Фото: REUTERS/Дадо Рувич/Иллюстрация/Архивное фото.

Новое исследование компании по кибербезопасности Mandiant, дочерней компании Alphabet и Google Cloud, показало, что иранская хакерская группа управляла поддельной вербовочной компанией, чтобы вовлекать сотрудников служб национальной безопасности Ирана, Сирии и Ливана в кибершпионаж.

Исследователи заявили, что хакеры связаны с группой под названием APT42 (Charming Kitten), которую недавно обвинили во взломе избирательной кампании кандидата от Республиканской партии Дональда Трампа на пост президента США. Предполагается, что APT42 связана с разведывательным подразделением Корпуса стражей исламской революции Ирана — военной организации, подчиняющейся правительству Тегерана. ФБР заявило, что расследует попытки APT42 вмешаться в президентские выборы в США в 2024 году.

Предполагается, что активность, обнаруженная Mandiant, началась в 2017 году и продолжалась до недавнего времени. На разных этапах иранцы проводили операцию таким образом, что создавалось впечатление, будто ее проводит израильское правительство. Аналитики говорят, что подделка могла быть осуществлена ​​с целью выявления лиц на Ближнем Востоке, желающих передать секреты Израилю и западным правительствам . Операция проводилась против сотрудников военных и разведывательных организаций, связанных с союзниками Ирана в регионе.

«Данные, собранные в ходе этой операции, могут помочь разведывательному аппарату Ирана выявить лиц, заинтересованных в сотрудничестве с противниками Ирана. Эти данные могут быть использованы для обнаружения деятельности агентурной разведки (HUMINT), проводимой против Ирана, и для предъявления обвинений лицам, подозреваемым в причастности к такой деятельности», — говорится в отчете Mandiant.

Посол Ирана в ООН не ответил на просьбы прокомментировать ситуацию.

Компания Mandiant обнаружила, что кибершпионы использовали сеть веб-сайтов, выдававших себя за компании по подбору персонала, для манипулирования людьми, говорящими на фарси. Эти фиктивные компании называются VIP Human Solutions, VIP Recruitment, Optima HR и Kandovan HR и многими другими. Для продвижения поддельных компаний шпионы использовали ряд поддельных профилей в Telegram, Twitter, YouTube и Virasty, популярной социальной сети в Иране. Почти все учетные записи, связанные с этой кампанией, были удалены.

На одном из веб-сайтов написано: «VIP Recruitment, центр набора военных, сотрудников служб безопасности и разведки из Сирии, «Хезболлы» и Ливана. Присоединяйтесь к нам, чтобы помочь друг другу оказать реальное влияние на мир . Наша миссия — защитить вашу конфиденциальность».

Эти хакеры провели масштабную кампанию, распространяя ссылки на поддельные кадровые компании на различных платформах социальных сетей. По словам компании Mandiant, собранные данные, включая адреса, контактную информацию и другие данные резюме, могут быть использованы в будущем.

Нгуен Куанг Минь (по данным Reuters)