Группы хакеров, которых связывают с иранским государством, в последние месяцы усилили кибератаки против объектов критической инфраструктуры США. Об этом говорится в исследовании компании Nozomi Networks, опубликованном на фоне обострения конфликта между Ираном и Израилем.
Среди активных группировок аналитики выделяют MuddyWater, APT33, OilRig, CyberAv3ngers, FoxKitten и Homeland Justice. По данным Nozomi, в мае и июне эти структуры предприняли не менее 28 атак против американских организаций, преимущественно в сферах транспорта и промышленного производства. Для сравнения, в марте и апреле таких атак было зафиксировано всего 12. Исследователи подчёркивают, что в текущем периоде компании из США стали главной целью злоумышленников.
Наиболее активной оказалась группировка MuddyWater — на её счету попытки взлома пяти компаний. APT33 атаковала три цели, остальные группировки — по две. При этом география атак MuddyWater охватывает также Великобританию, Италию, Турцию, Саудовскую Аравию, Пакистан, Индию и ряд других стран. APT33 сосредоточилась на США, Израиле, Нидерландах, Швейцарии и Саудовской Аравии. По данным Nozomi, CyberAv3ngers, действующая под эгидой Корпуса стражей исламской революции, атакует только цели в США, Израиле и на Украине.
Аналитики напоминают, что ранее Агентство по кибербезопасности и инфраструктурной защите США (CISA) выпустило предупреждение о возможных попытках Ирана использовать киберпространство для ответных действий на фоне участия Вашингтона в ближневосточном конфликте. CISA указала, что проиранские группы и хактивисты часто эксплуатируют уязвимости в устаревшем программном обеспечении, а также используют стандартные или дефолтные пароли в интернет-подключённых системах.
В последние недели пропалестинские и проиранские структуры взяли на себя ответственность за DDoS-атаки на банки, оборонные компании и энергетические предприятия США. Отдельное внимание эксперты уделяют активности CyberAv3ngers — эта группировка известна взломами промышленных систем, управляющих водоснабжением и другими объектами инфраструктуры как в США, так и за их пределами.
В Nozomi напоминают, что подобная активность уже фиксировалась в предыдущие годы. Так, в 2021 году при обнаружении уязвимостей в Microsoft Exchange и Fortinet CISA предупреждала, что ими активно пользуются иранские хакеры, в том числе при атаках на транспортные и медицинские учреждения. А в 2020 году Bitdefender сообщала о попытках иранских групп получить доступ к системам авиационных компаний на Ближнем Востоке.