Ключевые выводы
- Взлом системы общественного транспорта Лос‑Анджелеса в марте 2026 года приписывают группировке «Ababil of Minab», действующей под покровительством иранского Министерства разведки и государственной безопасности (MOIS).
- Группа позиционирует себя как хактивистов, но расследования израильского стартапа Gambit Security подтверждают её связь с государственными кибероперациями России‑Ирана.
- Атака совпала с ростом киберактивности Ирана после ударов США и Израиля, что стало сигналом для американских агентств об угрозе критической инфраструктуре.
В марте 2026 года хакеры, поддерживаемые Ираном, проникли в системы LACMTA, удалили данные и создали ложное впечатление «хактивистского» действия. Детальный разбор показывает, как государственная кибераппатия маскируется под идеологический паразитизм и какие шаги уже предпринимаются, чтобы остановить подобные угрозы.
Что случилось с транспортной системой Лос‑Анджелеса?
В начале марта 2026 года сотрудники Los Angeles County Metropolitan Transportation Authority (LACMTA) обнаружили неполадки в своих информационных системах. По мере расследования выяснилось, что злоумышленники получили доступ к внутренним базам, скопировали часть данных и потом полностью их удалили.
Первые официальные сообщения о взломе появились в СМИ через несколько дней, а уже в конце месяца израильская компания по кибербезопасности Gambit Security опубликовала отчет, связывающий атаку с иранским Министерством разведки и государственной безопасности (MOIS).
Группа, назвавшая себя «Ababil of Minab», заявила в Твиттере, что взлом — «ответ на американско‑израильские удары по Ирану». При этом название «Ababil» отсылает к американскому авиаударному рейду по школе в иранском городе Минaб, где погибли более 175 детей.
Таким образом, кибератака стала частью более широкой информационной войны, где даже удаление данных подается как «моральный поступок».
Кто такие «Ababil of Minab» и как они связаны с MOIS?
«Ababil of Minab» позиционирует себя как независимую хактивистскую группировку, однако Gambit Security нашла ряд forensic‑данных, указывающих на связь с предыдущими иранскими кампаниями, координатами серверов и характером вредоносного кода.
Исследователи также сопоставили действия группы с операциями, зафиксированными израильской Национальной кибердиректорой (Israel National Cyber Directorate), которые напрямую приписываются MOIS.
В итоге «Ababil of Minab» выглядит как псевдоним, используемый государственными кибершпионами, когда нужно скрыть официальную причастность.
Подобные «фейковые» хактивистские группы уже использовались Ираном ранее, например, в деле «Handala», которая в марте 2026 года атаковала американскую компанию Stryker, убив тысячи систем.
Почему атака совпала с обострением международных конфликтов?
В начале 2026 года США и Израиль начали серию воздушных ударов по объектам в Иране в ответ на ядерные угрозы. Сразу после этого наблюдается рост активности иранских киберопераций, о чём заявили несколько американских агентств.
По их оценкам, Иран целенаправленно усиливает давление на критическую инфраструктуру США — от энергетики до транспортных систем.
Взлом LACMTA стал первым подтверждённым случаем атаки на крупную американскую муниципальную сеть после этих ударов.
Федеральные органы (FBI, DHS) уже включили инцидент в список приоритетных угроз и начали совместные операции с израильскими специалистами.
Какие меры принимаются для противодействия?
Сразу после обнаружения вторжения LACMTA отключила уязвимые сегменты сети, восстановила резервные копии и усилила мониторинг трафика. Одновременно в стране усилились усилия по обмену разведданными между США и их союзниками.
Израильский стартап Gambit Security, который раскрыл связь с MOIS, продолжает работать с американскими аналитиками, предоставляя технические детали вредоносного кода и рекомендации по усилению защиты.
Кроме того, в апреле 2026 года совместный совет США‑Израиль выпустил предупреждение, в котором перечислил типы атак, характерные для иранских группировок, и предложил список «best practices» для защиты критической инфраструктуры.
Эти шаги пока лишь ограничивают масштаб угрозы, но полностью избавиться от рисков пока нельзя.
Что дальше? Прогнозы экспертов
Эксперты считают, что Иран будет продолжать использовать кибероперации как средство реагирования на внешнее давление. Ожидаются новые атаки на энергетические сети, системы водоснабжения и транспорт.
Для компаний и государственных учреждений совет прост: инвестировать в «zero‑trust» модели, регулярно проводить учения по реагированию на инциденты и поддерживать тесный контакт с международными кибер‑сообществами.
В целом, инцидент с LACMTA показывает, насколько важна готовность к кибератакам, даже если они маскируются под идеологический месседж.
Справка
Los Angeles County Metropolitan Transportation Authority (LACMTA) — крупнейшая в США муниципальная система общественного транспорта, обслуживающая более 500 млн пассажиров в год. Основана в 1993 году, она управляет метро, автобусными маршрутами и трамвайными линиями по всему Лос‑Анджелесу.
Ministry of Intelligence and State Security (MOIS) — иранское государственное разведывательное агентство, отвечающее за кибершпионаж и операции за пределами страны. Было образовано в 1983 году после объединения нескольких советских и советско‑постсоветских структур.
Gambit Security — израильский стартап в сфере кибербезопасности, основанный в 2018 году бывшими специалистами Elite Forces. Компания специализируется на форензике, обнаружении государственно‑поддерживаемых атак и разработке инцидент‑респонса.
Ababil of Minab — псевдоним, использующийся в социальных сетях группой, заявившей о своей ответственности за кибератаку на LACMTA. Реальные участники, по мнению экспертов, работают на MOIS.
Handala — ещё одна иранская кибергруппа, известная атакой на американскую медицинскую компанию Stryker в марте 2026 года. После этой атаки FBI захватил два её сайта и передал информацию в Министерство юстиции США.
Взлом LACMTA — не единичный случай, а часть развивающегося киберконфликта. Понимание того, кто стоит за атакой, и своевременные меры защиты могут спасти не только данные, но и жизнь людей, зависящих от работы инфраструктуры.
