Деятельность относительно новой хакерской группировки Nasir Security, предположительно связанной с Ираном, демонстрирует эволюцию тактики киберопераций в условиях регионального конфликта. Вместо прямых атак на критическую инфраструктуру группа фокусируется на менее защищённых звеньях - подрядчиках и поставщиках услуг для крупных энергетических компаний. Целью становятся инжиниринговые, строительные и охранные предприятия, чьи системы содержат конфиденциальные данные их клиентов. Этот подход позволяет злоумышленникам получать доступ к аутентичным документам, искажая при этом истинный источник компрометации и раздувая масштабы инцидентов в пропагандистских целях. Подобные атаки на цепочки поставок создают значительные риски для энергетического сектора стран Персидского залива, усугубляя и без того сложную операционную обстановку.
Описание
Группа Nasir Security впервые заявила о себе в октябре 2025 года, атаковав израильскую ИТ-компанию Taldor. Тогда злоумышленники опубликовали скриншоты, подтверждающие доступ к облачным сервисам FortiGate и другим решениям, и заявили о компрометации данных, связанных с оборонным сектором. Однако, по данным экспертов, реальный ущерб был минимальным, а активность быстро купирована. После длительного перерыва, совпавшего с эскалацией конфликта в регионе, группа возобновила операции, сменив фокус на энергетику. В марте 2026 года на её сайте появились заявления о взломе таких компаний, как Dubai Petroleum (ОАЭ), CC Energy Development (Оман) и ряда других организаций в сфере нефти и газа. Группа утверждала о хищении сотен гигабайтов данных, включая схемы, контракты и отчёты по оценке рисков.
Однако угрозы, согласно анализу специалистов, были сильно преувеличены. Исследователи из Resecurity в своём отчёте указывают, что данные, вероятнее всего, были похищены не напрямую у энергетических гигантов, а у их подрядчиков, например, у поставщика систем пожарной сигнализации и безопасности. Это классическая атака на цепочку поставок, когда слабое звено в экосистеме партнёров используется для косвенного доступа к более ценной цели. Аутентичность некоторых документов не вызывает сомнений, что повышает правдоподобность заявлений хакеров, но истинный масштаб компрометации ключевых компаний остаётся под вопросом. Основная тактика группы включает целенаправленный фишинг для компрометации корпоративной почты, имперсонацию сотрудников и эксплуатацию уязвимостей в публично доступных веб-приложениях с последующим хищением данных из недостаточно защищённых облачных хранилищ.
Мотивация Nasir Security, судя по всему, носит идеологический, а не финансовый характер. Группа использует откровенно антисемитскую риторику, называя себя то "Сынами Хезболлы Ливан", то "Сынами ан-Нусайра", а в последних сообщениях - "Сопротивлением ан-Насир". Такая смена вымышленных названий и привязка к различным реальным политическим и религиозным группам региона являются частью кампании по дезинформации. Цель - создать неопределённость в отношении истинных исполнителей, раздуть воспринимаемую мощь киберспособностей Ирана и его прокси-сил, а также посеять панику и недоверие среди союзников США в регионе. Отсутствие попыток шантажа или выкупа у пострадавших компаний также подтверждает пропагандистскую, а не криминальную подоплёку.
Несмотря на явно раздутую пропагандистскую составляющую, сама по себе тактика представляет серьёзную практическую угрозу. Похищенные у подрядчиков документы - схемы объектов, отчёты по безопасности, контракты - являются ценным разведывательным активом. Они могут быть использованы для планирования будущих, уже физических атак на ключевые объекты инфраструктуры, такие как нефтяные месторождения или трубопроводы. Понимание того, какое оборудование критически важно и имеет длительные сроки поставки, позволяет спланировать удар, который нанесёт максимальный долгосрочный ущерб. Кроме того, сами файлы могут быть использованы как оружие: например, инженерные чертежи, заражённые вредоносным кодом, могут быть разосланы сотрудникам компаний-партнёров для проникновения в их сети.
Повышенная активность группы после долгого молчания напрямую коррелирует с текущим геополитическим конфликтом. Это указывает на использование киберпространства как дополнительного театра военных действий для ведения психологических операций. Хотя прямого значимого ущерба критической инфраструктуре нанесено не было, деятельность Nasir Security чётко обозначает приоритетную цель для подобных групп - IT- и OT-цепочки поставок. Уязвимости у подрядчиков, часто обладающих менее зрелыми системами защиты, становятся "низко висящими плодами". Эксперты подчёркивают необходимость для компаний энергетического сектора и других критических отраслей усилить мониторинг киберрисков у третьих сторон и поставщиков. Тщательная оценка безопасности партнёров, сегментация сетей и повышение осведомлённости сотрудников о целевых фишинговых атаках являются ключевыми мерами для противодействия подобным угрозам, которые, вероятно, будут только нарастать.
Индикаторы компрометации
URLs
- http://yzcpwxuhbkyjnyn4qsf4o5dkvu6m2fyo7dwizmnlutanlmzlos7pa6qd.onion
