Федеральное бюро расследований США (ФБР) опубликовало экстренное предупреждение о продолжающейся многолетней кибершпионской кампании, которую проводят оперативники Министерства разведки и национальной безопасности Ирана. В отличие от масштабных атак на критическую инфраструктуру, эта кампания нацелена на конкретных людей: иранских диссидентов, журналистов, оппозиционные группы по всему миру и любого, кого Тегеран считает угрозой. Уникальность угрозы заключается в использовании популярного мессенджера Telegram в качестве центра управления вредоносным ПО, что позволяет злоумышленникам эффективно маскировать свою деятельность и собирать разведывательные данные. В условиях текущей геополитической напряжённости этот отчёт служит напоминанием о том, как государства используют киберпространство для подавления инакомыслия за пределами своих границ.
Описание
Согласно данным ФБР, активность отслеживается с осени 2023 года. Злоумышленники используют многоэтапное вредоносное ПО, нацеленное на компьютеры под управлением Windows. Первый этап атаки - это социальная инженерия. Оперативники вступают в контакт с жертвой через мессенджеры, выдавая себя за знакомых человеку или за техническую поддержку платформы. После установления контакта они убеждают цель принять и открыть файл. Этот файл и является первой стадией вредоносной программы, которая маскируется под легитимное и часто используемое ПО, такое как менеджер паролей KeePass, видеоредактор Pictory или даже сам клиент Telegram. Такая кастомизация под интересы жертвы указывает на проведённую заранее разведку.
После запуска файла-приманки на компьютер жертвы устанавливается вторая, более опасная стадия - постоянный имплант. Его ключевая функция - создание канала связи с серверами управления. Именно здесь в игру входит Telegram. Вредоносная программа использует API Telegram для связи с ботами, созданными злоумышленниками. Этот канал обеспечивает двустороннюю коммуникацию между скомпрометированным устройством и управляющим сервером, позволяя операторам удалённо выполнять команды. Как сообщает ФБР, через этот канал происходит сбор данных: экранов, аудиозаписей (в частности, во время сессий в Zoom), файлов из кэша и других документов. Собранная информация сжимается с паролем и отправляется на контролируемые злоумышленниками ресурсы.
Последствия таких компрометаций выходят далеко за рамки простого сбора данных. Полученная информация используется для целенаправленных операций по компрометации и дискредитации. ФБР связывает эту кампанию с онлайн-группой "Handala Hack", которая в июле 2025 года взяла на себя ответственность за хакерскую атаку и утечку данных против лиц, критикующих позицию иранского правительства. Бюро считает, что часть информации, обнародованной группой, была получена именно с помощью этого вредоносного ПО. Такая тактика - сочетание технического взлома с последующей утечкой искажённой или выборочной информации через подконтрольные медиа - типична для иранских государственных Advanced Persistent Threat (APT, устойчивые целевые угрозы). Цель - нанесение максимального репутационного и политического ущерба оппонентам режима.
С технической точки зрения, кампания демонстрирует высокий уровень адаптивности. Помимо основного импланта, на заражённых компьютерах часто обнаруживаются дополнительные модули с узкоспециализированными функциями, такими как запись экрана или шифрование файлов для эксфильтрации. Для обеспечения закрепления в системе вредоносное ПО прописывается в реестре Windows для автоматического запуска и использует методы обхода защиты, например, исключает свои каталоги из проверок антивирусным ПО. Использование публичной инфраструктуры Telegram в качестве платформы управления усложняет обнаружение атаки традиционными сетевыми средствами защиты, так как такой трафик может сливаться с легитимным.
Рекомендации ФБР, приложенные к отчёту, носят общий характер, но в контексте этой угрозы приобретают особую значимость. Ключевая мера защиты - критическое отношение к любым файлам, полученным через мессенджеры, даже от, казалось бы, знакомых отправителей. Особую осторожность следует проявлять журналистам, активистам и членам диаспор, которые могут быть потенциальными целями государственного кибершпионажа. Помимо базовой гигиены цифровой безопасности - регулярного обновления ПО, использования антивирусов, многофакторной аутентификации и загрузки программ только из официальных источников - важно осознавать риски, связанные с использованием публичных мессенджеров для конфиденциальных обсуждений.
Данный инцидент иллюстрирует тренд на слияние инструментов классического шпионажа с возможностями цифровой эпохи. Государственные акторы всё чаще используют не только сложные технические эксплойты, но и простые, но эффективные методы социальной инженерии, нацеленные на человеческий фактор. Угроза сохраняется, и, как показывает отчёт ФБР, она адаптируется, используя повсеместно распространённые и доверенные платформы для своих целей. Для целевых групп это означает необходимость постоянной бдительности и принятия продвинутых мер защиты, выходящих за рамки обычных пользовательских практик.
Индикаторы компрометации
MD5
- 1e6b601f733bc40eaa58916986bfc5b9
- 2965817d063f1e8f9889f9126443d631
- 3e7a2fcef1d038d05b20148c573a6499
- 481c5b5e69a08c3df206c59fd8ddc0dc
- 7402f2f9263782a4c469570035843510
- 7e23ffadb664b0e53d821478a249d84c
- a3394ef7ffa7e88b2e7efaee4617fe04
- b9086413e7b6a0c6a11c25d14c22615f
- d70ebf20e3d697897bad5bebf72ea271
- e51ff37fb431767dcdec0b5e6d2a786a
- ebdd9595b79b39f53909d862499dbc94
- f8b5554808428291acc65d1fd2efe01c
