В субботу вечером иранская хакерская группа «Обещанное возмездие» атаковала интернет-компанию Rimon, предоставляющую услуги фильтрации интернет-трафика для религиозной и ультраортодоксальной общественности.
Инцидент начался около 23:30, и с тех пор многие клиенты сообщали о серьёзных перебоях в предоставлении услуг, вплоть до частичного или полного отключения от сети.
Сама компания опубликовала сегодня утром следующий ответ: «23.08.2025 (29 ава 5785) мы обнаружили атаку враждебного субъекта. Сразу после обнаружения инцидента мы начали блокировать атаку совместно с группой реагирования. В настоящее время, после масштабных мероприятий, проведённых технологическими службами компании и другими ведущими специалистами в Израиле, мы восстанавливаем подключение наших клиентов к услуге. Некоторые клиенты могут по-прежнему испытывать трудности с подключением к интернету и перебои в работе сервисов фильтрации. Компания делает всё возможное для восстановления бесперебойной и полной работы сервиса. Мы благодарим наших клиентов за понимание и доверие к услугам компании Rimon Internet Management».
Если посмотреть на график трафика Internet Rimon к IIX (израильский интернет-сервер), то можно заметить снижение трафика примерно в момент атаки, но не до нуля. Сегодня утром также видно, что трафик есть, и интернет есть у некоторых клиентов провайдера, но не у всех.
В то же время группа хакеров опубликовала видео, на котором, предположительно, в режиме реального времени взламываются компьютеры Rimon, выводятся из строя серверы и уничтожается внутренняя инфраструктура. Группа пока не представила доказательств кражи информации, но утверждает, что ей удалось получить конфиденциальные данные из внутренней сети компании. По данным компании, «на данном этапе нет никаких признаков утечки персональных данных клиентов».
Как работает система фильтрации Internet Rimon и каков риск взлома?
Компания Internet Rimon использует уникальный метод фильтрации контента посредством инжиниринга сетевого трафика, благодаря чему каждый веб-сайт, который посещает пользователь, проходит через серверы компании. Фактически, Rimon выступает в роли «Большого брата» для всего трафика, что достигается, в том числе, использованием законной технологии MITM (Man-in-the-Middle): компания расшифровывает зашифрованный трафик (HTTPS), сканирует его в соответствии с правилами фильтрации пользователя, «очищает» нежелательный контент и затем позволяет продолжить просмотр.
Это означает, что компания имеет доступ к конфиденциальной информации пользователей: адресам веб-сайтов, содержимому веб-страниц и даже данным доступа к определенным сайтам. Взлом серверов компании может позволить злоумышленнику получить доступ не только к данным для входа в систему клиентов, но и к личной информации конечных пользователей, включая отфильтрованный контент, настройки и переписку в различных сетях.
Помимо отключения от интернета, сервисные центры компании также недоступны, и связаться с представителем компании невозможно. В настоящее время сообщения принимаются через систему записи по номеру *8900 и на странице компании в Facebook. Веб-сайты Internet Rimon и её дочерних компаний Etrog и NetFiber также были недоступны в течение последних нескольких часов.
По состоянию на сегодняшнее утро некоторые клиенты сообщают об улучшении качества обслуживания, но, по всей видимости, это лишь частичное восстановление, и инцидент пока не полностью локализован.