Геополитическая эскалация на Ближнем Востоке активизировала киберугрозы от иранских APT-групп

По данным телеметрии, собираемой компанией Nozomi Networks, активность иранских APT-групп уже демонстрирует системный рост на фоне текущих событий. В течение последних двух недель наиболее целевыми отраслями, как и в предыдущую фазу конфликта, остаются обрабатывающая промышленность и транспорт. Среди ключевых игроков, отслеживаемых аналитиками, - группы MuddyWater, OilRig и APT33. MuddyWater, также известная как APT34, действует предположительно в интересах Министерства разведки и безопасности Ирана и более десяти лет специализируется на цифровом шпионаже против государственных структур, телекоммуникационных и энергетических компаний. Группа известна использованием фишинга, скомпрометированных учётных данных и тактик «жизни за счёт земли» (Living off the Land), когда для скрытного перемещения по сети злоумышленники применяют легитимные административные инструменты операционной системы.

Группа OilRig (или APT34) также является иранской государственной группировкой, чья деятельность сосредоточена на шпионаже в правительственном секторе, финансовых услугах и энергетике. Её методы во многом схожи: целевая рассылка, сбор учётных данных и установка специализированных бэкдоров для закрепления в системе. В свою очередь, APT33 исторически связывают с операциями в поддержку военных и стратегических целей Тегерана, её мишенями часто становятся аэрокосмическая и авиационная отрасли. Помимо них, эксперты отслеживают активность группы UNC1549, которая в конце 2025 года входила в число наиболее заметных угроз, фокусируясь на объектах оборонной промышленности и телекоммуникациях. Анализ этих групп показывает, что они обладают значительным арсеналом для проведения как разведывательных, так и потенциально разрушительных операций, что особенно опасно в текущих условиях.

Тревогу вызывает общее состояние защищённости организаций в регионе, которое, согласно обезличенной телеметрии, оставляет желать лучшего. По состоянию на март 2026 года доля уязвимостей с высокой и критической оценкой по шкале CVSS среди недавно обнаруженных в регионе составляет 61%, что значительно превышает глобальный средний показатель в 48%. Кроме того, доля уязвимостей с высокой вероятностью эксплуатации (EPSS score >1%) в два раза выше мирового уровня. Это означает, что атакующие имеют более широкую поверхность для атаки, а многие системы не успевают своевременно патчиться. При этом важно понимать, что даже физическое разделение сетей (air-gapping), если оно реализовано, не является панацеей без эффективного управления уязвимостями и строгого контроля доступа.

Анализ используемых злоумышленниками тактик, техник и процедур (TTP), соотнесённых с матрицей MITRE ATT&CK, указывает на то, что многие операции находятся на ранней, разведывательной стадии. В топ-5 наблюдаемых техник за последние две недели вошли использование учётных записей по умолчанию, применение валидных учётных записей, перебор паролей и сканирование сетей. Эта картина типична для фазы разведки и закрепления в системе, когда противник стремится незаметно изучить окружение, определить ценные активы и создать плацдарм для будущей эскалации атак. Данный период является критическим окном возможностей для защищающейся стороны, поскольку своевременное устранение слабых мест может сорвать планы злоумышленников до того, как они перейдут к краже данных или разрушительным действиям.

В условиях повышенной угрозы эксперты рекомендуют немедленно принять ряд практических мер. Во-первых, необходимо активировать режим непрерывного мониторинга и повысить чувствительность систем оповещения к активности, связанной с иранскими APT-группами. Во-вторых, критически важно обеспечить оперативное обновление сигнатур и рекомендаций на основе актуальной разведки об угрозах, что позволяет использовать коллективный опыт сообщества для выявления новых тактик противника. В-третьих, требуется срочно сократить внешнюю поверхность атаки: устранить уязвимости, сменить стандартные учётные данные, особенно на устройствах промышленного интернета вещей (IIoT) и операционных технологий (OT), которые часто поставляются с заводскими паролями. В-четвёртых, следует провести ревизию рисков для промышленных сетей, проверив корректность сегментации между IT и OT. Наконец, необходимо перенастроить системы кибербезопасности, убедившись, что они учитывают нормальное поведение промышленных протоколов и что все актуальные детекты угроз активны.

Таким образом, текущая эскалация на Ближнем Востоке подтверждает, что киберпространство стало неотъемлемой частью современного гибридного конфликта. Иранские угрозы, сочетающие шпионаж, дестабилизацию и потенциально разрушительные воздействия, представляют реальную опасность для непрерывности бизнеса и национальной безопасности далеко за пределами непосредственной зоны боевых действий. Результаты мониторинга Nozomi Networks показывают рост активности и уязвимость инфраструктуры, что делает немедленные и решительные действия по укреплению обороны критически важными. Для организаций в регионе и по всему миру, чья деятельность связана с целевыми секторами, готовность в цифровой сфере перестала быть опцией - это основа операционной устойчивости в нестабильную эпоху, где граница между физическим и цифровым полем боя окончательно стёрта.

IPv4

• 37.1.213.152
• 184.75.210.206
• 162.0.230.185