Ключевые выводы
- Иранские хакеры MOIS используют Telegram для кражи данных у диссидентов и журналистов
- Атаки происходят через фишинговые ссылки, маскирующиеся под легитимные приложения
- Хакеры получают удаленный доступ к устройствам для кражи файлов и записи Zoom-звонков
- Группировка Handala связана с иранским правительством и MOIS
- Telegram используется для сокрытия вредоносной активности среди легитимного трафика
Иранские хакеры разработали новую тактику кибератак, используя популярный мессенджер Telegram для кражи данных у политических оппонентов режима. Эта угроза затрагивает не только Иран, но и диссидентов по всему миру.
Как иранские хакеры используют Telegram для атак
Согласно предупреждению ФБР, опубликованному в пятницу, хакеры, работающие на Министерство разведки и безопасности Ирана (MOIS), используют Telegram как инструмент для кражи данных у своих целей. Атаки нацелены на диссидентов, оппозиционные группы и журналистов, критикующих иранский режим по всему миру.
Атака происходит в два этапа. Сначала хакеры контактируют с целями, представляясь известными контактами или сотрудниками технической поддержки. Они убеждают жертв принять ссылку на вредоносный файл, который маскируется под легитимные приложения, такие как Telegram или WhatsApp. После установки вредоносного ПО начинается второй этап атаки.
На этом этапе зараженное устройство подключается к Telegram-ботам, которые позволяют хакерам удаленно управлять компьютером жертвы. Это дает им возможность красть файлы, делать скриншоты, записывать Zoom-звонки и полностью контролировать устройство. Использование Telegram в качестве канала управления делает атаку более скрытной, так как вредоносная активность смешивается с легитимным трафиком.
По данным ФБР, эти атаки являются частью усилий иранского правительства продвигать свои "геополитические интересы". Хакеры MOIS используют сложные методы социальной инженерии для обмана жертв и получения доступа к их устройствам.
Группировка Handala и ее связь с иранским правительством
В предупреждении ФБР упоминается проиранская и про-палестинская хакерская группировка Handala, хотя неясно, были ли конкретные атаки, описанные в предупреждении, проведены именно этой группой. Однако контекст указывает на тесную связь между Handala и иранским правительством.
Ранее в этом месяце Handala взяла на себя ответственность за атаку на медицинскую технологическую компанию Stryker, в результате которой были стерты десятки тысяч устройств сотрудников. Компания сообщила в своем отчете SEC 8-K, что все еще восстанавливается после этой атаки.
На прошлой неделе Министерство юстиции США обвинило Handala в том, что она является фронтом для иранского правительства и MOIS, и заявило, что именно группировка стоит за атакой на Stryker. В то же время ФБР отключило и конфисковало два веб-сайта, связанных с Handala, а также два других сайта, связанных с другой иранской хакерской группировкой под названием "Homeland Justice".
В последнем предупреждении ФБР говорится, что обе эти группировки связаны и контролируются MOIS. Это подтверждает, что иранское правительство использует фиктивные хакерские группы для проведения кибератак, прикрываясь видимостью независимой активности.
Почему Telegram используется для сокрытия атак
Использование Telegram для удаленного управления устройствами жертв - это распространенная техника среди хакеров для сокрытия вредоносной активности. Согласно исследованиям, опубликованным на Upwind, злоумышленники используют Telegram для уклонения от обнаружения, смешивая вредоносный трафик с легитимным.
Этот метод делает задачу защитников кибербезопасности и антивирусных продуктов намного сложнее. Когда вредоносная активность проходит через тот же канал, что и легитимная связь, сложно отличить одно от другого. Telegram предоставляет шифрованный канал связи, который сложно мониторить, что делает его идеальным инструментом для скрытых операций.
Хакеры используют различные Telegram-боты для управления зараженными устройствами. Эти боты могут получать команды от атакующих и передавать их на жертвенные компьютеры, создавая надежный канал связи, который трудно перехватить или заблокировать.
Кто находится под угрозой и как защититься
Основными целями этих атак являются диссиденты, оппозиционные группы и журналисты, критикующие иранский режим. Однако методы, используемые хакерами, могут быть применены против любого пользователя, поэтому важно понимать риски.
Жертвы часто становятся объектами атак через фишинговые сообщения, которые выдают себя за известных контактов или службы технической поддержки. Атакующие используют социальную инженерию для обмана жертв и получения доступа к их устройствам. После заражения устройства хакеры получают полный контроль над системой.
Для защиты от таких атак эксперты рекомендуют быть осторожными с неожиданными ссылками и файлами, особенно от неизвестных отправителей. Важно устанавливать обновления безопасности и использовать надежное антивирусное программное обеспечение. Также стоит быть внимательным к подозрительным сообщениям, которые просят установить какие-либо приложения или предоставить доступ к устройству.
Организации, работающие с чувствительной информацией, должны обучать сотрудников распознаванию фишинговых атак и внедрять многофакторную аутентификацию для защиты учетных записей.
Справка
Министерство разведки и безопасности Ирана (MOIS) - главный орган внешней разведки Ирана, ответственный за шпионаж, контрразведку и кибератаки. MOIS обвиняется в проведении операций против иностранных правительств и оппозиционных групп. Министерство имеет тесные связи с Корпусом стражей исламской революции (КСИР) и участвует в кибервойнах против стран Запада.
Handala - проиранская хакерская группировка, которая позиционирует себя как "хактивистская" группа, поддерживающая палестинское дело. Однако американские власти обвинили Handala в том, что она является фронтом для MOIS, и проводит кибератаки от имени иранского правительства. Группировка несет ответственность за атаки на компании и организации, критикующих Иран или поддерживающих Израиль.
Stryker - американская медицинская технологическая компания, специализирующаяся на медицинском оборудовании и технологиях. В марте 2026 года компания стала жертвой кибератаки, в результате которой были стерты десятки тысяч устройств сотрудников. Атака была проведена группировкой Handala, что привело к значительным перебоям в работе компании.
Telegram - популярный мессенджер, основанный Павлом Дуровым в 2013 году. Известен своим шифрованием и конфиденциальностью, Telegram используется миллионами людей по всему миру. Однако его функции также делают его привлекательным для хакеров, которые используют платформу для скрытия вредоносной активности среди легитимного трафика.
ФБР (Федеральное бюро расследований) - главное федеральное правоохранительное агентство США, ответственное за внутреннюю безопасность и расследование преступлений. ФБР публикует предупреждения о киберугрозах и координирует действия с международными партнерами для борьбы с хакерскими атаками. Агентство играет ключевую роль в выявлении и предотвращении киберугроз от иностранных государств.
Атаки иранских хакеров на диссидентов через Telegram - это не просто техническая угроза, но и политическая. Эти операции показывают, как государства используют кибероружие для подавления оппозиции и продвижения своих интересов за рубежом. Защита от таких атак требует не только технических мер, но и осознания политического контекста, в котором они происходят.
