- Сообщения
- 8.441
- Реакции
- 11.090
Говорить о "хакерских кланах" Ближнего Востока как об одном явлении неправильно. Здесь одновременно существуют три разных контура. Первый - государственно ориентированные сети кибершпионажа и саботажа, которые в отчётах чаще фигурируют как "кластер", "группа", "кампания" и почти всегда привязаны к внешнеполитическим интересам. Второй - криминальные экосистемы вымогательства, мошенничества и торговли доступом, где идеология вторична, а основной ресурс - деньги и уклонение от санкционного контроля. Третий - серый рынок "цифрового принуждения": коммерческие производители шпионских средств, посредники, инфраструктура и услуги, которые позволяют вести скрытое наблюдение и вмешательство без прямой принадлежности к государственному аппарату. В публичной риторике эти контуры часто смешиваются, из-за чего возникает ощущение единого подполья. На практике между ними есть пересечения, но логика разная: одни действуют ради влияния, другие ради выручки, третьи - ради контрактов и политической полезности.
Для Ближнего Востока важен ещё один фон: региональная фрагментация, санкционные режимы, многолетние конфликты и высокая ценность информационного контроля. Это создаёт спрос на кибероперации и делает цифровую среду частью безопасности. С конца 2000-х регион постепенно перестал быть лишь "полем чужих операций" и стал производителем собственных акторов. При этом слово "организованная" в цифровой преступности означает не романтизированную "мафию", а устойчивое разделение труда: одни подбирают цели и легенды, другие добывают доступ, третьи монетизируют, четвёртые отмывают следы, пятые поддерживают инструменты и инфраструктуру. Именно такая специализация, а не "харизма лидера", и есть главный признак современных киберкланов.
В 1990-е цифровая криминальность в регионе ещё не была самостоятельной "индустрией". Сеть использовалась как усилитель традиционных практик: нелегальная торговля, подпольные финансы, перемещение людей и ресурсов. Для кино и массового воображения это эпоха "хакера как одиночки". В реальности ключевым стало другое: у государственных структур и связанных с ними технических элит появился опыт сетевых вмешательств и понимание, что информационное пространство можно использовать для давления и разведки. Этот опыт сначала был точечным и зависел от внешних технологий, но именно он задал траекторию, по которой в 2010-е возникнут устойчивые группы.
В 2000-е появляется инфраструктурная база, без которой невозможна организованность: массовая мобильная связь, региональные интернет-рынки, локальные сервисы, расширение банковского и энергетического секторов. Кибероперации начинают приносить измеримую выгоду. Для государственно ориентированного контура это разведка и контроль: доступ к переписке, наблюдение за оппозицией, мониторинг диаспор и медиа. Для криминального - мошенничество и вымогательство на уровне отдельных групп и "полудетских" схем. Важна именно переходная логика: цифровая среда перестаёт быть экзотикой и становится местом, где можно строить повторяемые операции. Уже тогда проявляется региональная особенность: высокий спрос на скрытое наблюдение и инструменты перехвата. В дальнейшем именно этот спрос подпитает индустрию коммерческого шпионажа, которую правозащитные лаборатории и журналистские консорциумы будут рассматривать как системный риск. Для исследователя криминала эта линия важна тем, что она меняет границу между "преступлением" и "политической услугой": то, что в одном правовом режиме трактуется как преступное вторжение в частную жизнь, в другом оформляется как контракт "на безопасность".
В 2010-е региональная киберсцена становится узнаваемой по именам и паттернам. В отчётах крупных исследовательских команд формируются "карточки" групп: цели, география, типичные мишени, повторяемые легенды. Здесь же закрепляется главная связка для Ближнего Востока: шпионаж и влияние идут рука об руку с экономикой. Иранский контур в 2010-е, по данным западных и международных отчётов, выстраивается как сеть связанных друг с другом кластеров, которые ориентированы на разведку, контрразведку и политическое давление. Их фокус регулярно описывается вокруг правительственных структур, энергетики, телекоммуникаций, оборонных подрядчиков, а также вокруг медиа и исследовательских организаций. Важно удерживать точность формулировок. В большинстве случаев речь идёт не о "доказанном государственном приказе", а об атрибуции по совокупности признаков: инфраструктура, кодовые следы, повторяемые темы, геополитическая полезность. Эта атрибуция может быть сильной, но её юридический статус отличается от приговора суда. Параллельно усиливается палестино-ориентированный кластер, который различные исследователи описывают как TA402, Molerats, Gaza Cybergang. Это хороший пример того, как "клан" может существовать десятилетиями за счёт смены техник и адаптации к повестке. В этих кампаниях часто виден локальный фокус на государственные и окологосударственные структуры региона, а также на людей, которые вовлечены в политику, гуманитарную работу, журналистику. Такая устойчивость показывает: организованность не обязательно означает высокую технологичность. Иногда она означает просто дисциплину повторения, умение подбирать темы, которые попадут в конкретную аудиторию, и способность вести операции годами. 2010-е также обозначили рост мобильного шпионажа. Для Ближнего Востока это критически важно, потому что смартфон стал главным интерфейсом жизни. Кампании, ориентированные на подмену приложений и заражение через псевдосервисы, сделали атаку массовой и менее заметной для пользователя. Исследовательские публикации конца 2010-х показали, что масштаб мобильного наблюдения может быть транснациональным, а инфраструктура - распределённой, с использованием легитимных облачных и сетевых сервисов. Этот уровень уже ближе к "организованной" модели: нужны операторы, техподдержка, обновления, сбор и обработка данных.
В 2020-е на первый план выходит слияние киберопераций с большими конфликтами, а также индустриализация киберпреступности. Для региона заметны три изменения.
Первое изменение - расширение "витрины". Кампании всё чаще используют актуальные события как оболочку, чтобы повысить правдоподобие. Это не украшение, а механизм масштабирования. Когда повестка совпадает с эмоциями и тревогами аудитории, снижается порог критичности, и атака становится дешевле. Второе изменение - сближение шпионажа и вымогательства. Раньше эти миры в аналитике разделяли.
В последние годы многие отчёты фиксируют перекрёстные практики: проникновение ради данных, затем давление на жертву; или получение доступа в рамках шпионажа и дальнейшая монетизация через посредников. Это не всегда означает, что "одна и та же группа" делает всё. Часто это означает рынок, где доступ становится товаром.
Третье изменение - нормализация разрушительных действий. На фоне войн и политической поляризации появляется больше случаев, когда целью становится не только сбор данных, но и нарушение работы систем, уничтожение информации, атаки на репутацию. Это особенно заметно в линиях, которые исследователи связывают с конфликтом Израиль-ХАМАС и более широким противостоянием в регионе. Здесь снова важна точность: часть сообщений относится к шпионажу, часть - к разрушительным операциям, часть - к "хактивизму". В публичной среде всё это может звучать как одно и то же, но по механизмам это разные истории.
Показательный пример 2024 года - материалы исследовательских команд, связывающие активность группы WIRTE с более ранними кластерами Gaza Cybergang и фиксирующие расширение от шпионажа к разрушительным действиям. Это важно для понимания эволюции: когда группа переходит от скрытого сбора к разрушению, меняется и политический смысл, и риск эскалации, и внимание правоохранителей. Такие переходы редко происходят "внезапно". Чаще они отражают изменение задач, ресурсную поддержку и ощущение безнаказанности. Отдельного разговора требует индустрия коммерческого шпионажа и серого рынка. Ближний Восток - один из регионов, где правозащитные и исследовательские центры чаще всего фиксировали применение коммерческих шпионских инструментов против гражданского общества, юристов, журналистов и политических оппонентов. Здесь опасность двойная. С одной стороны, такие инструменты расширяют способность государства наблюдать без судебного контроля. С другой стороны, они создают рынок, где уязвимости и эксплуатационные цепочки становятся активом, а значит, стимулируется их скрытие, а не исправление. Это похоже на криминальную экономику, только с юридической упаковкой и политической легитимацией. Если смотреть на структуру "цифрового подполья" как на ОПГ в современном смысле, то ключевые роли распределяются не по харизме, а по функциям. Есть операторы, которые ведут цели и поддерживают скрытый доступ. Есть поставщики инфраструктуры и инструментов, включая тех, кто продаёт готовые решения. Есть посредники, которые превращают доступ и данные в деньги, используя криптовалютные и офшорные контуры. Есть информационные игроки, которые поддерживают нарративы, запускают утечки, фабрикуют документы и управляют тем, как событие будет прочитано в медиа. Это и есть "организованность". Что принципиально отличает ближневосточную сцену от условно "универсальной" киберпреступности, так это тесная связка с государственностью и конфликтами. В иных регионах криминальные группы могут существовать относительно автономно. Здесь же даже чисто криминальные операции часто вынуждены учитывать санкционную экономику, политические риски и границы допустимого для разных юрисдикций. Это не делает их "менее криминальными". Это делает их более контекстными.
С точки зрения устойчивости на 2025 год и начала 2026 года наиболее вероятна не "смена поколения" акторов, а усиление гибридности. Будет больше смешения: шпионаж с элементами давления, давление с элементами разрушения, коммерческие инструменты на стороне политических задач, криминальная монетизация на базе политически мотивированных проникновений. Для исследовательского письма важно заранее зафиксировать границу: описывать эти процессы можно, не превращая текст в инструкцию. Достаточно анализировать организационную модель, экономику мотиваций, конфликты интересов и эффект для общества. В контексте вашей серии про ОПГ мира этот выпуск полезен тем, что он показывает сдвиг самого понятия "подполье". В цифровой среде подполье может быть высоко публичным, даже демонстративным, потому что анонимность, распределённость и юридическая фрагментация создают ощущение защищённости. Но именно это делает цифровую организованную преступность более опасной для повседневной жизни: она вмешивается не в отдельные кварталы и рынки, а в доверие к коммуникации, в целостность данных, в устойчивость инфраструктуры и в право человека на частную жизнь. И если у классической ОПГ территориальная власть измерялась контролем улиц, то у цифровых кланов власть измеряется контролем доступа, внимания и следов.
Этот обзор носит исключительно информационный характер и не является руководством к применению. Мы рекомендуем соблюдать законодательства любых стран! Автор не имеет конфликта интересов, статья подготовлена на основе открытых данных и рецензируемых публикаций, перечисленных по ходу текста или собраны в конце статьи. Этот материал был создан с использованием нескольких редакционных инструментов, включая искусственный интеллект, как часть процесса. Редакторы-люди проверяли этот контент перед публикацией.
Нажимай на изображение ниже, там ты найдешь все информационные ресурсы A&N
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Для Ближнего Востока важен ещё один фон: региональная фрагментация, санкционные режимы, многолетние конфликты и высокая ценность информационного контроля. Это создаёт спрос на кибероперации и делает цифровую среду частью безопасности. С конца 2000-х регион постепенно перестал быть лишь "полем чужих операций" и стал производителем собственных акторов. При этом слово "организованная" в цифровой преступности означает не романтизированную "мафию", а устойчивое разделение труда: одни подбирают цели и легенды, другие добывают доступ, третьи монетизируют, четвёртые отмывают следы, пятые поддерживают инструменты и инфраструктуру. Именно такая специализация, а не "харизма лидера", и есть главный признак современных киберкланов.
В 1990-е цифровая криминальность в регионе ещё не была самостоятельной "индустрией". Сеть использовалась как усилитель традиционных практик: нелегальная торговля, подпольные финансы, перемещение людей и ресурсов. Для кино и массового воображения это эпоха "хакера как одиночки". В реальности ключевым стало другое: у государственных структур и связанных с ними технических элит появился опыт сетевых вмешательств и понимание, что информационное пространство можно использовать для давления и разведки. Этот опыт сначала был точечным и зависел от внешних технологий, но именно он задал траекторию, по которой в 2010-е возникнут устойчивые группы.
В 2000-е появляется инфраструктурная база, без которой невозможна организованность: массовая мобильная связь, региональные интернет-рынки, локальные сервисы, расширение банковского и энергетического секторов. Кибероперации начинают приносить измеримую выгоду. Для государственно ориентированного контура это разведка и контроль: доступ к переписке, наблюдение за оппозицией, мониторинг диаспор и медиа. Для криминального - мошенничество и вымогательство на уровне отдельных групп и "полудетских" схем. Важна именно переходная логика: цифровая среда перестаёт быть экзотикой и становится местом, где можно строить повторяемые операции. Уже тогда проявляется региональная особенность: высокий спрос на скрытое наблюдение и инструменты перехвата. В дальнейшем именно этот спрос подпитает индустрию коммерческого шпионажа, которую правозащитные лаборатории и журналистские консорциумы будут рассматривать как системный риск. Для исследователя криминала эта линия важна тем, что она меняет границу между "преступлением" и "политической услугой": то, что в одном правовом режиме трактуется как преступное вторжение в частную жизнь, в другом оформляется как контракт "на безопасность".
В 2010-е региональная киберсцена становится узнаваемой по именам и паттернам. В отчётах крупных исследовательских команд формируются "карточки" групп: цели, география, типичные мишени, повторяемые легенды. Здесь же закрепляется главная связка для Ближнего Востока: шпионаж и влияние идут рука об руку с экономикой. Иранский контур в 2010-е, по данным западных и международных отчётов, выстраивается как сеть связанных друг с другом кластеров, которые ориентированы на разведку, контрразведку и политическое давление. Их фокус регулярно описывается вокруг правительственных структур, энергетики, телекоммуникаций, оборонных подрядчиков, а также вокруг медиа и исследовательских организаций. Важно удерживать точность формулировок. В большинстве случаев речь идёт не о "доказанном государственном приказе", а об атрибуции по совокупности признаков: инфраструктура, кодовые следы, повторяемые темы, геополитическая полезность. Эта атрибуция может быть сильной, но её юридический статус отличается от приговора суда. Параллельно усиливается палестино-ориентированный кластер, который различные исследователи описывают как TA402, Molerats, Gaza Cybergang. Это хороший пример того, как "клан" может существовать десятилетиями за счёт смены техник и адаптации к повестке. В этих кампаниях часто виден локальный фокус на государственные и окологосударственные структуры региона, а также на людей, которые вовлечены в политику, гуманитарную работу, журналистику. Такая устойчивость показывает: организованность не обязательно означает высокую технологичность. Иногда она означает просто дисциплину повторения, умение подбирать темы, которые попадут в конкретную аудиторию, и способность вести операции годами. 2010-е также обозначили рост мобильного шпионажа. Для Ближнего Востока это критически важно, потому что смартфон стал главным интерфейсом жизни. Кампании, ориентированные на подмену приложений и заражение через псевдосервисы, сделали атаку массовой и менее заметной для пользователя. Исследовательские публикации конца 2010-х показали, что масштаб мобильного наблюдения может быть транснациональным, а инфраструктура - распределённой, с использованием легитимных облачных и сетевых сервисов. Этот уровень уже ближе к "организованной" модели: нужны операторы, техподдержка, обновления, сбор и обработка данных.
В 2020-е на первый план выходит слияние киберопераций с большими конфликтами, а также индустриализация киберпреступности. Для региона заметны три изменения.
Первое изменение - расширение "витрины". Кампании всё чаще используют актуальные события как оболочку, чтобы повысить правдоподобие. Это не украшение, а механизм масштабирования. Когда повестка совпадает с эмоциями и тревогами аудитории, снижается порог критичности, и атака становится дешевле. Второе изменение - сближение шпионажа и вымогательства. Раньше эти миры в аналитике разделяли.
В последние годы многие отчёты фиксируют перекрёстные практики: проникновение ради данных, затем давление на жертву; или получение доступа в рамках шпионажа и дальнейшая монетизация через посредников. Это не всегда означает, что "одна и та же группа" делает всё. Часто это означает рынок, где доступ становится товаром.
Третье изменение - нормализация разрушительных действий. На фоне войн и политической поляризации появляется больше случаев, когда целью становится не только сбор данных, но и нарушение работы систем, уничтожение информации, атаки на репутацию. Это особенно заметно в линиях, которые исследователи связывают с конфликтом Израиль-ХАМАС и более широким противостоянием в регионе. Здесь снова важна точность: часть сообщений относится к шпионажу, часть - к разрушительным операциям, часть - к "хактивизму". В публичной среде всё это может звучать как одно и то же, но по механизмам это разные истории.
Показательный пример 2024 года - материалы исследовательских команд, связывающие активность группы WIRTE с более ранними кластерами Gaza Cybergang и фиксирующие расширение от шпионажа к разрушительным действиям. Это важно для понимания эволюции: когда группа переходит от скрытого сбора к разрушению, меняется и политический смысл, и риск эскалации, и внимание правоохранителей. Такие переходы редко происходят "внезапно". Чаще они отражают изменение задач, ресурсную поддержку и ощущение безнаказанности. Отдельного разговора требует индустрия коммерческого шпионажа и серого рынка. Ближний Восток - один из регионов, где правозащитные и исследовательские центры чаще всего фиксировали применение коммерческих шпионских инструментов против гражданского общества, юристов, журналистов и политических оппонентов. Здесь опасность двойная. С одной стороны, такие инструменты расширяют способность государства наблюдать без судебного контроля. С другой стороны, они создают рынок, где уязвимости и эксплуатационные цепочки становятся активом, а значит, стимулируется их скрытие, а не исправление. Это похоже на криминальную экономику, только с юридической упаковкой и политической легитимацией. Если смотреть на структуру "цифрового подполья" как на ОПГ в современном смысле, то ключевые роли распределяются не по харизме, а по функциям. Есть операторы, которые ведут цели и поддерживают скрытый доступ. Есть поставщики инфраструктуры и инструментов, включая тех, кто продаёт готовые решения. Есть посредники, которые превращают доступ и данные в деньги, используя криптовалютные и офшорные контуры. Есть информационные игроки, которые поддерживают нарративы, запускают утечки, фабрикуют документы и управляют тем, как событие будет прочитано в медиа. Это и есть "организованность". Что принципиально отличает ближневосточную сцену от условно "универсальной" киберпреступности, так это тесная связка с государственностью и конфликтами. В иных регионах криминальные группы могут существовать относительно автономно. Здесь же даже чисто криминальные операции часто вынуждены учитывать санкционную экономику, политические риски и границы допустимого для разных юрисдикций. Это не делает их "менее криминальными". Это делает их более контекстными.
С точки зрения устойчивости на 2025 год и начала 2026 года наиболее вероятна не "смена поколения" акторов, а усиление гибридности. Будет больше смешения: шпионаж с элементами давления, давление с элементами разрушения, коммерческие инструменты на стороне политических задач, криминальная монетизация на базе политически мотивированных проникновений. Для исследовательского письма важно заранее зафиксировать границу: описывать эти процессы можно, не превращая текст в инструкцию. Достаточно анализировать организационную модель, экономику мотиваций, конфликты интересов и эффект для общества. В контексте вашей серии про ОПГ мира этот выпуск полезен тем, что он показывает сдвиг самого понятия "подполье". В цифровой среде подполье может быть высоко публичным, даже демонстративным, потому что анонимность, распределённость и юридическая фрагментация создают ощущение защищённости. Но именно это делает цифровую организованную преступность более опасной для повседневной жизни: она вмешивается не в отдельные кварталы и рынки, а в доверие к коммуникации, в целостность данных, в устойчивость инфраструктуры и в право человека на частную жизнь. И если у классической ОПГ территориальная власть измерялась контролем улиц, то у цифровых кланов власть измеряется контролем доступа, внимания и следов.
- NSA, CISA, FBI, DC3. "Iranian Cyber Actors May Target Vulnerable U.S. Networks and Entities of Interest" - совместный факт-лист (PDF) (2025)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- CISA. "Iranian Cyber Actors May Target Vulnerable U.S. Networks and Entities of Interest" - карточка ресурса с контекстом и ссылками на связанные продукты (2025)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- CISA. "Iranian Government-Sponsored Actors Conduct Cyber Operations" (AA22-055A) - совместное предупреждение о тактиках и инфраструктуре (2022)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- CISA. "Iranian Cyber Actors Enable Ransomware Attacks on U.S. Organizations" (AA24-241A, PDF) - совместное предупреждение о связке шпионажа и вымогательства (2024)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- Google Cloud Threat Intelligence. "Untangling Iran's APT42 Operations" - разбор кластера, целей и приёмов (2024)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- Google Threat Analysis Group. "Iranian-backed group steps up phishing campaigns" - наблюдения по кампаниям и защита пользователей (2024)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- MITRE ATT&CK. "APT42" - профиль группы и связки техник (обновляется)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- MITRE ATT&CK. "OilRig (APT34)" - профиль группы и связки техник (обновляется)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- Proofpoint. "TA402 Uses Complex IronWind Infection Chains to Target Middle East-Based Government Entities" - анализ кампаний и цепочек заражения (2023)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- Proofpoint. "Crossed wires: a case study of Iranian espionage and attribution" - кейс по атрибуции и методам шпионажа (2025)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- Check Point Research. "Hamas-affiliated Threat Actor WIRTE... Moves to Disruptive Activity" - переход от шпионажа к разрушительным действиям (2024)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- ESET Research. "Arid Viper... poisons Palestinian app with AridSpy spyware" - мобильные кампании и региональная специфика (2024)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- Lookout. "Dark Caracal" - расследование мобильного шпионажа, инфраструктуры и географии атак (PDF) (2018)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- Citizen Lab. "GeckoSpy: Pegasus Spyware Used against Thailand's Pro-Democracy Movement" - форензика и контекст применения коммерческого шпионажа (2022)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- Access Now. "Between a hack and a hard place: how Pegasus spyware crushes civic space in Jordan" - расследование и правозащитный контекст (2024)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
- Access Now. "Pegasus infections in Jordan in 2022 and 2023: a technical brief" - технический разбор подтверждённых заражений (PDF) (2024)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.Проверено 22.01.2026
Этот обзор носит исключительно информационный характер и не является руководством к применению. Мы рекомендуем соблюдать законодательства любых стран! Автор не имеет конфликта интересов, статья подготовлена на основе открытых данных и рецензируемых публикаций, перечисленных по ходу текста или собраны в конце статьи. Этот материал был создан с использованием нескольких редакционных инструментов, включая искусственный интеллект, как часть процесса. Редакторы-люди проверяли этот контент перед публикацией.
Нажимай на изображение ниже, там ты найдешь все информационные ресурсы A&N
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
