Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Как хакеры маскируются под рекрутеров

22
3 мин
изображение: recraft Иранские хакеры запустили шпионскую кампанию против авиационных и нефтегазовых компаний, прикрываясь фальшивыми вакансиями и заражённым софтом для видеосвязи. Под прицелом оказались организации в США, Израиле и ОАЭ. Основная мишень злоумышленников — программисты с широким доступом к корпоративным сетям. Исследователи Unit 42 из Palo Alto Networks рассказали CNN, как устроена схема. Атакующие выдавали себя за HR-специалистов, переписывались с потенциальными жертвами и предлагали пройти видеособеседование через программу для конференций, в которую заранее зашили вредоносный код. В одном эпизоде преступники прикинулись сотрудниками крупной американской авиакомпании. Расчёт прозрачный — получить вход во внутренние системы и вытащить оттуда разведданные. Кого именно искали хакеры: Для атакующих такой работник — практически универсальный ключ. С его аккаунта открывается обзор на внутренние процессы, инфраструктуру, рабочие коммуникации и техническую кухню компании целико

изображение: recraft

Иранские хакеры запустили шпионскую кампанию против авиационных и нефтегазовых компаний, прикрываясь фальшивыми вакансиями и заражённым софтом для видеосвязи. Под прицелом оказались организации в США, Израиле и ОАЭ. Основная мишень злоумышленников — программисты с широким доступом к корпоративным сетям.

Исследователи Unit 42 из Palo Alto Networks рассказали CNN, как устроена схема. Атакующие выдавали себя за HR-специалистов, переписывались с потенциальными жертвами и предлагали пройти видеособеседование через программу для конференций, в которую заранее зашили вредоносный код. В одном эпизоде преступники прикинулись сотрудниками крупной американской авиакомпании. Расчёт прозрачный — получить вход во внутренние системы и вытащить оттуда разведданные.

Кого именно искали хакеры:

  • инженеров-программистов с расширенными правами в инфраструктуре;
  • технических специалистов, имеющих доступ к внутренней документации;
  • сотрудников, через чьи учётные записи можно изучить корпоративные сервисы и переписку.

Для атакующих такой работник — практически универсальный ключ. С его аккаунта открывается обзор на внутренние процессы, инфраструктуру, рабочие коммуникации и техническую кухню компании целиком.

Любопытно, что вместо грубых фишинговых рассылок злоумышленники выстраивают вокруг жертвы полноценную легенду — карьерное предложение, общение с «рекрутёром», обсуждение условий. Жертва сама идёт навстречу, думая, что ей светит новая работа.

Аналитики Unit 42 связывают эту операцию с обострением противостояния США, Израиля и Ирана. Доступ к авиационной отрасли или нефтегазовому сектору теоретически открывает атакующим много полезного:

  • данные о перемещениях и логистике;
  • сведения о состоянии энергетического рынка;
  • внутренние корпоративные процессы критически значимых отраслей;
  • объёмы персональных данных клиентов и подрядчиков.

Подтверждений успешного взлома авиационных или нефтегазовых целей пока нет — об этом представители Unit 42 прямо сказали CNN. При этом исследователи допускают, что глобальная операция задела и другие компании, но от называть их отказались.

Схема почти дословно копирует приёмы северокорейских группировок. Те давно практикуют поддельные вакансии и фиктивные IT-собеседования, чтобы пробраться в технологические фирмы. Теперь ту же модель освоили иранские операторы. Грубые письма со ссылками уходят в прошлое, на смену им приходит длинная история про трудоустройство.

Президент Aviation Information Sharing and Analysis Center Джеффри Трой заявил CNN, что отрасль ждала подобного. По словам Троя, специалисты прогнозировали всплеск активности после начала военного конфликта. Он добавил, что заметно прибавилось схем с фиктивными IT-специалистами и попытками выманить учётные данные через службы внутренней поддержки.

Почему авиация — лакомая мишень:

  • авиакомпании и аэропорты хранят гигантские массивы персональных данных;
  • через эти системы проходит вся логистика перевозок;
  • внутренние коммуникации содержат сведения о подрядчиках и партнёрах;
  • даже частичный доступ несёт серьёзную разведывательную ценность.
Стоит обратить внимание, что Иран связывают с атаками на авиасектор не впервые. Раньше похожие группы подозревали в слежке за диссидентами и отдельными лицами за рубежом через системы авиакомпаний.

Сейчас интересы атакующих выглядят куда шире. Это больше похоже на системную попытку добыть разведданные через корпоративную инфраструктуру, а не точечную охоту за конкретными людьми.

Проиранская группа «Исламское киберсопротивление в Ираке 313» взяла на себя ответственность за массовый сбой Spotify 12 мая 2026 года. Хакеры назвали DDoS-атаку «местью» за действия США. Spotify признавал проблемы с приложением и веб-плеером, но официально связь с группировкой не подтвердил.

Ещё один эпизод связан с автозаправками. Иранских хакеров подозревают во взломе систем контроля топливных резервуаров на американских АЗС. По информации CNN, атакующие добрались до онлайн-мониторинга топлива в нескольких штатах. Часть таких систем висела в открытом доступе вообще без паролей, что встревожило специалистов по защите инфраструктуры.

Эксперты редакции CISOCLUB уверены, что компаниям из критических отраслей пора пересматривать процедуры найма и проверки кандидатов. Видеособеседование с незнакомым «рекрутёром» давно перестало быть безобидной формальностью.

Оригинал публикации на сайте CISOCLUB: "Иранских хакеров обвинили в атаках на авиационные и нефтегазовые компании США, Израиля и ОАЭ".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.