Iranske trusselsaktører har været på radaren og i trådkorset for både den amerikanske regering og sikkerhedsforskere i denne måned med hvad der ser ud til at være en ramp-up i og efterfølgende undertrykkelse af trussel aktivitet fra avancerede vedvarende trusler (APT) grupper tilknyttet Irans Islamiske Revolutionsgarde (IRGC).
Den amerikanske regering afslørede onsdag samtidig en omfattende hacking-ordning af og anklager mod adskillige iranske statsborgere takket være retsdokumenter, der for nylig ikke er blevet forseglet, og advarede amerikanske organisationer om iransk APT-aktivitet til at udnytte kendte sårbarheder - inklusive den vidt angrebne ProxyShell og Log4Shell fejl — med henblik på ransomware-angreb.
I mellemtiden afslørede separat forskning for nylig, at en iransk statssponsoreret trusselsaktør blev sporet som APT42 er blevet knyttet til mere end 30 bekræftede cyberspionageangreb siden 2015, som var rettet mod enkeltpersoner og organisationer med strategisk betydning for Iran, med mål i Australien, Europa, Mellemøsten og USA.
Nyheden kommer midt i voksende spændinger mellem USA og Iran i hælene på pålagte sanktioner mod den islamiske nation for dens seneste APT-aktivitet, herunder et cyberangreb mod albanske regering i juli, hvilket forårsagede en lukning af regeringshjemmesider og offentlige onlinetjenester, og blev bredt kritiseret.
Ydermere, med de politiske spændinger mellem Iran og Vesten, der stiger, efterhånden som nationen tilpasser sig nærmere Kina og Rusland, vokser Irans politiske motivation for dets cybertrusselaktivitet, sagde forskere. Angreb er mere tilbøjelige til at blive økonomisk drevet, når de står over for sanktioner fra politiske fjender, bemærker Nicole Hoffman, senior efterretningsanalytiker for cybertrusler hos udbyderen af risikobeskyttelsesløsninger, Digital Shadows.
Vedholdende & fordelagtig
Alligevel, mens overskrifterne ser ud til at afspejle en stigning i den seneste cybertrussel fra iranske APT'er, sagde forskere, at de seneste nyheder om angreb og anklager mere er en afspejling af vedvarende og igangværende aktivitet fra Iran for at fremme dets cyberkriminelle interesser og politiske dagsorden over hele kloden .
"Øget medierapportering om Irans cybertrusselaktivitet korrelerer ikke nødvendigvis med en stigning i nævnte aktivitet," bemærkede Mandiant-analytiker Emiel Haeghebaert i en e-mail til Dark Reading.
"Hvis du zoomer ud og ser på det fulde omfang af nationalstatsaktivitet, har Iran ikke bremset deres indsats," er enig Aubrey Perin, ledende trusselsefterretningsanalytiker hos Qualys. "Ligesom enhver organiseret gruppe er deres vedholdenhed nøglen til deres succes, både på lang og kort sigt."
Alligevel er Iran, som enhver trusselaktør, opportunistisk, og den omfattende frygt og usikkerhed, der i øjeblikket eksisterer på grund af geopolitiske og økonomiske udfordringer - såsom den igangværende krig i Ukraine, inflation og andre globale spændinger - styrker bestemt deres APT-bestræbelser, han siger.
Myndighederne tager besked
Den voksende tillid og dristighed hos iranske APT'er er ikke gået ubemærket hen af globale myndigheder - inklusive dem i USA, som ser ud til at være ved at være trætte af nationens vedvarende fjendtlige cyberengagementer, efter at have udholdt dem i mindst det sidste årti.
En anklageskrift, der blev ophævet onsdag af Justitsministeriet (DoJ), US Attorney's Office, District of New Jersey, kastede specifikt lys over ransomware-aktivitet, der fandt sted mellem februar 2021 og februar 2022 og påvirkede hundredvis af ofre i flere amerikanske stater, herunder Illinois, Mississippi, New Jersey, Pennsylvania og Washington.
Anklageskriftet afslørede, at fra oktober 2020 og frem til i dag var tre iranske statsborgere - Mansour Ahmadi, Ahmad Khatibi Aghda og Amir Hossein Nickaein Ravari - involveret i ransomware-angreb, der udnyttede kendte sårbarheder til at stjæle og kryptere data fra hundredvis af ofre i USA, Storbritannien, Israel, Iran og andre steder.
Cybersecurity and Infrastructure Security Agency (CISA), FBI og andre agenturer advarede efterfølgende om, at aktører tilknyttet IRGC, et iransk regeringsagentur, der har til opgave at forsvare lederskab mod opfattede interne og eksterne trusler, har udnyttet og sandsynligvis vil fortsætte med at udnytte Microsoft og Fortinet sårbarheder - inklusive en Exchange Server-fejl kendt som ProxyShell — i aktivitet, der blev registreret mellem december 2020 og februar 2021.
Angriberne, der menes at handle på foranledning af en iransk APT, brugte sårbarhederne til at få indledende adgang til enheder på tværs af flere amerikanske kritiske infrastruktursektorer og organisationer i Australien, Canada og Storbritannien til ransomware og andre cyberkriminelle operationer. sagde.
Trusselsaktører beskytter deres ondsindede aktiviteter ved hjælp af to firmanavne: Najee Technology Hooshmand Fater LLC, baseret i Karaj, Iran; og Afkar System Yazd Company, baseret i Yazd, Iran, ifølge anklagerne.
APT42 & Give Sense of the Threats
Hvis den seneste bølge af overskrifter fokuseret på iranske APT'er virker svimlende, er det fordi det tog mange års analyse og efterforskning bare at identificere aktiviteten, og både myndigheder og forskere forsøger stadig at pakke hovedet rundt om det hele, siger Hoffman fra Digital Shadows.
"Når de er identificeret, tager disse angreb også en rimelig tid at efterforske," siger hun. "Der er mange puslespilsbrikker at analysere og sammensætte."
Forskere ved Mandiant har for nylig lagt et puslespil, der afslørede års cyberspionageaktivitet der starter som spyd-phishing, men fører til Android-telefonovervågning og overvågning af IRGC-forbundet APT42, der menes at være en undergruppe af en anden iransk trusselgruppe, APT35/Charmerende killing/fosfor.
Sammen er de to grupper også det tilsluttet til en ukategoriseret trusselklynge sporet som UNC2448, identificeret af Microsoft og Secureworks som en fosforundergruppe, der udfører ransomware-angreb for økonomisk vinding ved hjælp af BitLocker, sagde forskere.
For at fortykke plottet endnu mere, ser denne undergruppe ud til at blive drevet af et firma, der bruger to offentlige aliaser, Secnerd og Lifeweb, som har links til et af de virksomheder, der drives af de iranske statsborgere, der er tiltalt i DoJ's sag: Najee Technology Hooshmand.
Selv når organisationer absorberer virkningen af disse afsløringer, sagde forskere, at angrebene langt fra er overstået og sandsynligvis vil diversificere, efterhånden som Iran fortsætter sit mål om at udøve politisk dominans over sine fjender, bemærkede Mandiants Haeghebaert i sin e-mail.
"Vi vurderer, at Iran vil fortsætte med at bruge hele spektret af operationer, der er muliggjort af dets cyberkapaciteter på lang sigt," sagde han til Dark Reading. "Derudover mener vi, at forstyrrende aktivitet ved hjælp af ransomware, vinduesviskere og andre låse-og-læk-teknikker kan blive stadig mere almindelige, hvis Iran forbliver isoleret på den internationale scene, og spændingerne med sine naboer i regionen og Vesten fortsætter med at forværres."
