Израильские исследователи киберсферы раскрыли, что то, что на протяжении лет выглядело как преступная хакерская группа, действовавшая ради финансовой выгоды, совершая кибератаки на сотни организаций, занимаясь вымогательством и продажей вредоносных инструментов, на самом деле является ударным киберподразделением террористической группировки “Хизбалла”.
Хакеры, как следует из выводов проведенного расследования, скрывали свою идеологическую направленность под прикрытием обычной цифровой киберпреступности, а члены хакерской группы работали в гражданских компаниях, не вызывая подозрений. В центре разоблачения оказался студент из Ливана, который работал программистом в технологических компаниях и одновременно руководил сетью атак в интересах “Хизбаллы”.
Расследование было проведено израильской киберкомпанией DOS-OP и центром “Альма” по изучению вопросов безопасности на северной арене. В результате удалось уличить студента из Ливана Карима Файяда, которому чуть больше 20-ти лет. Он руководил сетью хакеров BQTLock.
Файяд и его группа действовали по четко выраженной преступной схеме, включавшей кражу денег, вымогательство и продажу инструментов для атак - модель, называемая “выкуп, как услуга”. Однако за криминальной кибердеятельностью стояла скоординированная система, связанная с киберподразделением “Хизбаллы”, служившая как для финансирования, так и для достижения идеологических целей. Группа Файяда сумела зашифровать более 540 серверов по всему миру и похитить крупные объемы чувствительных данных.
Карим Файяд, студент факультета компьютерной инженерии американского университета в Бейруте, параллельно работал в гражданских хайтек-компаниях и специализировался на разработке систем искусственного интеллекта. За этой гражданской деятельностью велась “двойная жизнь”: Файяд был активистом в движении “Скауты имама аль-Махди” - молодежного крыла “Хизбаллы”. Он использовал профессиональные навыки, которые освоил, чтобы вести международную сеть атак в интересах “Хизбаллы”.
Группа хакеров под руководством Файяда атаковала в том числе инфраструктуру в Израиле, включая аэропорт Бен-Гурион, компании Bezeq и Partner, и брала на себя ответственность за атаки на оборонные компании. Вне Израиля данная группа атаковала медицинские системы в Индии, майнинговые серверы в Саудовской Аравии и школы в Объединенных Арабских Эмиратах.
По словам Таля Бари, руководителя расследования в центре “Альма”, серьезность раскрытия заключается в том, что “атаки программ-вымогателей - это не просто цифровая преступность, а часть системы, соединяющей воедино интересы безопасности, идеологии и экономики”.