Иранские киберпреступники, предположительно, стоят за разрушительным взломом в марте, из‑за которого были отключены отдельные участки компьютерной сети транспортной системы Лос‑Анджелеса. О деталях инцидента говорят израильские исследователи, а также специалисты по цифровой безопасности, изучившие следы атаки после того, как похищенные данные оказались доступны в открытом доступе.
Что произошло в сети LACMTA
Речь идет о Лос‑Анджелесском региональном транспортном агентстве — Los Angeles County Metropolitan Transportation Authority (LACMTA). По данным телль-авивской компании Gambit Security, злоумышленники получили доступ к хранилищам и похитили как минимум 700 гигабайт информации. В украденный массив входили электронные письма, резервные копии и иные файлы.
Важная деталь: специалисты Gambit Security заявили, что выявили утечку после того, как данные были случайно опубликованы в интернете. То есть атака сопровождалась не только проникновением и хищением, но и последующим «следом» — фрагментами цифровой инфраструктуры, которые позволили установить происхождение обнаруженных материалов.
Как установили связь с ранее известной операцией
В своем отчете, опубликованном во вторник, Gambit Security описала цифровые признаки, которые связывают сервер, где нашли данные, с уже известной схемой взлома. Эту операцию, по утверждениям израильских официальных лиц и профильных экспертов, связывают с Тегераном.
Под «цифровым следом» в киберрасследованиях обычно понимают совокупность технических артефактов: идентификаторы инфраструктуры, характерные параметры атак, особенности хранения и обработки файлов, а также другие признаки, которые остаются в системах даже после попыток скрыть следы.
Реакция сторон: кто комментировал, а кто — нет
Миссия Ирана при ООН не ответила на запросы о комментариях. Не предоставил комментарии и израильский Национальный директорат по кибербезопасности.
Само транспортное агентство Лос‑Анджелеса также не откликнулось на вопросы по выводам исследователей. В заявлении, опубликованном в прошлом месяце, представители LACMTA сообщили, что взаимодействуют с правоохранительными органами и специалистами по кибербезопасности, возвращая системы в рабочее состояние. При этом в документе подчеркнули: «Атрибуция является частью расследования, мы не будем делать предположений».
Почему обсуждают именно Ababil of Minab
Вопрос о возможной причастности Ирана к взлому LACMTA обсуждается в экспертном сообществе с момента, когда ответственность взяло на себя малоизвестное проиранское объединение, называющееся Ababil of Minab. Название отсылает к атаке на школу для девочек в иранском городе Минаб: местные власти заявляют, что в результате погибло более 175 детей и преподавателей.
Как отмечают исследователи, риторика и манера действий подобных групп часто совпадают с тем, что характерно для «вымышленных» или полупубличных хакерских формирований. В США и Израиле их нередко рассматривают как прокси‑структуры, через которые действуют государственные разведслужбы.
Позиция Gambit Security и роль Unit 8200
Эяль Села (Eyal Sela), директор по анализу угроз в Gambit Security, заявил, что связь Ababil с государственными структурами Ирана является «рабочей гипотезой». По его словам, ценность их исследования в том, что оно дополняет предположение именно доказательной базой.
«То, что добавляют наши работы, — это цифрово‑криминалистические аргументы в поддержку этой версии», — сказал Села.
Gambit Security — стартап в сфере кибербезопасности, который создавался, в том числе, при участии ветеранов Unit 8200. Эта структура часто описывается как израильский аналог американского NSA — Национального агентства безопасности США.
Обращения в ФБР и реакция американских ведомств
Сама группа Ababil не ответила на сообщения, оставленные через форму на ее сайте.
ФБР сообщило, что осведомлено о произошедшем инциденте с LACMTA и «координирует действия с партнерами» по линии реагирования. При этом ведомство не стало давать дополнительные комментарии. Не ответил на запросы о позиции и профильный орган гражданской киберзащиты США — Cybersecurity and Infrastructure Security Agency (CISA).
Когда обнаружили взлом и как он проявился
По словам представителей транспортного агентства, признаки вторжения были зафиксированы примерно 16 марта. Спустя около двух недель — то есть в период, близкий к середине конца марта — Ababil заявила о себе в интернете и сообщила, что якобы «стерла» значительный объем данных в ходе разрушительной кибератаки. Одновременно организация публиковала видеоролик, который, по ее утверждению, должен был показать хаотичные действия внутри сетевой инфраструктуры транспортной системы.
Хотя в заявлении LACMTA подчеркивалось, что взлом не привел к остановке движения поездов или автобусов, местные СМИ сообщали о частичных сбоях. В частности, говорилось о том, что могли быть отключены некоторые экраны с расписанием и что клиентам было затруднено пополнение баланса на транспортных картах.
Другие жертвы: от Tri-Rail до Unimac
Ababil также ранее заявляла о взломах в разных регионах и отраслях. В числе упоминаемых целей — Tri‑Rail, пригородная система Южной Флориды, компания Vyncs, занимающаяся отслеживанием автотранспорта, а также саудовская инфраструктурная фирма Unimac.
Tri‑Rail в своем сообщении подтвердила, что была взломана «примерно месяц назад», но отметила, что затронутые данные не относятся к критически важным. Руководство Vyncs сообщило, что обнаружило инцидент 2 апреля, однако отказалось раскрывать характер украденной информации. И Tri‑Rail, и владелец Vyncs заявляли, что ФБР подключено к реагированию. При этом в письме, адресованном журналистам, владелец компании указывал, что у бюро «довольно хорошее понимание того, кто эти преступники».
Unimac не предоставила комментариев в ответ на запросы.
Почему атаки связывают между собой
В Gambit Security заявили, что группа за Ababil взламывала и другие организации, но не раскрывала их публичные названия. Основанием для таких выводов, по словам Селы, служит анализ информации, оставленной в интернете злоумышленниками.
Он добавил, что в их материалах фигурировали медиа‑организация и образовательное учреждение в Израиле, а также страховой брокер в Турции. Однако называть эти организации конкретно Села отказался.
Контекст: усиление киберактивности после начала войны
Эксперты отмечают, что в период обострения конфликта между США, Израилем и Ираном наблюдается последовательность киберопераций. В публикации приводится утверждение, что с конца февраля, когда США и Израиль начали войну против Ирана, иранские хакеры могли проводить «серии» цифровых атак.
В качестве примеров упоминаются взлом компании Stryker — производителя медицинских устройств — а также утечка персональных писем, принадлежащих директору ФБР Кашу Пателю (Kash Patel). Кроме того, ранее высказывались предположения о дистанционном вмешательстве в работу топливных датчиков на АЗС; об этом сообщалось ранее в этом месяце.
Что означает «атрибуция» и почему она важна
В подобных расследованиях ключевым термином становится «атрибуция» — установление того, кому именно принадлежит кибератака. Это может быть как государственная структура, так и группа, действующая с ее поддержкой. Агентства обычно избегают преждевременных выводов, потому что ошибка в определении виновных способна повлиять на дипломатические и правовые шаги. Поэтому расследование LACMTA продолжает опираться на данные экспертов и взаимодействие с правоохранительными органами.