Кибервойна Ирана (часть 1)

Начало, продолжение - в №2 (67) 2021

Применение кибертехнологий приобретает все большее значение в русле реализации гибридных и асимметричных стратегий Ирана. После атаки компьютерного червя Stuxnet (Стакснет) Иран перешел к развертыванию собственных наступательных операций.

 

С 2012 года иранские кибератаки не раз ставили под угрозу чувствительные цели в США и на Ближнем Востоке. Операции в Абабиле и Шамуне подтвердили технологические возможности Ирана, обладающие реальным разрушительным потенциалом и зачастую превосходящие западные средства киберзащиты.

От мягкой войны к кибервойне

В 1993 году Иран одним из первых среди стран Ближнего Востока получил доступ к сети Интернет и вошел в число наиболее развитых государств региона в сфере цифровых технологий. К 2000-м использование интернета было уже широко распространено среди иранского населения. Однако развитие информационных технологий правительство рассматривало как угрозу распространения американского вредоносного политического контента, направленного против режима. Использование интернета населением означает предоставление противнику возможности вести информационную войну против руководства страны.

США опередили Иран, первыми разработав защиту киберпространства и заняв место в авангарде мировых информационных технологий. Сосредоточение наиболее влиятельных компаний, работающих в сфере IT (Facebook, Microsoft, IBM), на территории США обеспечивает их доминирующие позиции в мире и одновременно усиливает опасения Ирана в отношении информационной безопасности Исламской Республики. Правительство осознает, что медиа, социальные сети и программное обеспечение могут использоваться противниками в целях ослабления имиджа властных структур внутри страны. Аятолла Хаменеи сокрушался, что «информационная инженерия и новые средства массовой коммуникации, вышедшие на арену, – все это инструменты доминирования над национальной культурой страны». «Интернет, киберпространство, информационные технологии – не должны быть в руках врага. Тем не менее, сегодня они в его руках. Сегодня сетевая среда является инструментом и орудием проникновения в культуру, инструментом культурного господства врага». Также Аятолла Хаменеи в ноябре 2009 года охарактеризовал мягкую войну как «смесь культурных мер и передовых средств коммуникации для распространения лжи и слухов, а также для сеяния сомнений и разногласий среди людей».

Эти подозрения усилились в связи с событиями «арабской весны», когда социальные сети, созданные американскими компаниями, использовались для сбора населения на демонстрации против правящей власти. Бригадный генерал Корпуса стражей исламской революции (КСИР) Эсбати определил эту информационную войну как «программное обеспечение для мозга», ветвь гибридной войны, сочетающую информационные и психологические инструменты для дестабилизации иранского правительства и учреждений изнутри.

Необходимость в проведении Ираном собственной киберполитики подтвердили события 2009 года. Тогда демонстранты обвинили действующего президента Махмуда Ахмадинежада в фальсификации выборов. Иранские спецслужбы отметили роль, которую сыграли в организации волнений западные компании Twitter, Facebook, Telegram и WhatsApp. А правительство Исламской Республики расценило происходящее как вмешательство США в свободные выборы и попытку ослабить иранскую государственность. Власть попыталась прекратить внешнее давление на страну, ограничив доступ населения к зарубежным сетевым ресурсам. Под информационные ограничения подпали либеральные издания, оппозиционные политики, блогеры и радиостанции, вещавшие из-за границы. В некоторых операциях были задействованы хакеры – они занялись поиском и распознаванием участников демонстраций. DDOS-атаки и перехват контроля над сайтами оппонентов обеспечили независимые группы «Электронная армия Ирана» и Asiyane.

 

«Необходимо, чтобы наращивание кибернетического потенциала соответствовало государственным интересам, состоянию общества, экономики и культуры. Программы технологического развития не должны превращаться в средства вмешательства во внутренние дела других стран»

Заявление генерального штаба вооруженных сил Исламской республики Иран о международных нормах урегулирования в киберпространстве

 

Иранским спецслужбам приписывают взлом базы голландского центра сертификации Digi Notar в 2011 году. Целью атаки стали данные 300 000 пользователей почтового сервиса Gmail, проживающих в Иране.

За последнее десятилетие в стране были арестованы несколько блогеров, самый известный из них – Оссейн Дерахшан.

«Иран, как и Китай, исходит из того, что методы контроля интернета не должны отставать от развития сетевых технологий», – объясняет активист инициативы Open Net, профессор права, преподаватель юридического факультета Гарвардского университета Джон Палфри. По его оценке, иранским блогерам, пишущим на фарси, труднее донести информацию до своих читателей, чем жителям большинства других стран.

Во многом причиной укрепления цифрового суверенитета Ирана, так же как России и Китая, становится вмешательство в их киберпространство Соединенных Штатов. Ирану уже удалось разработать и внедрить несколько собственных платформ, способных конкурировать с западными. Видеохостинг Aparat заменил Youtube, а Face Name функционирует вместо Facebook. Некоторые мессенджеры были запрещены в Иране из-за отказа разместить серверы на его территории. С 2010 года Исламская Республика работает над созданием собственной сети SHOMA, доступной только иранским пользователям. Одновременно идет борьба с технологиями VPN и Tor, предоставляющими неконтролируемый доступ к любым сетевым ресурсам.

 

Америка развязала полномасштабную кибервойну против Ирана

Голамреза Джалали,
начальник иранского управления гражданской обороны

 

«Особенность программного обеспечения Tor в том, что оно позволяет пользователям действовать в интернете анонимно, – объясняет исполнительный директор проекта Эндрю Льюман. – Но теперь Иран проводит глубокую фильтрацию трафика, это дает возможность контролировать и при необходимости блокировать любой контент. С 2010 года специалисты Tor собрали достаточно подтверждений подобной активности. Теперь ограничения действуют по всему Ирану, а блокировка с каждым годом может коснуться все большего объема информации».

Контролируется и деятельность частных интернет-провайдеров. Их вынуждают сотрудничать с монополистом иранского рынка телекоммуникаций компанией TCI, в ее ведении находятся интернет и мобильные сети. Такая схема позволяет управлять скоростью передачи информации по всему Ирану. Как правило, национальная сеть SHOMA работает быстрее, а интернет медленнее. В дни выборов и митингов ухудшается работа всех сетей; когда ситуация нормализуется – скорость обмена данными восстанавливается. Когда в Иране начались выступления против роста цен на нефть, правительство и вовсе отключило интернет на несколько дней.

Ужесточаются и законы против преступлений в сфере информационных технологий. Последняя редакция законодательства предусматривает наказания за электронные публикации и регламентирует контроль за ними. В иранских городах действует много интернет-кафе, но их владельцы обязаны собирать личные данные клиентов и устанавливать видеокамеры для контроля посетителей.

Тем не менее, технический прогресс в западных странах опережает меры, принимаемые Ираном. Доступ населения к социальным сетям растет, дыры в системах безопасности становятся заметнее. Поэтому Иран переходит в наступление.

После Stuxnet

Поворотным моментом в кибернетическом противостоянии держав считается атака сетевого червя Stuxnet. В 2008 году администрация Джорджа Буша была озабочена перспективами иранской ядерной программы. Но реакция мирового сообщества на оккупацию Ирака делала военную операцию еще и против Ирана невозможной. Тогда генерал Джеймс Картрайт, один из ведущих военных экспертов США, предложил отрезать систему обогащения урана в иранском городе Нетензе от интернета. План был реализован уже при Обаме; по некоторым источникам, в разработке и внедрении червя участвовало израильское подразделение радиоэлектронной разведки под кодовым названием 8200. Вирус проникал в сеть обогащающего предприятия через порт USB, то есть союзникам пришлось внедрить на иранское предприятие диверсанта. Иранским специалистам удалось обнаружить Stuxnet только через несколько месяцев, все это время червь передавал данные в США и разрушал систему контроля предприятия. Из строя были выведены от 1000 до 5000 газовых центрифуг – важнейших элементов технологической цепочки. Позже Хилари Клинтон заявила, что Stuxnet отбросил иранскую ядерную программу на несколько лет назад.

Событие стало историческим. Сетевой червь оказался орудием противостояния двух государств, развернувшегося в новом измерении. Начальник иранского управления гражданской обороны Голамреза Джалали назвал применения Stuxnet «первым официальным актом агрессии в киберпространстве».

В ответ Иран приступил к разработке собственных наступательных технологий. Первые киберудары были нанесены по Эстонии и Грузии.

Но вскоре Тегеран снова стал целью двух вирусов: Flame и Duqu. В мае 2012 года эти вредоносные программы поразили компьютеры министерства нефти Исламской республики. Сайты ведомства на несколько дней вышли из строя. Под ударом оказалось около тысячи компьютеров, а главное, временно прекратил работу терминал на острове Харк, обеспечивающий экспорт 90% иранской нефти. Позже специалисты объявили Duqu и Flame модификацией вируса Stuxnet. Новые черви также внедрялись в компьютерную сеть через USB.

Следующий удар был нанесен в июне 2012 года. Атаке подверглись ядерные объекты, нефтяные компании и Центральный банк Ирана. Главной целью вируса Narilam стали финансовые сервисы, причем на этот раз червь распространялся через социальные сети. Его действие было нейтрализовано почти через год, в октябре 2013-го. Иранские силы быстрого реагирования отчитались об операции, в ходе которой в горах Кередж на севере Ирана был застрелен организатор диверсии. Тегеран назвал заказчиком кибератаки Израиль.

В 2015 году иранские СМИ объявили, что специальные подразделения Ирана в день отражают до 10 000 попыток несанкционированного доступа в сети республики. Эту информацию подтвердили сотрудники иранской киберполиции FATA, по их словам, основными целями нападений становятся промышленные объекты.

Однако западные специалисты не могут ни подтвердить, ни опровергнуть эти данные. Во-первых, Иран умеет хранить тайны – в информационном поле оказывается только то, что выгодно Тегерану. Во-вторых, запад и Израиль все чаще сосредоточены не на событиях в Исламской республике, а на том, как иранские атаки поражают системы западных стран.

Информационное противостояние разворачивается на фоне политического давления на Иран. Учащение кибератак вынуждает выделять больше средств на защиту. Так, правительство Ирана разработало план создания новой отрасли экономики, основанной на взаимодействии государственных ведомств и частных IT-компаний. За семь лет планировалось создать в кластере информационных технологий 100 000 новых рабочих мест. При этом 20% иранских студентов учатся на программистов, сетевых администраторов и специалистов по электронной безопасности. В 2011 году Тегеран выделил миллиард долларов на развитие компьютерных технологий и дополнительный набор специалистов в КСИР. Позже президент Хасан Рухани распорядился о выделении 19,8 млн долларов на развитие службы кибербезопасности в составе КСИР и наборе 15 000 киберстражей в ополчение Басидж.

 

Санкции и попытки повлиять на ядерную программу только укрепили экономику и единство народа Ирана. По всей видимости, иранский способ противодействия внешнему давлению заключается в применении гибридных инструментов, в том числе, в увеличении киберактивности

Габи Сибони, директор программы кибербезопасности Института исследований национальной безопасности Израиля (INSS)

 

«Иран – четвертая в мире страна по возможностям в области кибербезопасности», – утверждает заместитель командующего ополчением Басидж бригадный генерал Мохамад Хосейн Сепер. Слова генерала подтверждают и его противники. Директор Национальной разведки США Джеймс Клеппер признал в 2012 году, что за последние годы иранские системы кибернетической безопасности Ирана стали значительно сложнее и совершеннее.

Заключение в 2015 году ядерного соглашения пяти мировых держав и Ирана изменило виртуальную политику Тегерана. Разрушительных атак стало меньше. Однако участились разведывательные операции в Германии, Франции и Великобритании. А конфликты в Сирии и Йемене послужили причиной массированных кибератак Ирана против Саудовской Аравии.

Новой вехой войны стала политика Дональда Трампа. Иран болезненно отреагировал на выход США из соглашения по ядерной программе. Еще одной причиной эскалации стало убийство генерал-лейтенанта КСИР Касема Сулеймани и иракского политика Абу Махди аль-Мухандиса в международном аэропорту Багдада.

Иранское правительство заявило, что политические, силовые и экономические действия Запада и его региональных союзников напрямую направлены против народа Ирана, нацелены на уничтожение Исламской республики. Обеспокоенность Тегерана вызвало и растущее число кибератак против Ирана.

В 2017 году хакеры из саудовской группировки Team Bad Dream попытались взломать сайты министерства иностранных дел Ирана. В 2018 году было заявлено об атаке на ведущие электронные СМИ Исламской республики. Тогда же бывший руководитель уже упоминавшегося подразделения 8200 Эхуд Шнеерсон признал Иран главной целью израильских хакеров.

«Республика выдержала высокотехнологичное, организованное на государственном уровне наступление на электронную инфраструктуру. Все атаки были отбиты нашей системой безопасности», – рапортовал в 2019 году министр связи и информационных технологий Ирана Мохаммад Джавад Азари-Джахроми.

События прошедшего года

А в феврале 2020 года глава иранского управления гражданской обороны Голам Реза Джалали рассказал о следующей атаке, организованной США.

Одно из самых масштабных электронных нападений пережил 9 мая 2020 года порт Шахид-Раджаи в иранском городе Бендер-Аббас. Об инциденте сообщила газета «Вашингтон Пост», журналисты объявили о причастности к кибератаке спецслужб Израиля. Работа крупнейшего в Иране транспортного узла, через который идет более 60% экспорта республики, была прервана на несколько дней.

 

Иран столкнулся с новыми угрозами в неожиданных сферах… Атаки могут быть нацелены на государственную систему, финансовые структуры, военные ведомства, спецслужбы и информационное поле

Голамреза Джалали, начальник иранского управления гражданской обороны

 

Представители западных спецслужб сочли нападение ответом на попытку взломать систему распределения воды в сельской местности Израиля. Эксперты американского аналитического центра «Атлантический совет» выдвинули другую версию: атака на порт стала элементом борьбы против иранской ядерной программы. Впрочем, источник нападения был назван тот же.

Израиль обвинили и во взрыве в июне 2020 года на ядерном объекте в Натанзе. А в октябре 2020 года иранский Центр преодоления последствий электронных атак Махер сообщил о предотвращении двух крупных атак, направленных на государственные учреждения Исламской республики. В правительстве Ирана это событие прокомментировали так: «США и Израиль всегда приветствуют действия, способные помешать нормальной работе иранских государственных учреждений».

От простых технологий к гибридной стратегии

Иран начинал с простых инструментов кибернетического воздействия, в основном они были рассчитаны на решение внутренних задач республики. Уровень иранских хакеров оставался низким, но его хватало для несложных и эффективных операций.

Применение противником червя Stuxnet изменило подход Тегерана к кибероружию. Последствия оказались настолько значительными, что Иран был вынужден признать кибернетические средства воздействия одним из главных инструментов гибридной войны. Хакерские атаки стали настолько же важным направлением обеспечения безопасности, как полноценные военные операции, ракетные удары и контроль над морем.

«За последнее десятилетие кибернетический арсенал Ирана превратился из низкотехнологичного средства нападения (взлома сайтов противника и DDoS-атак) в основу его политики. Теперь кибертехнологии могут стать четвертым инструментом иранской концепции безопасности. До сих пор их было три: прекращение судоходства в Ормузском проливе, организация террористических атак по всему миру и нанесение ракетных ударов по Ближневосточному региону», – прокомментировал перемены директор по военным программам и изучению вопросов безопасности Вашингтонского института ближневосточной политики Майкл Айзенштадт.

По его оценке, применение кибернетических инструментов в военных целях обеспечивает Ирану стратегические преимущества. Первое – относительно низкая стоимость операций в виртуальном пространстве. Политика санкций США болезненно сказывается на экономике Исламской республики. Поддержка союзников в полномасштабных военных конфликтах и разработка новых ракет обходятся все дороже.

Вторым преимуществом Айзенштадт называет возможность дипломатического маневра: инициатор кибератаки всегда может отрицать свою к ней причастность и даже приписывать действия третьим лицам. Такая политика позволяет Ирану продолжать хакерские нападения, не боясь сокрушительного ответа противника.

Сегодня силы иранской кибербезопасности могут поражать цели в любой точке земного шара. Причем эффект от атак всегда соотносится с предполагаемым уроном от контрудара.

«Кибервойна – направление, в котором Исламская республика способна полноценно конкурировать со странами запада. И это делает отрасль важным элементом иранской политики безопасности», – считает старший научный сотрудник Фонда защиты демократий Бехнам Бен Талеблу.

Ракетная программа Ирана лишена подобного преимущества. На физический удар по противнику может последовать ответ от Израиля или США, причем реакция не обязательно будет симметричной. Тегеран уже обвинял Израиль в убийстве известного физика Мохсена Фахризаде Махабади, которого западные спецслужбы объявили разработчиком ядерной программы Ирана. Ракетные удары по предполагаемым ядерным объектам в Ираке и Сирии стали привычным элементом внешней политики Израиля.

Сегодня иранская киберстратегия строится на нескольких принципах. Следуя одному из них, Иран скрывает, но не полностью отрицает свою причастность к инцидентам в виртуальном пространстве. Тегерану важно демонстрировать способность отвечать на внешние угрозы и сохранять паритет в киберпространстве. А в противостоянии с США возникает еще один мотив: желание представить противника бессильным перед внезапными нападениями.

При этом Ирану важно, чтобы прямыми инициаторами атак не могли быть объявлены государственные институты Исламской республики. По словам Майкла Айзенштадта, чтобы дистанцироваться от ответственности за большинство операций, Тегеран использует независимых исполнителей, создает разветвленную сеть сообществ, не имеющих прямого отношения к правительству или спецслужбам. Это позволяет скрыть подлинные намерения заказчиков и не дает доказать их причастность к хакерским атакам.

 

«Сейчас правительство Соединенных Штатов неспособно действовать достаточно быстро и гибко, чтобы защитить страну в киберпространстве»

Заключительный доклад Комиссии по киберпространству Конгресса США

 

Иран считается единственной страной, дающей в киберпространстве ответы на реальные, физические действия противников. Такой практики не придерживаются ни Россия, ни Китай, ни Северная Корея. Иранский подход к противодействию можно описать принципом «Око за око».

Впрочем, из Тегерана все выглядит по-другому. Представитель миссии Ирана при Организации Объединенных Наций Алиреза Мирюсефи говорит: «Иран не намерен вступать в кибервойну с США… На наш взгляд, это Соединенные Штаты ищут несуществующие атаки, надеясь использовать их как предлог для киберопераций против Ирана».

Дипломат объясняет, что не может раскрывать государственные секреты, но готов заверить, что иранские средства кибербезопасности рассчитаны исключительно на оборону страны.

Сокрушительные хакерские атаки, как правило, становятся ответом на действия, причинившие Ирану ущерб. За отказом США от соглашения по ядерной программе последовали ряд кибернападений на союзников Соединенных Штатов в Европе и на Ближнем Востоке. Отличительная черта иранской киберстратегии – причинение жертве максимального урона и (значительно реже, чем в других странах) использование высоких технологий в разведывательных целях.

«Отличие кибернетической политики Ирана от подходов России и Китая обусловлено высокой вовлеченностью Исламской республики в процессы, происходящие на Ближнем Востоке. Тегеран обладает большой степенью политической свободы, однако часто лишен возможности начинать открытые боевые действия. Кроме того, Иран позже других региональных лидеров вступил в противостояние спецслужб и пока не освоил многие методы, давно отработанные Россией и Китаем», – полагает эксперт проекта кибербезопасности Белферского центра в Гарварде доктор Трей Херр.

В результате Иран наносит киберудары, не получая от них ни информационной, ни финансовой выгоды. Такой подход вызывает недоумение западных оппонентов. Одно из объяснений находят в теории игр – возможно, в основе иранской стратегии лежит игра с нулевой суммой. По ее правилам, обеспечить собственную безопасность можно, только нанося ущерб противнику. Понятно, что такое различие в цивилизационных подходах увеличивает напряженность и в киберпространстве, и на политической карте мира.

В ответ на кибератаки Израиль наносит вполне реальные авиационные удары по союзникам Ирана из движения ХАМАС. Еще одной опасностью для Тегерана становится слабый контроль над собственными сетевыми структурами, созданными для ведения хакерской войны.

Подробнее об эволюции информационной безопасности Ирана и ее субъектах читайте в следующем номере.

Автор - Жюстин Мазонье

©«Новый оборонный заказ. Стратегии» 
№ 1 (66), 2021 г., Санкт-Петербург

Партнеры