Три месяца боевых действий на Ближнем Востоке кардинально изменили ландшафт киберугроз. Вопреки прогнозам, основная опасность исходит не от хорошо известных группировок, связанных с Корпусом стражей исламской революции (КСИР), а от новых, почти бесконтрольных прокси-акторов, действующих за пределами Ирана. Сводка разведывательных данных за последнюю неделю фиксирует три события, которые требуют немедленного внимания со стороны руководителей служб безопасности. Речь идет о появлении у иранских прокси буткит-вайперов, физическом ударе по облачной инфраструктуре и целенаправленном уничтожении промышленных контроллеров без применения вредоносного ПО.
Описание
В конце мая компания ESET опубликовала отчет, в котором описала две ранее неизвестные кластеры атакующих - Rusty Boots и MoKhargosh. Документ подтверждает, что эти группы обладают не только шпионским инструментарием, но и деструктивным потенциалом. Самый тревожный вывод заключается в том, что Rusty Boots использует буткит-вайпер. Речь идет о вредоносной нагрузке, которая внедряется в загрузочную запись системы. Такая техника (в классификации MITRE ATT&CK она обозначена как T1542.003) ранее считалась прерогативой исключительно государственных структур, в частности Sandworm. Буткит-вайпер способен пережить переустановку операционной системы и даже форматирование диска. Это означает, что стандартная процедура реагирования на инцидент - снятие образа системы и восстановление из бэкапа - становится бесполезной. Для защиты от подобных атак необходим мониторинг целостности прошивок и загрузчика на уровне аппаратного обеспечения.
Параллельно с этим произошло событие, которое переводит гибридные угрозы в новую плоскость. Тринадцатого мая Иран нанес кинетический удар по облачному дата-центру Amazon в Бахрейне. Инфраструктура Oracle в Дубае также могла пострадать. Речь идет не о кибератаке, а о физическом уничтожении вычислительных мощностей как акте войны. Для любой организации, размещающей рабочие нагрузки в регионе Персидского залива, это фундаментальное изменение модели угроз. Планы аварийного восстановления, которые предполагают отказоустойчивость только в пределах региона Ближнего Востока, теперь смертельно опасны. Государственные и военные системы, работающие в AWS Bahrain, Oracle Dubai или Azure UAE, находятся под прямым риском.
Третья и, пожалуй, самая коварная угроза исходит от группы HYDRO KITTEN (известной также как Cyber Av3ngers). Это подразделение киберэлектронного командования КСИР (IRGC-CEC) специализируется на атаках на промышленные системы управления (ICS) и объекты критической инфраструктуры (OT). Двадцать пятого мая операторы HYDRO KITTEN уничтожили компрессоры на предприятии по производству продуктов питания. Для этого они не использовали вредоносное ПО и эксплойты. Злоумышленники просто вошли в систему с использованием легитимных учетных данных и изменили параметры работы программируемых логических контроллеров (PLC) Rockwell Allen-Bradley. Атака класса "приманка" - когда атакующий использует штатные средства системы против нее самой - практически невидима для классических средств защиты конечных точек (EDR) и систем управления событиями безопасности (SIEM). Единственный способ обнаружить такое вторжение - поведенческий мониторинг изменений уставок промышленных контроллеров в нерабочее время.
Список уязвимостей, которые HYDRO KITTEN активно использует для первоначального проникновения, пополнился до семи позиций. Среди них известные проблемы в межсетевых экранах PAN-OS, FortiGate, SonicWall, а также в Ivanti и OpenSSH. Группа применяет кастомное вредоносное ПО - бэкдор IOControl, программу-вымогатель Crucio и собственные вайперы на языках C++ и Go. Особую тревогу вызывает тот факт, что HYDRO KITTEN обменивается инструментарием с другой группой IMPERIAL KITTEN. Это указывает на операционную координацию между подразделениями КСИР.
Не стоит сбрасывать со счетов и шпионскую активность. Кластер UNC6446, также аффилированный с Ираном, развернул против оборонных и правительственных организаций Турции и Саудовской Аравии новый набор инструментов, написанных на Go. Среди них - прокси-клиент DUSTYPROXY и бэкдор ERIESNAKE.GO. Последний использует нетипичный канал управления: он передает данные по незашифрованному протоколу HTTP через 443-й порт. Это грубое нарушение нормальной сетевой активности, которое должны ловить системы обнаружения вторжений. Однако сам факт того, что злоумышленники применяют такой метод, говорит об их уверенности в том, что их не смогут обнаружить.
Еще один тревожный сигнал - 69-дневное операционное молчание группы Fox Kitten (Pioneer Kitten). Во время активного конфликта такое затишье почти наверняка означает, что атакующие уже закрепились в инфраструктуре жертв и ждут команды на активацию. С высокой вероятностью в ближайшие три недели мы увидим либо деструктивную операцию, либо продажу доступа брокерам. Учитывая, что Fox Kitten исторически быстро эксплуатирует уязвимости в продуктах Ivanti, стоит ожидать скорого появления эксплойтов для четырех недавно раскрытых CVE (CVE-2026-5786/5787/5788/7821).
Что это значит для бизнеса и государства? Во-первых, любой оператор критической инфраструктуры, использующий контроллеры Rockwell, должен немедленно провести аудит версий RSLogix 5000 и принудительно включить аутентификацию. Во-вторых, отделы DevOps обязаны перевести все ссылки на GitHub Actions с версий тегов на фиксированные хэши коммитов - CI/CD-пайплайны стали приоритетной целью, что подтверждается недавними атаками на репозиторий Nx Console и библиотеку axios. В-третьих, планы обеспечения непрерывности бизнеса должны учитывать сценарий физического уничтожения целой облачной зоны.
Самый опасный вывод из этого отчета - не то, что мы можем атрибутировать, а то, чего мы пока не видим. Буткит-вайперы в руках плохо контролируемых прокси, уничтожение заводского оборудования без единого вредоносного файла и физические удары по серверам - это не набор разрозненных инцидентов, а признаки системного изменения модели угроз. Устаревшие процедуры реагирования, которые полагаются на переустановку системы, больше не работают. Организациям необходимо в срочном порядке внедрять мониторинг прошивок, поведенческий анализ промышленных сетей и разрабатывать планы на случай кинетического уничтожения облачных дата-центров. Затягивание с этими мерами может стоить не только данных, но и реального производства.
Индикаторы компрометации
IPv4
- 104.238.248.35
- 212.232.22.104
- 216.73.157.70
- 91.222.173.6
- 94.158.244.206
Domains
- clothingshop.live
- cmdhubs.uk
- codeteamhub.com
URLs
- http://clothingshop.live:443/medias/fileman/
- http://clothingshop.live:443/webapi/
- http://clothingshop.live:443/webapi/api/
- http://clothingshop.live:443/webapi/fpi/
- http://swimmingsport2022.info
MD5
- 06cb6f3bcf64b5c571aab4b89db5b84f
- 4b4cb57bc4aa1ba60cf67a065ba55151
- 91acab55a3f04af3d105cc0053ba3f7a
- c8f168efa270f6ffbd899d9e1689c4fc
- d9570591f514594fd2262d53110edc0c
- e275b96af7936f0c61b254bc9eed954a
- eed66fe72a8a8c2ea98209cd09a35b90
- f1a24a156ed792cfd21e3361d9fcd045
- fc83a07c272ea3033cc23803ef37a98f