"Сон разума порождает слушателей": как Hawking Listener стал новым ухом Тегерана Edit

Курды потеряли контроль задолго до того, как об этом узнали.


a3qg5edhe7ee0uxiwqsmvmugs6dm1tr4.jpg


Группировка BladedFeline, связанная с Ираном, вновь оказалась в центре внимания после серии целевых атак на официальных лиц Курдистана и правительства Ирака . По оценкам специалистов компании ESET, именно эта структура стоит за шпионской кампанией, в которую вошли сложные инструменты доступа и собственные вредоносные программы. Группу рассматривают как подкластер OilRig — одного из ключевых иранских игроков в кибер шпионаже , активно действующего как минимум с 2017 года.

Атаки направлены на сохранение устойчивого присутствия в структурах Иракского федерального правительства и Курдской региональной администрации. С момента первого зафиксированного проникновения в инфраструктуру Курдистана в 2017 году, BladedFeline активно расширяет арсенал и зоны интереса — от дипломатических структур до телекоммуникационного сектора, включая, по некоторым данным, одного из провайдеров в Узбекистане, который мог быть скомпрометирован ещё в 2022 году.

Ключевым элементом тактики группировки является использование нестандартных бэкдоров, позволяющих сохранять доступ и передавать команды через нестандартные каналы. Одним из таких является Shahmaran — минималистичный вредонос, предназначенный для загрузки и выгрузки файлов, а также выполнения команд оператора. Позднее специалисты ESET зафиксировали активность новых разработок: Whisper (также известного как Veaty), Spearal и его модификации Optimizer.

Whisper представляет собой бэкдор на C#/.NET, который использует доступ к скомпрометированной почте на сервере Microsoft Exchange для обмена данными с атакующими. Spearal и Optimizer работают на платформе .NET и используют DNS-туннелирование как способ управления. Хотя функции последних идентичны, отличия между ними касаются только внешней реализации.

Кроме того, в декабре 2023 года были обнаружены атаки с применением Python-импланта Slippery Snakelet, способного выполнять команды через «cmd.exe», а также скачивать и загружать файлы с внешних источников. Для устойчивого доступа применялись инструменты туннелирования Laret и Pinar, а также вредоносный модуль IIS под названием PrimeCache.

PrimeCache интересен своей пассивной природой — он ожидает HTTP-запросы с заданными заголовками cookie и только тогда начинает выполнять команды или выгружать файлы. Этот подход позволяет избегать активного сетевого взаимодействия и снижает шансы на обнаружение.

Схожесть PrimeCache с известным бэкдором RDAT, ранее приписываемым OilRig, укрепляет версию о принадлежности BladedFeline к этой более широкой иранской инфраструктуре. Также ранее на одном из серверов Курдистана были найдены артефакты RDAT и другого вредоносного ПО OilRig — обратной оболочки VideoSRV. При этом BladedFeline отделяют от другой иранской группы — Lyceum, специализирующейся на других регионах и методах.

Отдельным звеном в новой волне атак стал ранний имплант под названием Hawking Listener, загруженный на VirusTotal в марте 2024 года тем же пользователем, что ранее распространил Flog — веб-оболочку, обеспечивающую постоянный доступ через уязвимости в интернет-приложениях. Hawking Listener, по сути, представляет собой прослушивающий агент, реагирующий на сетевые команды через определённый порт.

По данным ESET, целью BladedFeline остаётся получение доступа к внутренней переписке, стратегическим планам и финансовой информации обеих администраций — как Курдистана, так и федерального правительства Ирака. Помимо чистого шпионажа, можно говорить и о попытках геополитического влияния: влияние Запада в регионе после вторжения США в Ирак остаётся предметом противодействия для иранских киберструктур. Курдистан, обладающий значительными нефтяными запасами и тесными контактами с западными странами, остаётся особенно уязвимой и привлекательной целью.