Иранский поставщик ИТ-услуг, работающий со многими ведущими банками страны и некоторыми государственными структурами, подвергся серьезной кибератаке и в настоящее время выплачивает выкуп по частям. Об этом свидетельствуют электронные письма и данные блокчейна, изученные CyberScoop, что противоречит заявлениям иранского правительства о том, что взлома не было.
Компания Tosan предоставляет IT-услуги 45% банков страны, обслуживая 27 миллионов иранцев, согласно данным на её сайте. В результате атаки хакеры получили доступ к данным как минимум 20 из 29 действующих кредитных организаций Ирана, включая организации, обслуживающие государственных клиентов, сообщает Politico Europe, которое первым сообщило об этом в среду .
Группа IRLeaks, взявшая на себя ответственность за атаку, написала в посте от 9 августа в своём Telegram-канале (который впоследствии был удалён), что если соглашение не будет достигнуто, группа выставит полученные данные на продажу. Согласно сообщению, данные включали «полную информацию о нескольких миллионах банковских клиентов», включая номера счетов, полные имена, даты рождения, гражданства, адреса, «точные» данные о транзакциях и многое другое. Последствия атаки неясны.
Группа не ответила на запрос о комментарии, отправленный на адрес электронной почты, указанный в удалённом сообщении. Компания также не ответила на запрос о комментарии.
Электронная переписка между IRLeaks и генеральным директором Tosan Арашем Бабаи, полученная третьей стороной, предоставленная CyberScoop и подтвержденная другим источником, знакомым с ситуацией, свидетельствует о том, что стороны ведут переговоры об оплате, начиная с 8 августа. После того как Тосан попросил IRLeaks удалить сообщение в Telegram от 9 августа, что группа и сделала, Тосан отправил 1 биткойн на адрес, предоставленный IRLeaks, а IRLeaks подтвердил получение.
Стороны договорились о первоначальном платеже в размере 1 биткойна, а затем о выплате по 3 биткойна в неделю, пока общая сумма не составит 35 биткойнов. На данный момент на кошелёк поступило около 10 биткойнов на сумму около 561 000 долларов США.
Изображение электронной переписки между сторонами, обсуждающими оплату (CyberScoop)
Джеки Бернс Ковен, глава отдела разведки киберугроз компании Chainalysis, сообщил CyberScoop, что рассматриваемый кошелек получал платежи как минимум с двух разных иранских бирж, «что может соответствовать платежам от иранских жертв».
В период с 3 сентября 2023 года по 2 сентября 2024 года на кошелёк поступило в общей сложности 1,1 миллиона долларов США в виде 60 депозитов. По словам Ковена, кошелёк также использовался для приобретения IT-инфраструктуры, включая домены и услуги хостинга. IRLeaks, у которого почти 19 000 подписчиков в Telegram, с момента своего первого появления в интернете в июле 2023 года неоднократно заявлял об атаках на различные объекты иранского правительства .
Iran International, лондонская новостная организация , часто критикующая иранское правительство , сообщила в сообщении от 14 августа на X , что «крупная кибератака была направлена на Центральный банк Ирана (ЦБР)», добавив, что «первоначальные оценки указывают на то, что это может быть одна из крупнейших кибератак, когда-либо совершенных против иранской государственной инфраструктуры».
Информационное агентство Mehr, базирующееся в Тегеране, в тот же день сообщило , что Центральный банк Ирана заявил, что «ни одна система Центрального банка и банковской системы в целом не была взломана», и что «враждебные СМИ пытаются нарушить спокойствие общества, публикуя фейковые новости о взломе системы центрального банка», согласно переводу Google.
За последние пару лет правительство Ирана подверглось серии серьёзных кибератак. Например, в мае 2023 года человек, назвавшийся GhyamSarnegouni (что примерно переводится как «восстание до свержения»), начал публиковать документы, которые, по его словам, он получил, взломав «всю высокозащищённую внутреннюю сеть президентского аппарата палача», имея в виду тогдашнего президента Ирана Эбрагима Раиси.
Эта группа впервые появилась в январе 2022 года, совершив взлом и нарушив работу национальной службы вещания Ирана . Среди других атак, связанных с этой группой, — взлом более 5000 муниципальных камер видеонаблюдения в Тегеране в июне 2022 года и взлом Министерства иностранных дел Ирана в начале мая 2023 года , в результате которого были взломаны более 200 веб-сайтов и опубликован целый ряд конфиденциальных внутренних правительственных документов.
Группа продолжает практически ежедневно публиковать внутренние документы иранского правительства.
Другие группы, включая Black Reward , Tapandegan и Lab Dookhtegan , также наносили удары по объектам иранского правительства . Другая группа, известная как Predatory Sparrow, возможно, связанная с Израилем , атаковала сталелитейные заводы, которые, по её словам, связаны с Корпусом стражей исламской революции (КСИР), опубликовав видео после очевидного взлома, на котором, по всей видимости, запечатлена внутренняя часть промышленного объекта.
Компания Tosan предоставляет IT-услуги 45% банков страны, обслуживая 27 миллионов иранцев, согласно данным на её сайте. В результате атаки хакеры получили доступ к данным как минимум 20 из 29 действующих кредитных организаций Ирана, включая организации, обслуживающие государственных клиентов, сообщает Politico Europe, которое первым сообщило об этом в среду .
Группа IRLeaks, взявшая на себя ответственность за атаку, написала в посте от 9 августа в своём Telegram-канале (который впоследствии был удалён), что если соглашение не будет достигнуто, группа выставит полученные данные на продажу. Согласно сообщению, данные включали «полную информацию о нескольких миллионах банковских клиентов», включая номера счетов, полные имена, даты рождения, гражданства, адреса, «точные» данные о транзакциях и многое другое. Последствия атаки неясны.
Группа не ответила на запрос о комментарии, отправленный на адрес электронной почты, указанный в удалённом сообщении. Компания также не ответила на запрос о комментарии.
Электронная переписка между IRLeaks и генеральным директором Tosan Арашем Бабаи, полученная третьей стороной, предоставленная CyberScoop и подтвержденная другим источником, знакомым с ситуацией, свидетельствует о том, что стороны ведут переговоры об оплате, начиная с 8 августа. После того как Тосан попросил IRLeaks удалить сообщение в Telegram от 9 августа, что группа и сделала, Тосан отправил 1 биткойн на адрес, предоставленный IRLeaks, а IRLeaks подтвердил получение.
Стороны договорились о первоначальном платеже в размере 1 биткойна, а затем о выплате по 3 биткойна в неделю, пока общая сумма не составит 35 биткойнов. На данный момент на кошелёк поступило около 10 биткойнов на сумму около 561 000 долларов США.
Джеки Бернс Ковен, глава отдела разведки киберугроз компании Chainalysis, сообщил CyberScoop, что рассматриваемый кошелек получал платежи как минимум с двух разных иранских бирж, «что может соответствовать платежам от иранских жертв».
В период с 3 сентября 2023 года по 2 сентября 2024 года на кошелёк поступило в общей сложности 1,1 миллиона долларов США в виде 60 депозитов. По словам Ковена, кошелёк также использовался для приобретения IT-инфраструктуры, включая домены и услуги хостинга. IRLeaks, у которого почти 19 000 подписчиков в Telegram, с момента своего первого появления в интернете в июле 2023 года неоднократно заявлял об атаках на различные объекты иранского правительства .
Iran International, лондонская новостная организация , часто критикующая иранское правительство , сообщила в сообщении от 14 августа на X , что «крупная кибератака была направлена на Центральный банк Ирана (ЦБР)», добавив, что «первоначальные оценки указывают на то, что это может быть одна из крупнейших кибератак, когда-либо совершенных против иранской государственной инфраструктуры».
Информационное агентство Mehr, базирующееся в Тегеране, в тот же день сообщило , что Центральный банк Ирана заявил, что «ни одна система Центрального банка и банковской системы в целом не была взломана», и что «враждебные СМИ пытаются нарушить спокойствие общества, публикуя фейковые новости о взломе системы центрального банка», согласно переводу Google.
За последние пару лет правительство Ирана подверглось серии серьёзных кибератак. Например, в мае 2023 года человек, назвавшийся GhyamSarnegouni (что примерно переводится как «восстание до свержения»), начал публиковать документы, которые, по его словам, он получил, взломав «всю высокозащищённую внутреннюю сеть президентского аппарата палача», имея в виду тогдашнего президента Ирана Эбрагима Раиси.
Эта группа впервые появилась в январе 2022 года, совершив взлом и нарушив работу национальной службы вещания Ирана . Среди других атак, связанных с этой группой, — взлом более 5000 муниципальных камер видеонаблюдения в Тегеране в июне 2022 года и взлом Министерства иностранных дел Ирана в начале мая 2023 года , в результате которого были взломаны более 200 веб-сайтов и опубликован целый ряд конфиденциальных внутренних правительственных документов.
Группа продолжает практически ежедневно публиковать внутренние документы иранского правительства.
Другие группы, включая Black Reward , Tapandegan и Lab Dookhtegan , также наносили удары по объектам иранского правительства . Другая группа, известная как Predatory Sparrow, возможно, связанная с Израилем , атаковала сталелитейные заводы, которые, по её словам, связаны с Корпусом стражей исламской революции (КСИР), опубликовав видео после очевидного взлома, на котором, по всей видимости, запечатлена внутренняя часть промышленного объекта.
