Израильские специалисты по кибербезопасности опубликовали исследование, согласно которому международная сеть вымогательского ПО BQTLock, ранее считавшаяся просто группировкой киберпреступников, действует как подразделение «Хизбаллы». Расследование, проведенное компанией DOS-OP совместно с центром «Альма», позволило идентифицировать человека, руководившего операциями группы. Им оказался Карим Файяд — студент Американского университета Бейрута.
Согласно материалам исследования, которые приводит 12 канал, BQTLock вела атаки на организации по всему миру, сохраняя при этом образ обычной киберпреступной сети, занимавшейся вымогательством, продажей инструментов для атак и хищением данных.
Как работала сеть
Исследователи утверждают: под внешним «криминальным» прикрытием скрывалась деятельность, связанная с киберинфраструктурой «Хизбаллы». По их данным, сеть зашифровала более 540 серверов и похитила большие объемы конфиденциальной информации.
Файяд, по их словам, вел «двойную жизнь»: с одной стороны, он учился в университете и проходил стажировки в гражданских IT-компаниях, где занимался моделями машинного обучения, глубокими нейросетями и разработкой программного обеспечения. С другой, — состоял в молодежной структуре «Хизбаллы» (движение «Разведчики имама аль-Махди») и управлял международной сетью кибератак.
Как удалось раскрыть личность преступника
Команда исследователей сопоставила несколько сетевых псевдонимов Файяда, включая ZeroDayX1 и «Луа Мухаммад», и обнаружила совпадения в публикациях в соцсетях. На разных фотографиях были видны одинаковые татуировка и наручные часы.
Однако ключевым моментом оказалась ошибка самого Файяда, который однажды забыл удалить логи — текстовые файлы, раскрывавшие серверы управления, через которые он руководил сетью. Вдобавок, телеграм-канал, которым он когда-то пользовался, носил его настоящее имя — Карим Файяд. Впоследствии он удалил канал, но его данные уже попали в руки израильских исследователей.
Масштаб атак
По данным 12 канала, группа под управлением Файяда атаковала инфраструктурные объекты в Израиле, включая аэропорт имени Бен-Гуриона, а также компании «Безек» и «Партнер». Кроме того, хакеры утверждали, что проникли в системы оборонных компаний RAFAEL и Elbit, однако эти заявления исследователи ставят под сомнение.
За пределами Израиля, как сообщается, BQTLock похитила 12 000 записей из системы здравоохранения в Индии, взломала серверы саудовской горнодобывающей компании и атаковала школы в ОАЭ, требуя выкуп.
Также найдены следы взаимодействия с иранскими кибергруппами Fattah и Team 313. Помимо атак, Файяд регулярно распространял пропагандистские материалы «Хизбаллы».
Почему это важно
Руководитель исследовательского направления центра «Альма» Таль Бари отметил, что такие данные меняют восприятие структуры кибератак: «Атаки с применением вымогательского ПО — это не просто цифровая преступность, а часть системы, которая связывает интересы безопасности, идеологии и экономики».
Расследование показывает, что вымогательское ПО становится важным инструментом финансирования террористических организаций, особенно после войны «Хизбаллы» с Израилем и ослабления режима Асада — событий, нарушивших прежние каналы снабжения группировки.