За иранской угрозой: документы, позорящие КСИР

Масштабные утечки, обнародованные в последние месяцы, раскрыли деятельность отдела 40 — киберподразделения Корпуса стражей исламской революции Ирана. Эти материалы стали редким организационным срезом. Они показывают, как Иран выстраивает объединённую разведывательную работу. Исследовательская группа DIR компании Trend Micro утверждает, что система дала серьёзный сбой.

Аналитики Trend Micro пришли к выводу, что отдел 40 действует скорее как группа хакеров, а не как профессиональная разведслужба. Подразделение смешивает разные типы задач. Это противоречит логике работы военной структуры с большими ресурсами. Внутри одной единицы объединены кибероперации, разведка и силовые акции.

По данным исследователей, отдел 40 подчиняется управлению 1500, которое отвечает за зарубежные операции. Управление задачами выглядит непоследовательно. Эксперты выделяют два ключевых аспекта. Первый касается прямой связи между кибератаками и планированием физического террора. Подразделение разрабатывает и производит взрывные дроны. Их используют для ликвидаций. Разведданные для атак получают через взлом систем авиакомпаний и гостиниц. Среди целей упоминаются FlyDubai, EgyptAir и отели в Греции. Киберсредства здесь служат частью цепочки убийства. Такое объединение логистики, разработки оружия и сбора данных в одной структуре указывает на серьёзный провал в разделении функций.

Второй аспект связан с контрразведкой. Отдел 40 атакует иностранные цели. Среди них полиция Дубая и госструктуры Иордании. Параллельно он ведёт внутреннюю контрразведку. Документы описывают физическое наблюдение в Тегеране. Также зафиксирован активный шпионаж вокруг западных посольств. В списке фигурируют дипмиссии Германии, Турции и Японии.

Исследователи DIR отмечают, что утечка подтверждает крах принципа изоляции информации. Этот принцип считается базовым для профессиональной разведки. Самый показательный пример связан с секретным документом 2004 года. Его подготовило Министерство разведки Ирана. Документ обнаружили на личном компьютере командира отдела 40 Аббаса Рахрави. В тексте говорится о получении закрытых отчётов МАГАТЭ по ядерной программе. Этот же материал даёт исторический контекст. Один из его авторов, предположительно Олли Хейнонен, позже стал целью сбора данных для отдела 40.

По словам аналитиков Trend Micro, сам факт хранения такого документа в личной сети командира говорит о серьёзном провале информационной безопасности. Эксперты описывают происходящее как работу технических дилетантов с неограниченным доступом. Они подчёркивают, что это не похоже на поведение институциональной разведки.

Отчёты ежедневной работы фишинговой группы, известной как проект «Кабин», дополняют картину. Команды тратят значительную часть времени на примитивные логистические задачи. Они редко сосредотачиваются на сборе ценной разведывательной информации. Сами фишинговые атаки выглядят примитивно. В них мало технической изощрённости. Многие действия строятся по принципу «авось сработает». Чётких оперативных целей в документах почти нет.

Аналитики DIR также указывают на пересечение аккаунтов и цифровых активов. Одни и те же ресурсы используют для операций влияния, работы с общественным мнением, фишинга и атак. В отчётах подробно описаны ежедневные потери времени. Сотрудники часами устраняют базовые ошибки. Они пытаются наладить работу серверов Mailwizz. Они не справляются с простыми cron-задачами. Они не умеют быстро устранять ошибки 500 на веб-серверах.

Отдельно исследователи отмечают зависимость от фейковых аккаунтов. Оперативники покупают профили Facebook и Twitter на открытом рынке. Кампании строятся именно на них. В документах говорится, что после покупки нужно ждать от трёх до пяти дней. Только потом можно менять основной email. Иначе платформы блокируют аккаунт. Такой режим работы показывает тактические трудности. Он также говорит о том, что подразделение не смогло создать надёжную систему оперативных идентичностей.

В Trend Micro подчёркивают, что важно отличать системный провал отдела 40 от откровенной дилетантщины группы Handala. Эта группа связана с Министерством разведки и безопасности Ирана. Отдел 40 формально выглядит более институционально. Он использует двойные личности для командиров. Он применяет продуманную биткоин-инфраструктуру с одноразовыми кошельками. Он располагает широкой системой наблюдения. Парадокс заключается в другом. Именно эта ресурсная и технически сильная структура проваливается на базовом уровне защиты разведданных. Она тратит огромные ресурсы на тактические кампании. Эти кампании не соответствуют профессиональным стандартам. Причиной исследователи называют хаотичное смешение целей и задач внутри одной организации.

Ранее Курсор писал, что Трамп направил жёсткую угрозу Ирану.