Данные «Лаборатории Касперского» подтверждают актуальность киберугроз, направленных на мобильные устройства, для Ирана. В 2022 году Иран вошел в тройку стран с наибольшей долей пользователей, подвергшихся атакам мобильного вредоносного ПО (Иран — 14,53%, Сирия — 15,61%, КНР — 17,7%). Наиболее часто встречающейся мобильной киберугрозой в Иране в 2022 году был Trojan-Spy.AndroidOS.Agent.aas — это модификация WhatsApp, содержащая шпионский модуль. В 2023 году в стране доминировал вредонос Trojan.AndroidOS.Hiddad.da (97,39%), реализующий не только функции копирования информации, но и ее уничтожения, модификации и блокировки. На первое полугодие 2024 года активность вредоносного приложения Trojan-Spy.AndroidOS.SmsThief.tt, реализующего электронный шпионаж за пользователями, в Иране составила 96,88%.
В 2023 году исследователи из Zimperium обнаружили более 200 поддельных мобильных Android-приложений, которые имитируют крупные иранские банки, чтобы украсть информацию у их клиентов. Все приложения были доступны для загрузки в период с декабря 2022-го по май 2023 года, они собирали учетные данные для входа в интернет-банкинг и данные кредитных карт, обеспечивали свое сокрытие и перехватывали входящие SMS-сообщения, используемые для многофакторной аутентификации.
Для Ирана шпионская кампания 2023 года, направленная на пользователей мобильных устройств, не первая. В 2021 году широко распространилась кампания по SMS-фишингу («смишингу»), в рамках которой злоумышленники выдавали себя за иранские государственные службы. Метод реализации кибератаки включал социальную инженерию и использование вредоносного ПО: жители получали SMS якобы от государственных служб, в SMS была размещена ссылка, при переходе по которой пользователи попадали на фишинговый веб-сайт и получали уведомление о поданной против пользователя жалобе. Затем у пользователя запрашивались его личные данные, такие как имя, номер телефона и национальный код, чтобы перейти к электронной системе и избежать посещения офлайн-отделения из-за ограничений, введенных при пандемии COVID-19.
Среди мобильного вредоносного ПО в Иране можно отдельно выделить категорию зловредов, использующих легальные VPN-сервисы либо мимикрирующих под VPN приложения. Такой тип киберугроз — региональная особенность, связанная с широким распространением VPN-сервисов среди молодежи.
В 2023 году часть иранских пользователей была атакована с помощью вредоносной рекламы поддельных VPN. Исследователи из Trend Micro обнаружили вредоносную программу для кражи информации под названием OpcJacker, основные функции которой включают в себя кейлоггинг, создание скриншотов, кражу конфиденциальных данных из браузеров, загрузку дополнительных модулей и замену криптовалютных адресов в буфере обмена для кражи.
Пользователи легитимного, широко распространенного в Иране VPN-сервиса 20Speed VPN были атакованы с использованием ПО EyeSpy — инструмента для онлайн-слежки, разработанного и распространенного в Иране. Судя по объявлениям в дарквебе, тренд на использование VPN для реализации кибератак распространится и на организации: есть объявления, в которых говорится о предоставлении доступа через VPN.
Рисунок 39. Пример объявления о продаже доступа через VPN к ресурсам промышленной организацииСпециалисты экспертного центра Positive Technologies отмечают, что многие из зафиксированных ими в Иране вредоносных программ имитировали VPN-сервисы, например вредоносное ПО Warp Plus, Psiphon, Warp-Plus GUI и другое.
Аналитики Trend Micro также отмечают активность вредоносного ПО, маскирующегося под VPN-инструмент GlobalProtect компании Palo Alto Networks, в ближневосточном регионе. Исходный вектор кибератак с использованием этого вредоноса пока неизвестен. Предполагается, что злоумышленники используют фишинг, чтобы убеждать жертв в том, что они устанавливают настоящий GlobalProtect.
Еще одной региональной особенностью Ирана является легализация криптовалюты. Информационное издание Cybernews осветило яркий пример инцидента безопасности 2024 года, связанного не с хакерскими кибератаками, а с некорректными настройками. Инцидент произошел с иранской криптовалютной биржей, поддерживающей более 300 монет и токенов. В результате некорректной настройки экземпляра MinIO (высокопроизводительной системы хранения объектов) был предоставлен доступ к контейнерам облачного хранения, содержащим данные платформы know your customer (KYC). При взаимодействии с платформой пользователи должны подтверждать свою личность, загружая официальные документы. Ошибка в конфигурации MinIO скомпрометировала около 230 000 иранских граждан, раскрыв их письменное согласие на регулирование, а также паспорта, удостоверения личности и кредитные карты.
Данные дарквеба за 2024 год подтверждают растущую заинтересованность хакеров в криптовалютных сервисах. Так, в дарквебе замечены объявления о продаже данных, принадлежащих иранской компании, чья деятельность лежит в сфере криптовалют и блокчейна.
Рисунок 40. Скриншот объявления в дарквебе о продаже данных и доступа к криптовалютной компанииВ продаваемой базе данных содержались:
сообщения и чаты (код активации и ПИН-код/OTP, сообщения в службу поддержки и т. д.);
информация о пользователе (имя пользователя, пароль, имя и фамилия, пол, номер телефона, национальный идентификатор, IP-адрес, агент пользователя и т. д.);
информация о поисковых параметрах пользователя (город, провинция, фильтры поиска, диапазон времени поиска, идентификатор пользователя, IP-адрес и т. д.).
В указанную автором объявления стоимость (800 $), помимо данных, входит также Shell-доступ к поддомену.