Η κατάργηση της ιρανικής δραστηριότητας απειλών προκαλεί προειδοποιήσεις, κατηγορίες από την κυβέρνηση των ΗΠΑ

Οι ιρανικοί παράγοντες απειλών βρίσκονται στο ραντάρ και στο στόχαστρο της αμερικανικής κυβέρνησης και των ερευνητών ασφαλείας τόσο αυτόν τον μήνα, με κάτι που φαίνεται να είναι μια άνοδος και επακόλουθη καταστολή απειλητική δραστηριότητα από ομάδες προηγμένων επίμονων απειλών (APT) που σχετίζονται με το Σώμα Φρουρών της Ισλαμικής Επανάστασης του Ιράν (IRGC).

Η αμερικανική κυβέρνηση την Τετάρτη αποκάλυψε ταυτόχρονα ένα περίπλοκο σχέδιο πειρατείας από και κατηγορητήρια κατά αρκετών Ιρανών υπηκόων χάρη σε πρόσφατα αποσφραγισμένα δικαστικά έγγραφα και προειδοποιήθηκαν οι αμερικανικές οργανώσεις για τη δραστηριότητα του ιρανικού APT να εκμετάλλευση γνωστών τρωτών σημείων — συμπεριλαμβανομένου του ProxyShell που δέχτηκε ευρέως επιθέσεις και Log4Shell ελαττώματα — για επιθέσεις ransomware.

Εν τω μεταξύ, ξεχωριστή έρευνα αποκάλυψε πρόσφατα ότι ένας παράγοντας απειλής που χρηματοδοτείται από το Ιράν παρακολουθείται ως APT42 έχει συνδεθεί σε περισσότερες από 30 επιβεβαιωμένες επιθέσεις κυβερνοκατασκοπείας από το 2015, οι οποίες στόχευαν άτομα και οργανισμούς στρατηγικής σημασίας για το Ιράν, με στόχους στην Αυστραλία, την Ευρώπη, τη Μέση Ανατολή και τις Ηνωμένες Πολιτείες.

Τα νέα έρχονται εν μέσω αυξανόμενων εντάσεων μεταξύ των Ηνωμένων Πολιτειών και του Ιράν κυρώσεις που επιβλήθηκαν εναντίον του ισλαμικού έθνους για την πρόσφατη δραστηριότητά του APT, συμπεριλαμβανομένης μιας κυβερνοεπίθεσης εναντίον του Αλβανική κυβέρνηση τον Ιούλιο, που προκάλεσε το κλείσιμο των κυβερνητικών ιστοτόπων και των διαδικτυακών δημόσιων υπηρεσιών και επικρίθηκε ευρέως.

Επιπλέον, με τις πολιτικές εντάσεις μεταξύ του Ιράν και της Δύσης να εντείνονται καθώς το έθνος ευθυγραμμίζεται πιο στενά με την Κίνα και τη Ρωσία, τα πολιτικά κίνητρα του Ιράν για τη δραστηριότητά του που απειλεί τον κυβερνοχώρο αυξάνεται, δήλωσαν ερευνητές. Οι επιθέσεις είναι πιο πιθανό να κατευθύνονται οικονομικά όταν αντιμετωπίζουν κυρώσεις από πολιτικούς εχθρούς, σημειώνει η Nicole Hoffman, ανώτερη αναλύτρια πληροφοριών κυβερνοαπειλών στην εταιρεία παροχής λύσεων προστασίας κινδύνου Digital Shadows.

Επίμονος & Επωφελής

Ωστόσο, ενώ τα πρωτοσέλιδα φαίνεται να αντικατοπτρίζουν μια έκρηξη της πρόσφατης δραστηριότητας κυβερνοαπειλής από ιρανικά APT, οι ερευνητές είπαν ότι οι πρόσφατες ειδήσεις για επιθέσεις και κατηγορίες αντικατοπτρίζουν περισσότερο την επίμονη και συνεχιζόμενη δραστηριότητα του Ιράν για την προώθηση των κυβερνοεγκληματικών συμφερόντων και της πολιτικής ατζέντας του σε όλο τον κόσμο. .

«Η αυξημένη αναφορά των μέσων ενημέρωσης σχετικά με τη δραστηριότητα κυβερνοαπειλής του Ιράν δεν συσχετίζεται απαραίτητα με την αύξηση της εν λόγω δραστηριότητας», σημείωσε ο αναλυτής της Mandiant, Emiel Haeghebaert, σε ένα email στο Dark Reading.

«Αν κάνετε σμίκρυνση και δείτε το πλήρες εύρος της δραστηριότητας των εθνικών κρατών, το Ιράν δεν έχει επιβραδύνει τις προσπάθειές του», συμφωνεί ο Aubrey Perin, επικεφαλής αναλυτής πληροφοριών απειλών στην Qualys. «Όπως κάθε οργανωμένη ομάδα, η επιμονή τους είναι το κλειδί για την επιτυχία τους, τόσο μακροπρόθεσμα όσο και βραχυπρόθεσμα».

Ωστόσο, το Ιράν, όπως κάθε παράγοντας απειλής, είναι οπορτουνιστικό και ο διάχυτος φόβος και η αβεβαιότητα που υπάρχει αυτή τη στιγμή λόγω γεωπολιτικών και οικονομικών προκλήσεων - όπως ο συνεχιζόμενος πόλεμος στην Ουκρανία, ο πληθωρισμός και άλλες παγκόσμιες εντάσεις - σίγουρα ενισχύει τις προσπάθειές τους για την APT. λέει.

Οι αρχές λαμβάνουν υπόψη

Η αυξανόμενη αυτοπεποίθηση και η τόλμη των ιρανικών APT δεν πέρασε απαρατήρητη από τις παγκόσμιες αρχές - συμπεριλαμβανομένων εκείνων στις Ηνωμένες Πολιτείες, που φαίνεται να έχουν βαρεθεί με τις επίμονες εχθρικές δεσμεύσεις του έθνους στον κυβερνοχώρο, έχοντας τις υπομείνει τουλάχιστον την τελευταία δεκαετία.

Ένα κατηγορητήριο που αποσφραγίστηκε την Τετάρτη από το Υπουργείο Δικαιοσύνης (DoJ), την Εισαγγελία των ΗΠΑ, την Περιφέρεια του Νιου Τζέρσεϋ έριξε συγκεκριμένο φως στη δραστηριότητα ransomware που έλαβε χώρα μεταξύ Φεβρουαρίου 2021 και Φεβρουαρίου 2022 και επηρέασε εκατοντάδες θύματα σε πολλές πολιτείες των ΗΠΑ, συμπεριλαμβανομένου του Ιλινόις. Μισισιπή, Νιου Τζέρσεϊ, Πενσυλβάνια και Ουάσιγκτον.

Το κατηγορητήριο αποκάλυψε ότι από τον Οκτώβριο του 2020 έως σήμερα, τρεις Ιρανοί υπήκοοι — Mansour Ahmadi, Ahmad Khatibi Aghda και Amir Hossein Nickaein Ravari — συμμετείχαν σε επιθέσεις ransomware που εκμεταλλεύονταν γνωστά τρωτά σημεία για να κλέψουν και να κρυπτογραφήσουν δεδομένα εκατοντάδων θυμάτων στις Ηνωμένες Πολιτείες. το Ηνωμένο Βασίλειο, το Ισραήλ, το Ιράν και αλλού.

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA), το FBI και άλλες υπηρεσίες προειδοποίησαν στη συνέχεια ότι παράγοντες που σχετίζονται με το IRGC, μια ιρανική κυβερνητική υπηρεσία που έχει επιφορτιστεί με την υπεράσπιση της ηγεσίας από αντιληπτές εσωτερικές και εξωτερικές απειλές, εκμεταλλεύονται και είναι πιθανό να συνεχίσουν να εκμεταλλεύονται τη Microsoft και τρωτά σημεία του Fortinet — συμπεριλαμβανομένου ενός ελαττώματος του Exchange Server γνωστό ως ProxyShell — σε δραστηριότητα που εντοπίστηκε μεταξύ Δεκεμβρίου 2020 και Φεβρουαρίου 2021.

Οι επιτιθέμενοι, που πιστεύεται ότι ενεργούσαν κατ' εντολή ενός ιρανικού APT, χρησιμοποίησαν τα τρωτά σημεία για να αποκτήσουν αρχική πρόσβαση σε οντότητες σε πολλούς τομείς και οργανισμούς ζωτικής σημασίας των ΗΠΑ στην Αυστραλία, τον Καναδά και το Ηνωμένο Βασίλειο για ransomware και άλλες κυβερνοεγκληματικές επιχειρήσεις, οι υπηρεσίες είπε.

Οι δράστες απειλών θωρακίζουν τις κακόβουλες δραστηριότητές τους χρησιμοποιώντας δύο ονόματα εταιρειών: Najee Technology Hooshmand Fater LLC, με έδρα το Karaj του Ιράν. και Afkar System Yazd Company, με έδρα το Yazd του Ιράν, σύμφωνα με τα κατηγορητήρια.

APT42 & Κατανοώντας τις Απειλές

Αν το πρόσφατο πλήθος των πρωτοσέλιδων που επικεντρώνονται στα ιρανικά APT φαίνονται ιλιγγιώδες, είναι επειδή χρειάστηκαν χρόνια ανάλυσης και έρευνας μόνο για να εντοπιστεί η δραστηριότητα, και οι αρχές και οι ερευνητές εξακολουθούν να προσπαθούν να τυλίξουν το κεφάλι τους γύρω από όλα αυτά, λέει ο Hoffman της Digital Shadows.

«Αφού εντοπιστούν, αυτές οι επιθέσεις χρειάζονται επίσης εύλογο χρονικό διάστημα για να διερευνηθούν», λέει. «Υπάρχουν πολλά κομμάτια παζλ για ανάλυση και σύνθεση».

Οι ερευνητές στο Mandiant έφτιαξαν πρόσφατα ένα παζλ που αποκάλυψε χρόνια δραστηριότητας κυβερνοκατασκοπείας που ξεκινά ως spear-phishing αλλά οδηγεί σε παρακολούθηση και επιτήρηση τηλεφώνου Android από την APT42 που συνδέεται με το IRGC, που πιστεύεται ότι είναι υποσύνολο άλλης ιρανικής ομάδας απειλής, APT35/Γοητευτικό γατάκι/Φώσφορος.

Μαζί είναι και οι δύο ομάδες συνδεδεμένος σε ένα μη κατηγοριοποιημένο σύμπλεγμα απειλών που παρακολουθείται ως UNC2448, το οποίο προσδιορίζεται από τη Microsoft και τη Secureworks ως υποομάδα Phosphorus που πραγματοποιεί επιθέσεις ransomware για οικονομικό όφελος χρησιμοποιώντας το BitLocker, είπαν οι ερευνητές.

Για να πυκνώσει ακόμη περισσότερο η πλοκή, αυτή η υποομάδα φαίνεται να λειτουργεί από μια εταιρεία που χρησιμοποιεί δύο δημόσια ψευδώνυμα, τη Secnerd και τη Lifeweb, που έχουν συνδέσμους με μία από τις εταιρείες που διευθύνονται από τους Ιρανούς υπηκόους που κατηγορούνται στην υπόθεση του DoJ: Najee Technology Hooshmand.

Ακόμη και καθώς οι οργανισμοί απορροφούν τον αντίκτυπο αυτών των αποκαλύψεων, οι ερευνητές είπαν ότι οι επιθέσεις δεν έχουν τελειώσει και πιθανότατα θα διαφοροποιηθούν καθώς το Ιράν συνεχίζει τον στόχο του να ασκεί πολιτική κυριαρχία στους εχθρούς του, σημείωσε ο Haeghebaert του Mandiant στο email του.

«Εκτιμούμε ότι το Ιράν θα συνεχίσει να χρησιμοποιεί όλο το φάσμα των επιχειρήσεων που επιτρέπουν οι κυβερνοδυνάμεις του μακροπρόθεσμα», είπε στο Dark Reading. «Επιπλέον, πιστεύουμε ότι η ανατρεπτική δραστηριότητα χρησιμοποιώντας ransomware, υαλοκαθαριστήρες και άλλες τεχνικές κλειδώματος και διαρροής μπορεί να γίνει ολοένα και πιο συνηθισμένη εάν το Ιράν παραμείνει απομονωμένο στη διεθνή σκηνή και οι εντάσεις με τους γείτονές του στην περιοχή και τη Δύση συνεχίσουν να επιδεινώνονται».