Национальная служба информационно-коммуникационных технологий обнародовала информацию об иранской шпионской операции, описанной в профессиональном исследовании, которое провело правительственное подразделение киберзащиты (ЯХАВ). Операция, связанная с разведывательными структурами Корпуса стражей исламской революции (IRGC), получила название SpearSpecter и продемонстрировала существенный сдвиг в киберпространстве: атаки, основанные на установлении личного контакта, формировании доверия и прямом взаимодействии с целью, а не на немедленных технических взломах.
Согласно выводам, опубликованным на сайте киберисследований ЯХАВ, атакующие заранее собирают разведданные, выдают себя за обычных пользователей и обращаются к жертве через WhatsApp под предлогом приглашения на конференцию или профессиональную встречу. Лишь после длительного общения жертве отправляется вредоносная ссылка, запускающая процесс атаки, который включает кражу данных для входа в реальном времени и установку таргетированной «задней двери» типа TAMECAT.
Кампания использует нестандартный подход к встроенным протоколам Windows и скрывает трафик в популярных сервисах, таких как Telegram и Discord, демонстрируя ранее не зафиксированные приёмы атаки. Это свидетельствует о профессионализации и усилении действий иранской разведки против Израиля, а также о переходе к операциям, основанным на длительном установлении доверия и построении межличностных связей.
В Национальной службе информационно-коммуникационных технологий подчёркивают, что раскрытие подробностей операции призвано предупредить о смене моделей атак и укрепить способность населения распознавать подозрительные обращения, вести себя осторожно при попытках собеседника выдать себя за другое лицо и предотвращать утечку важных данных.
Нир Бар-Йосеф, руководитель правительственного подразделения киберзащиты в Национальной службе информационно-коммуникационных технологий, отмечает:
«Исследовательская работа, приведшая к раскрытию этой операции, — яркий пример важности разведывательной и оперативной деятельности, которую ведёт правительственное подразделение киберзащиты в составе Национальной службы информационно-коммуникационных технологий.
Мы наблюдаем отчётливо видное изменение в киберсреде: атаки, основанные на личном контакте и подмене личности, всё чаще сочетаются с прямыми технологическими атаками. Это изменение требует высокой бдительности общества и осторожного поведения при получении неизвестных обращений».