Как разведка Ирана охотится за своими гражданами
Иранская армия использует кибероперации для выявления лиц, подозреваемых в сотрудничестве с противниками страны.
Mandiant обнаружила сеть поддельных сайтов и аккаунтов в соцсетях, через которые Иран собирает информацию о своих гражданах и внутренних угрозах. Кампании направлены на идентификацию людей, которые могут сотрудничать с зарубежными разведывательными и силовыми структурами, особенно с Израилем.
Собранные данные используются для раскрытия операций по сбору разведывательной информации против Ирана и преследования иранцев, подозреваемых в участии в таких операциях. Эксперты Mandiant отметили, что в кампании были задействованы методы и цели, характерные для иранского правительства, и что операция не связана с недавними атаками на выборы в США.
Схема кампании Ирана
В рамках новой кампании было обнаружено более 40 поддельных сайтов на фарси и арабском языках, предлагающих работу в Израиле. Посетителей сайтов просили ввести личные данные. Также были найдены фальшивые аккаунты в X*, Telegram, YouTube и на иранской платформе Virasty, продвигающие рекрутинговые компании с вакансиями в области ИТ, кибербезопасности и управления персоналом. Кампания началась ещё в 2017 году и продолжалась до марта 2024 года. Аналогичные операции проводились от имени прокси-группировок в Сирии и Ливане.
Были обнаружены как десктопные, так и мобильные версии поддельных сайтов, которые имитировали ресурсы, принадлежащие израильским компаниям. Некоторые сайты были специально нацелены на вербовку военных и сотрудников спецслужб Сирии и ливанской группировки «Хезболла».
Настольная и мобильная версии сайтов вербовки с формой ввода контактных данных
На одном из обнаруженных YouTube-каналов было размещено видео с предложением услуг по трудоустройству и указанием email-адреса для отправки данных. Исследователи предупреждают, что среди целевых групп кампании могут быть диссиденты, активисты, правозащитники и носители фарси, проживающие как внутри Ирана, так и за пределами страны. Собранные данные, такие как адреса, контактные данные и профессиональный опыт, могут использоваться в будущих операциях против целей.