атакам на веб-ресурсы и базы данных МАГАТЭ. В частности, в 2011 г. была предпринята попытка взлома баз данных инспекторов организации, осуществлявших мониторинг объектов ядерной инфраструктуры Ирана. В ноябре 2012 г. иранская кибергруппа Parastoo проникла на сервер МАГАТЭ и опубликовала в сети базы данных с информацией о сотрудниках организации. Отдельными источниками упоминалось о предполагаемом участии в кибератаках на серверы МАГАТЭ группы Iranian Cyber Army. 

2012 год можно условно отметить как рубежный: в 2012 г. стал заметным значительный рост потенциала и компетенций ведущих иранских хакерских групп. Проявлением этого стали проводившиеся ими уже не просто декларативные, а масштабные кибератаки. Причем теперь целью этих атак чаще становились не единичные объекты за рубежом, а крупные инфраструктурные объекты и отрасли, а также группы государств. Также наметилась следующая тенденция: иранские кибергруппы стали проводить атаки в формате планируемых операций по кибершпионажу либо блокированию и уничтожению баз данных.

Прочие приоритетные направления проведения хакерских атак

Израиль

Израиль, как указывалось ранее, является одной из приоритетных целей иранских киберакций. При этом Израиль становился жертвой иранских хакеров не только в рамках массовых атак на несколько стран, рассмотренных ранее, но и в рамках атак, нацеленных исключительно на израильские объекты. Примечательно, что информация о проведении Ираном киберопераций в отношении Израиля является значительно менее полной, чем, к примеру, аналогичная информация об атаках на Саудовскую Аравию или другие страны региона. Это в том числе является следствием гораздо более высокого уровня защищенности израильской киберинфраструктуры. Специалистами отмечалось, что, несмотря на имевшие место случаи уничтожения баз данных израильских пользователей в результате DDoS-атак, возможности иранских кибергрупп в отношении израильских информационных ресурсов довольно ограничены. Хотя иранские компетенции в киберсфере растут, вероятно, они будут уступать в темпах роста киберзащищенности израильской инфраструктуры. 

Вследствие высокой защищенности объектов информационных сетей критической инфраструктуры Израиля, израильских госучреждений и крупных компаний объектами иранских кибератак преимущественно становились менее защищенные объекты: серверы научных и коммерческих организаций, вузов, а также аккаунты в соцсетях сотрудников госведомств и организаций. При этом исследователями отмечается, что с целью большей достоверности в среде израильских пользователей фишинговые рассылки с вредоносным ПО иранские хакеры распространяли преимущественно на иврите. 

В числе заметных операций иранских акторов, проводившихся в отношении израильских пользователей в более ранний период, отмечалась проводившиеся в знак протеста против израильского военного вторжения в сектор Газа атака кибергруппы Ashiyane Digital Security Team. Атака была осуществлена в начале января 2009 г., и ее объектом стал сайт Mossad (хакерами указывалось, что функционирование сайта спецслужбы было прервано более чем на два часа). Более того, в 2009 г. объектами атак Ashiyane стали 500 веб-сайтов пользователей. Также выделяется на общем фоне операция по распространению вредоносного ПО Madi в 2012 г. (по оценкамSymantec Corporation, 72 % атакуемых объектов находилось в Израиле). Стоит также отметить массированную кибератаку в июле 2012 г., исполнителем которой декларировалась группа Ditakadrz. Эта атака позиционировалась как операция возмездия за покушение на иранского ученого-ядерщика Дарьюша Резаи-Неджада. Ее объектами стали 220 веб-сайтов организаций финансового сектора, а также учебного центра израильских спецслужб. Аналогичная массированная атака иранской группы DataCoders Security Team была осуществлена в сентябре 2013 г.: группа попыталась взломать 370 сайтов израильских коммерческих организаций и IT-компаний. 

К тому же периоду относится, вероятно, наиболее успешная акция иранских хакеров в отношении Израиля – проведенная в начале октября 2012 г. кибероперация под кодовым названием Benny Gantz-55 (по аналогии с использовавшейся троянской программой для уничтожения баз данных в поражаемых информационных сетях). Программа была так названа иранскими разработчиками по имени тогдашнего начальника Генерального штаба Армии обороны Израиля Бенни Ганца. Атака имела настолько резонансные последствия, что в целях блокирования дальнейшего распространения вируса израильской полиции было предписано отключить информационные сети от доступа к интернету и не использовать флеш-карты и компакт-диски. 

В конце апреля 2017 г. израильской национальной группой по реагированию на чрезвычайные ситуации в киберпространстве Israel National Cyber Event Readiness Team (CERT-IL) сообщалось о пресечении масштабной кибератаки, объектами которой в период с 19 по 24 апреля 2017 г. стали порядка 120 израильских компаний, госучреждений и частных лиц. По даннымспециалистов израильской компании по кибербезопасности Morphisec Ltd., организатором кибератаки была иранская группа OilRig (как отмечалось, также идентифицируемая и как Helix Kitten), которая предположительно связана с разведслужбами Ирана. Как отмечалось, хакерами с помощью инструмента Mimikatz был получен доступ к учетным данным электронной почты высокопоставленных сотрудников Университета имени Бен-Гуриона. Эти данные в свою очередь были использованы для рассылки объектам атак документов Microsoft Word с интегрированным в них трояном Helminth. Также хакерами использовался эксплойт для уязвимости CVE-2017-0199 в Microsoft Office, позволявший незаметно установить вредоносное ПО на атакованные компьютеры. 

В числе последних идентифицированных акций иранских кибергрупп в отношении израильских пользователей стала выявленная ClearSky Security в начале июля 2018 г. подготовка хакерских атак со специально созданного фишингового сайта, имитирующего сайт компании. Атака готовилась группой Charming Kitten. Отмечалось, что на фейковом сайте, вероятно с целью получения доступа к учетным данным, также было интегрировано приложение авторизации посетителей через сервисы Google, Yahoo, Microsoft и Apple. 

Великобритания

Иранские хакерские группы в последние годы также указываются в качестве исполнителей довольно резонансных атак на Великобританию. Как и в случае с Израилем, Великобритания зачастую становилась единственным объектом иранских операций. В частности, упоминались операция по блокированиюдоступа сотрудников британской телерадиовещательной корпорации BBC к электронной почте в марте 2012 г. накануне дня проведения парламентских выборов. Атака была выявлена в 2014 г. специалистами британского Центра правительственной связи. Также стоит упомянуть операцию по внедрению вредоносного программного обеспечения в интернет-маршрутизаторы британских интернет-провайдеров, что позволило перевести трафик на альтернативный маршрут и обеспечить мониторинг контента и доступ к данным британских пользователей сервисов Google. Также в июне 2017 г. была зафиксирована серия хакерских атак на аккаунты электронной почты членов британского парламента и лично премьер-министра Великобритании Терезы Мэй. В ходе операции злоумышленникам удалось взломать порядка 90 учетных записей, а общее число аккаунтов, подвергшихся атаке, составило около 9 тыс. 

В последнее время западными источниками отмечается также причастность иранских хакерских групп к атакам на пользователей с требованием выкупа в криптовалюте. В частности, американской компанией по кибербезопасности Accenture Plc. в августе 2018 г. сообщалось о выявлении пяти хакерских групп, как предполагается иранского происхождения (на это указывало использование ими сообщения на фарси и идентифицированные IP-адреса в Иране), которые с применением программ-криптовымогателей провели операции против ряда компаний в США и ближневосточных государствах. При этом указывалось на возможную связь хакеров с иранскими госструктурами. 

О причастности иранских хакерских групп к применению программ-криптовымогателей также сообщалось американскими компаниями по кибербезопасности Palo Alto Networks Inc., Symantec Corporation, CrowdStrike Inc. Среди всего прочего, они указывали на распространение на Ближнем Востоке кодированного ПО по криптомайнингу, которое запускало шифрование и блокирование личных файлов и программ на серверном оборудовании, а потом требовало выкуп для разблокировки. Как отмечалось, с помощью программ-криптовымогателей в 2017 г. злоумышленниками было украдено вычислительных циклов на несколько миллионов долларов. 

Компанией по кибербезопасности iDefense (входящей в состав ирландской консалтинговой компании Accenture LLP) указывалось на использование программ-криптовымогателей собственной разработки группой OilRig. В числе этих программ — Rastakhiz (идентифицирована в октябре 2016 г.), Tyrant (идентифицирована в ноябре 2017 г.), WannaSmile (впервые обнаружена в ноябре 2017 г.) и Black Ruby (впервые обнаружена в феврале 2018 г.). Для ПО Tyrant требуемая сумма для получения кода разблокировки составляла 15 долл.и подлежала переводу через иранские платежные системы exchange.ir и webmoney.ir. Для WannaSmile требуемая сумма составляла 20 биткоинов и должна была быть переведена подлежавшая переводу через иранские платежные системы exchangeing.ir, payment24.ir, farhadexchange.net и digiarz.com. Black Ruby отличалась наличием функции отказа от блокирования атакованных компьютеров при обнаружении IP-адреса, привязанного к Ирану, и наличием функции установки на атакованный компьютер программы-майнера Monero, которая использовала его мощности на режимах максимальной загрузки процессора. Требуемая сумма для получения кода разблокировки была выражена в биткоинах и составляла 650 долл. 

При этом в мае 2017 г. главой иранской Организации гражданской обороны бригадным генералом Голамом Резой Джалали было озвучено встречное обвинение в адрес США как организатора массовой волны кибератак по блокированию компьютеров с требованием выкупа. Объектами атак стали пользователи в 99 странах (компанией-разработчиком антивирусного программного обеспечения Avast указывалось на более чем 75000 подобных кибератак). Основанием для обвинения США был тот факт, что из крупных государств только США не попали в число объектов операций.

Внутренние операции иранских кибергрупп

В числе внутренних социальных групп, в отношении которых иранскими спецслужбами проводятся хакерские атаки, а также операции по мониторингу и контролю за информационным обменом, фигурируют государственные чиновники, имеющие доступ к критически значимой информации, политические деятели реформистского толка, оппозиционные партии и движения, журналисты, религиозные меньшинства, деятели культуры, социальные и культурные меньшинства (в т. ч. так называемые ЛГБТ), сепаратистские этнические группы. 

Иранская оппозиция неоднократно заявляла об использовании властью информационных технологий для шпионажа за пользователями интернет-сервисов и проведения киберопераций по блокированию сайтов оппозиционных партий и политических диссидентов, а также националистических и сепаратистских движений. При этом указывалось на непосредственное координирование таких операций со стороны КСИР. 

Отмечалось также, что ко многим кампаниям в сфере кибербезопасности активно привлекаются хакерские группы, контролируемые КСИР, и военизированное ополчение Basij. Например, они принимали участие в проведении мониторинга интернет-трафика и социальных сетей для анализа контента и противодействия его использованию для подрывных операций, оппозиционных выступлений и социальных протестов. Также эти акторы были задействованы при размещении в сети пропагандистского контента и проведении кибератак. Косвенными признаками аффилированности хакерских групп с иранскими госструктурами и спецлужбами, является проведение ими операций против иранских пользователей либо оппозиционных движений на основании информации, полученной от силовых структур, а также отсутствие финансового мотива и признаков интернет-мошенничества. 

В 2011 г. заместитель командующего военизированного ополчения Basij Али Фазли признал причастность хакеров, связанных с Basij, к кибератакам на сайты «врагов Ирана». Западными источниками указывалось также на факты организованного и скоординированного использования компьютеров и аккаунтов лиц, находящихся под надзором КСИР, для проведения хакерских атак. 

В числе хакерских групп, наиболее активно действующих в отношении иранских пользователей, можно выделить Iranian Cyber Army (проводила акции мониторингу и блокированию сайтов, связанных с иранской политической оппозицией, а также блокирование соцсети Twitter на территории Ирана), Army of the Sun/Sun Army (проводила хакерские атаки на сайты оппозиционных партий, операции по взлому и блокированию аккаунтов иранских пользователей в соцсетях «Twitter», «Facebook» и др.), Magic Kitten (мониторинг и хакерские атаки на сайты, почтовые аккаунты, форумы и блоги иранских журналистов, деятелей культуры, общественных активистов и правозащитников, кражи учетных записей иранских пользователей на сервисах Google и Gmail), Flying Kitten/Rocket Kitten (мониторинг интернет-сервисов, хакерские атаки на мессенджер Telegram), Infy (мониторинг контента иранских пользователей, хакерские атаки на сайты иранских оппозиционных партий и правозащитных организаций, национальных меньшинств и иранских диаспор за рубежом).

Автор: Артур Хетагуров

Независимый аналитик рынков вооружений, эксперт РСМД





Опубликовано: legioner     Источник

Похожие публикации для статьи "Кибермощь Ирана"


1 комментарий

  1. {text_stat}
    Николай Черняк

    ))) краткость.. это ведать для автора не ведома))) 

    Николаичь
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Новости партнеров

Наверх