Iranische Bedrohungsakteure waren diesen Monat sowohl auf dem Radar als auch im Fadenkreuz der US-Regierung und von Sicherheitsforschern, was anscheinend ein Hochfahren und ein anschließendes Durchgreifen war Bedrohungsaktivität von Advanced Persistent Threat (APT)-Gruppen, die mit dem iranischen Korps der Islamischen Revolutionsgarde (IRGC) in Verbindung stehen.
Das teilte die US-Regierung am Mittwoch zeitgleich mit ein ausgeklügeltes Hacking-Schema von und Anklagen gegen mehrere iranische Staatsangehörige dank kürzlich entsiegelter Gerichtsdokumente und warnte US-Organisationen vor iranischen APT-Aktivitäten bekannte Schwachstellen ausnutzen – einschließlich der weithin angegriffenen ProxyShell und Log4Shell Schwachstellen – zum Zweck von Ransomware-Angriffen.
In der Zwischenzeit haben separate Untersuchungen kürzlich ergeben, dass ein staatlich geförderter iranischer Bedrohungsakteur als APT42 verfolgt wurde wurde verbunden zu mehr als 30 bestätigten Cyberspionage-Angriffen seit 2015, die auf Einzelpersonen und Organisationen mit strategischer Bedeutung für den Iran abzielten, mit Zielen in Australien, Europa, dem Nahen Osten und den Vereinigten Staaten.
Die Nachricht kommt inmitten wachsender Spannungen zwischen den Vereinigten Staaten und dem Iran auf den Fersen verhängte Sanktionen gegen die islamische Nation wegen ihrer jüngsten APT-Aktivitäten, einschließlich eines Cyberangriffs gegen die albanische Regierung im Juli, der zur Schließung von Regierungswebsites und öffentlichen Online-Diensten führte und weithin gegeißelt wurde.
Da die politischen Spannungen zwischen dem Iran und dem Westen zunehmen, während sich die Nation enger mit China und Russland verbündet, wächst die politische Motivation des Iran für seine Cyber-Bedrohungsaktivitäten, sagten Forscher. Angriffe werden eher finanziell getrieben, wenn sie mit Sanktionen von politischen Feinden konfrontiert werden, bemerkt Nicole Hoffman, Senior Cyber-Threat Intelligence Analyst beim Anbieter von Risikoschutzlösungen Digital Shadows.
Beständig und vorteilhaft
Während die Schlagzeilen einen Anstieg der jüngsten Cyber-Bedrohungsaktivitäten iranischer APTs widerzuspiegeln scheinen, sagten Forscher, dass die jüngsten Nachrichten über Angriffe und Anklagen eher ein Spiegelbild der anhaltenden und anhaltenden Aktivitäten des Iran zur Förderung seiner cyberkriminellen Interessen und seiner politischen Agenda auf der ganzen Welt sind .
„Die verstärkte Berichterstattung der Medien über die Cyber-Bedrohungsaktivitäten des Iran korreliert nicht unbedingt mit einem Anstieg dieser Aktivitäten“, bemerkte Emiel Haeghebaert, Analyst bei Mandiant, in einer E-Mail an Dark Reading.
„Wenn Sie herauszoomen und das volle Ausmaß der nationalstaatlichen Aktivitäten betrachten, hat der Iran seine Bemühungen nicht verlangsamt“, stimmt Aubrey Perin, Lead Threat Intelligence Analyst bei Qualys, zu. „Wie bei jeder organisierten Gruppe ist ihre Beharrlichkeit der Schlüssel zu ihrem Erfolg, sowohl kurz- als auch langfristig.“
Dennoch ist der Iran, wie jeder Bedrohungsakteur, opportunistisch, und die allgegenwärtige Angst und Unsicherheit, die derzeit aufgrund geopolitischer und wirtschaftlicher Herausforderungen – wie dem anhaltenden Krieg in der Ukraine, der Inflation und anderen globalen Spannungen – besteht, beflügelt sicherlich ihre APT-Bemühungen, sagte er sagt.
Behörden nehmen Kenntnis
Das wachsende Selbstvertrauen und der Mut der iranischen APTs sind von den globalen Behörden nicht unbemerkt geblieben – einschließlich derjenigen in den Vereinigten Staaten, die die anhaltenden feindseligen Cyber-Engagements der Nation anscheinend satt haben, nachdem sie sie mindestens das letzte Jahrzehnt lang ertragen haben.
Eine Anklageschrift, die am Mittwoch vom Justizministerium (DoJ), der US-Staatsanwaltschaft, Bezirk New Jersey, entsiegelt wurde, warf ein spezifisches Licht auf die Ransomware-Aktivitäten, die zwischen Februar 2021 und Februar 2022 stattfanden und Hunderte von Opfern in mehreren US-Bundesstaaten betrafen, darunter Illinois, Mississippi, New Jersey, Pennsylvania und Washington.
Die Anklageschrift enthüllte, dass von Oktober 2020 bis heute drei iranische Staatsangehörige – Mansour Ahmadi, Ahmad Khatibi Aghda und Amir Hossein Nickaein Ravari – an Ransomware-Angriffen beteiligt waren, bei denen bekannte Schwachstellen ausgenutzt wurden, um Daten von Hunderten von Opfern in den Vereinigten Staaten zu stehlen und zu verschlüsseln. Großbritannien, Israel, Iran und anderswo.
Die Cybersecurity and Infrastructure Security Agency (CISA), das FBI und andere Behörden warnten daraufhin, dass Akteure, die mit dem IRGC in Verbindung stehen, einer iranischen Regierungsbehörde, die mit der Verteidigung der Führung vor wahrgenommenen internen und externen Bedrohungen beauftragt ist, Microsoft ausgenutzt haben und wahrscheinlich weiterhin ausnutzen werden und Fortinet-Sicherheitslücken – einschließlich einer Exchange Server-Schwachstelle, bekannt als ProxyShell — in Aktivität, die zwischen Dezember 2020 und Februar 2021 festgestellt wurde.
Die Angreifer, von denen angenommen wird, dass sie auf Geheiß eines iranischen APT handelten, nutzten die Sicherheitslücken, um sich für Ransomware und andere cyberkriminelle Operationen ersten Zugang zu Unternehmen in mehreren kritischen US-Infrastruktursektoren und Organisationen in Australien, Kanada und dem Vereinigten Königreich zu verschaffen, so die Agenturen sagte.
Bedrohungsakteure schirmen ihre böswilligen Aktivitäten mit zwei Firmennamen ab: Najee Technology Hooshmand Fater LLC mit Sitz in Karaj, Iran; und Afkar System Yazd Company mit Sitz in Yazd, Iran, laut Anklageschrift.
APT42 & Die Bedrohungen verstehen
Wenn die jüngste Flut von Schlagzeilen, die sich auf iranische APTs konzentrierten, schwindelerregend erscheint, dann deshalb, weil es Jahre der Analyse und Detektivarbeit gekostet hat, nur um die Aktivität zu identifizieren, und Behörden und Forscher gleichermaßen versuchen, alles zu verstehen, sagt Hoffman von Digital Shadows.
„Wenn diese Angriffe einmal identifiziert sind, dauert es auch angemessen, bis sie untersucht werden“, sagt sie. „Es gibt viele Puzzleteile, die analysiert und zusammengesetzt werden müssen.“
Forscher bei Mandiant haben kürzlich ein Rätsel zusammengestellt, das aufgedeckt hat Jahre Cyberspionage das als Spear-Phishing beginnt, aber zur Überwachung und Überwachung von Android-Telefonen durch das IRGC-verbundene APT42 führt, von dem angenommen wird, dass es sich um eine Untergruppe einer anderen iranischen Bedrohungsgruppe handelt, APT35/Charmantes Kätzchen/Phosphor.
Zusammen sind die beiden Gruppen auch Sie zu einem nicht kategorisierten Bedrohungscluster, der als UNC2448 verfolgt wird und von Microsoft und Secureworks als eine Phosphorus-Untergruppe identifiziert wurde, die Ransomware-Angriffe mit BitLocker ausführt, um finanziellen Gewinn zu erzielen, sagten Forscher.
Um die Verschwörung noch weiter zu verdichten, scheint diese Untergruppe von einem Unternehmen betrieben zu werden, das zwei öffentliche Aliase verwendet, Secnerd und Lifeweb, die Verbindungen zu einem der Unternehmen haben, das von den im Fall des Justizministeriums angeklagten iranischen Staatsangehörigen geführt wird: Najee Technology Hooshmand.
Selbst wenn Organisationen die Auswirkungen dieser Enthüllungen absorbieren, sagten Forscher, dass die Angriffe noch lange nicht vorbei sind und sich wahrscheinlich diversifizieren werden, da der Iran sein Ziel fortsetzt, politische Dominanz auf seine Feinde auszuüben, bemerkte Haeghebaert von Mandiant in seiner E-Mail.
„Wir gehen davon aus, dass der Iran langfristig weiterhin das gesamte Spektrum der Operationen nutzen wird, die durch seine Cyber-Fähigkeiten ermöglicht werden“, sagte er gegenüber Dark Reading. „Darüber hinaus glauben wir, dass störende Aktivitäten mit Ransomware, Wiper und anderen Lock-and-Leak-Techniken immer häufiger werden könnten, wenn der Iran auf der internationalen Bühne isoliert bleibt und sich die Spannungen mit seinen Nachbarn in der Region und im Westen weiter verschärfen.“
