Это не просто кибератака — это цифровая оккупация. Lemon Sandstorm незаметно присутствовали в инфраструктуре Ближнего Востока два года.

Электростанции, вода, нефть — они контролировали всё, пока никто не подозревал угрозу.

Специалисты Fortinet раскрыли подробности масштабной кибератаки на критическую инфраструктуру Ближнего Востока. С мая 2023 по февраль 2025 года хакеры из группировки Lemon Sandstorm (известной также как Parisite, Pioneer Kitten, UNC757) незаметно присутствовали в сетях, связанных с энергоснабжением, водоснабжением и нефтегазовой отраслью. За группой, по мнению экспертов, стоят структуры, связанные с Ираном.

С 2017 года Lemon Sandstorm атакуют предприятия в США, Европе, на Ближнем Востоке и в Австралии, проникая через уязвимости в VPN-системах Fortinet, Pulse Secure и Palo Alto. В ходе последней атаки они действовали поэтапно. Сначала с помощью украденных учётных данных получили доступ к SSL VPN, установили веб-оболочки и три бэкдора (Havoc, HanifNet, HXLibrary). Позже добавили NeoExpressRAT, инструменты plink и Ngrok для углубления проникновения и доступа к виртуализации.

Когда специалисты попытались очистить систему, злоумышленники усилили сопротивление, задействовав MeshCentral Agent и SystemBC. После удаления вредоносного ПО они попытались вернуться через уязвимости Biotime (CVE-2023-38950–52) и фишинг против сотрудников Microsoft 365.

Lemon Sandstorm использовали как общедоступные инструменты, так и собственные разработки, включая HanifNet и HXLibrary, а также модули для кражи данных и обхода сетевой изоляции. По данным Dragos, цель атаки — попасть в закрытые OT-сети управления технологическими процессами. Доказательств того, что это удалось, пока нет, но масштабы и длительность операции говорят о высокой степени координации.