Iraani ohus osalejad on sel kuul olnud nii USA valitsuse kui ka julgeolekuteadlaste tähelepanu all ja sihtpunktis, näib olevat hoogustamine ja sellele järgnenud mahasurumine. ohutegevus arenenud püsivate ohtude (APT) rühmitustelt, mis on seotud Iraani Islami revolutsioonilise kaardiväekorpusega (IRGC).
USA valitsus teatas kolmapäeval samal ajal keerukas häkkimisskeem mitmete Iraani kodanike vastu esitatud süüdistused tänu hiljuti avamata kohtudokumentidele ning hoiatas USA organisatsioone Iraani APT tegevuse eest kasutada teadaolevaid turvaauke - sealhulgas laialdaselt rünnatud ProxyShell ja Log4Shell vead — lunavararünnakute eesmärgil.
Vahepeal näitasid hiljutised eraldi uuringud, et Iraani riiklikult toetatud ohutegija, keda jälgiti kui APT42 on lingitud alates 30. aastast enam kui 2015 kinnitatud küberspionaažirünnakule, mille sihtmärgiks olid Iraanile strateegilise tähtsusega üksikisikud ja organisatsioonid, sihtmärgid Austraalias, Euroopas, Lähis-Idas ja Ameerika Ühendriikides.
Uudised tulevad keset kasvavaid pingeid USA ja Iraani vahel kehtestatud sanktsioonid islamiriigi vastu hiljutise APT tegevuse eest, sealhulgas küberrünnaku eest Albaania valitsus juulis, mis põhjustas valitsuse veebisaitide ja avalike veebiteenuste sulgemise ning sai laialdaselt taunitud.
Veelgi enam, kuna Iraani ja Lääne vahelised poliitilised pinged suurenevad, kuna rahvas ühtlustub Hiina ja Venemaaga, kasvab Iraani poliitiline motivatsioon küberohutegevuseks, ütlesid teadlased. Rünnakud on suurema tõenäosusega rahaliselt ajendatud, kui neile seatakse vastu sanktsioonid poliitiliste vaenlaste poolt, märgib Nicole Hoffman, riskikaitselahenduste pakkuja Digital Shadowsi küberohtude luureanalüütik.
Püsiv ja kasulik
Kuigi pealkirjad näivad peegeldavat Iraani APT-de hiljutist küberohtude aktiivsuse tõusu, ütlesid teadlased, et hiljutised uudised rünnakute ja süüdistuste kohta peegeldavad pigem Iraani järjepidevat ja jätkuvat tegevust oma küberkuritegelike huvide ja poliitilise tegevuskava edendamisel kogu maailmas. .
"Suurenenud meediakajastus Iraani küberohtude tegevuse kohta ei pruugi olla korrelatsioonis nimetatud tegevuse hüppega," märkis Mandianti analüütik Emiel Haeghebaert Dark Readingile saadetud meilis.
"Kui suumida välja ja vaadata rahvusriigi tegevuse kogu ulatust, ei ole Iraan nende jõupingutusi aeglustanud," nõustub Qualysi ohuluure juhtiv analüütik Aubrey Perin. "Nagu iga organiseeritud rühmitus, on nende püsivus nii pikas kui ka lühiajalises perspektiivis edu võti."
Siiski on Iraan, nagu iga ohus osaleja, oportunistlik ning geopoliitilistest ja majanduslikest väljakutsetest – nagu Ukrainas käimasolev sõda, inflatsioon ja muud ülemaailmsed pinged – praegu valitsev kõikehõlmav hirm ja ebakindlus suurendab kindlasti nende APT jõupingutusi. ütleb.
Võimud võtavad teadmiseks
Iraani APT-de kasvav enesekindlus ja julgus pole jäänud märkamatuks ülemaailmsetele võimudele – sealhulgas Ameerika Ühendriikide võimudele, kes näivad olevat väsinud riigi püsivatest vaenulikest kübertegevusest, mis on seda vähemalt viimase kümnendi jooksul vastu pidanud.
Süüdistus, mille kolmapäeval avas New Jersey piirkonna justiitsministeerium (DoJ), USA prokuröri büroo, heitis konkreetse valguse lunavarategevusele, mis leidis aset ajavahemikus 2021. aasta veebruarist 2022. aasta veebruarini ja mõjutas sadu ohvreid mitmes USA osariigis, sealhulgas Illinoisis. Mississippi, New Jersey, Pennsylvania ja Washington.
Süüdistustest selgus, et alates 2020. aasta oktoobrist kuni praeguseni osalesid kolm Iraani kodanikku – Mansour Ahmadi, Ahmad Khatibi Aghda ja Amir Hossein Nickaein Ravari lunavararünnakutes, mis kasutasid teadaolevaid turvaauke, et varastada ja krüpteerida sadade Ameerika Ühendriikide ohvrite andmeid. Ühendkuningriigis, Iisraelis, Iraanis ja mujal.
Küberjulgeoleku ja infrastruktuuri turvaagentuur (CISA), FBI ja teised agentuurid hoiatasid seejärel, et Iraani valitsusasutuse IRGC-ga seotud osalejad, kelle ülesandeks on kaitsta juhtkonda tajutavate sise- ja välisohtude eest, on Microsofti ära kasutanud ja tõenäoliselt kasutavad seda ka edaspidi. ja Fortineti haavatavused – sealhulgas Exchange Serveri viga, mida nimetatakse ProxyShell — tegevuses, mis tuvastati ajavahemikus detsember 2020 kuni veebruar 2021.
Ründajad, kes arvatavasti tegutsesid Iraani APT käsul, kasutasid haavatavusi, et saada esmane juurdepääs üksustele mitmes USA kriitilise infrastruktuuri sektoris ja organisatsioonides Austraalias, Kanadas ja Ühendkuningriigis lunavara ja muude küberkurjategijate operatsioonide jaoks. ütles.
Ohutegijad varjavad oma pahatahtlikku tegevust kahe ettevõtte nimega: Najee Technology Hooshmand Fater LLC, mis asub Iraanis Karajis; ja Afkar System Yazd Company, mille asukoht on Iraanis Yazdis, selgub süüdistusaktidest.
APT42 ja ohtude mõtestamine
Kui hiljutine Iraani APT-dele keskendunud pealkirjade hulk tundub peadpööritav, on põhjuseks see, et tegevuse tuvastamiseks kulus aastaid analüüsi ja otsimist ning nii ametivõimud kui ka teadlased püüavad endiselt selle kõige ümber oma pead mähkida, ütleb Digital Shadowsi Hoffman.
"Kui need rünnakud on tuvastatud, kulub nende uurimiseks mõistlikult aega," ütleb ta. "Analüüsimiseks ja kokkupanemiseks on palju pusletükke."
Mandianti teadlased panid hiljuti kokku ühe mõistatuse, mis paljastas aastate küberspionaaži tegevust mis algab andmepüügist, kuid viib Android-telefonide jälgimiseni ja jälgimiseni IRGC-ga seotud APT42 poolt, mis arvatakse olevat teise Iraani ohurühma alamhulk, APT35/Võluv kassipoeg/Fosfor.
Koos on need kaks rühma ka seotud kategoriseerimata ohuklastrisse, mida jälgitakse kui UNC2448, mille Microsoft ja Secureworks on tuvastanud kui Phosphoruse alamrühma, mis korraldab BitLockeri abil rahalise kasu saamiseks lunavararünnakuid, ütlesid teadlased.
Süžee veelgi tihendamiseks näib, et seda alamgruppi haldab ettevõte, mis kasutab kahte avalikku varjunime Secnerd ja Lifeweb, millel on sidemed ühe ettevõttega, mida juhivad DoJ kohtuasjas süüdistuse saanud Iraani kodanikud: Najee Technology Hooshmand.
Isegi kui organisatsioonid neelavad nende paljastuste mõju, ütlesid teadlased, et rünnakud pole veel kaugeltki lõppenud ja tõenäoliselt mitmekesisevad, kuna Iraan jätkab oma eesmärki oma vaenlastele poliitilist domineerimist avaldada, märkis Mandianti Haeghebaert oma meilis.
"Me hindame, et Iraan jätkab pikas perspektiivis oma kübervõimekuse võimaldatud operatsioonide täieliku spektri kasutamist," ütles ta Dark Readingile. "Lisaks usume, et lunavara, klaasipuhastite ja muude lukustamis- ja lekketehnikate kasutamisega häiriv tegevus võib muutuda üha tavalisemaks, kui Iraan jääb rahvusvahelisel areenil isoleerituks ning pinged oma naabritega piirkonnas ja läänes aina süvenevad."
