بازیگران تهدیدکننده ایران در این ماه به طور یکسان در رادار و در تیررس دولت آمریکا و محققان امنیتی قرار گرفتهاند و به نظر میرسد سرکوبهای بعدی آن افزایش یافته است. فعالیت تهدید from advanced persistent threat (APT) groups associated with the Iran’s Islamic Revolutionary Guard Corps (IRGC).
دولت آمریکا روز چهارشنبه به طور همزمان فاش کرد یک طرح هک پیچیده توسط و کیفرخواست علیه چندین شهروند ایرانی به لطف اسناد دادگاهی که اخیراً مهر و موم نشده است، و به سازمان های آمریکایی در مورد فعالیت APT ایران هشدار داده است. از آسیب پذیری های شناخته شده سوء استفاده کنید - از جمله ProxyShell و Log4Shell نقص - به منظور حملات باج افزار.
در همین حال، تحقیقات جداگانه اخیراً نشان داده است که یک عامل تهدید کننده تحت حمایت دولت ایران با نام APT42 ردیابی شده است. مرتبط شده است بیش از 30 حمله سایبری تایید شده از سال 2015، که افراد و سازمان های دارای اهمیت استراتژیک برای ایران، با اهدافی در استرالیا، اروپا، خاورمیانه و ایالات متحده را هدف قرار داده است.
این خبر در بحبوحه تنش های فزاینده بین ایالات متحده و ایران منتشر می شود تحریم های اعمال شده علیه امت اسلامی به دلیل فعالیت اخیر APT از جمله حمله سایبری علیه دولت آلبانی در ماه ژوئیه که باعث تعطیلی وب سایت های دولتی و خدمات عمومی آنلاین شد و به طور گسترده مورد انتقاد قرار گرفت.
Moreover, with political tensions between Iran and the West mounting as the nation aligns itself more closely with China and Russia, Iran’s political motivation for its cyber-threat activity is growing, researchers said. Attacks are more likely to become financially driven when faced with sanctions from political enemies, notes Nicole Hoffman, senior cyber-threat intelligence analyst at risk-protection solution provider Digital Shadows.
پایدار و سودمند
با این حال، در حالی که به نظر میرسد سرفصلها منعکسکننده افزایش فعالیتهای تهدیدات سایبری اخیر از سوی APTهای ایرانی است، محققان میگویند اخبار اخیر حملات و کیفرخواستها بیشتر بازتابی از فعالیتهای مداوم و مداوم ایران برای ترویج منافع مجرمانه سایبری و برنامه سیاسی خود در سراسر جهان است. .
“Increased media reporting on Iran’s cyber-threat activity does not necessarily correlate to a spike in said activity,” Mandiant analyst Emiel Haeghebaert noted in an email to Dark Reading.
“If you zoom out and look at the full scope of nation-state activity, Iran has not slowed their efforts,” agrees Aubrey Perin, lead threat intelligence analyst at Qualys. “Just like any organized group their persistence is key to their success, both in the long term and short term.”
با این حال، ایران، مانند هر بازیگر دیگری که تهدید میکند، فرصتطلب است و ترس و عدم اطمینان فراگیر که در حال حاضر به دلیل چالشهای ژئوپلیتیکی و اقتصادی - مانند جنگ جاری در اوکراین، تورم و سایر تنشهای جهانی - وجود دارد، قطعا تلاشهای APT آنها را تقویت میکند. می گوید.
مقامات توجه کنند
The growing confidence and boldness of Iranian APTs has not gone unnoticed by global authorities — including those in the United States, who appear to be getting fed up with the nation’s persistent hostile cyber engagements, having endured them for at least the last decade.
An indictment that was unsealed Wednesday by the Department of Justice (DoJ), US Attorney’s Office, District of New Jersey shed specific light on ransomware activity that occurred between February 2021 and February 2022 and affected hundreds of victims in several US states, including Illinois, Mississippi, New Jersey, Pennsylvania, and Washington.
این کیفرخواست فاش کرد که از اکتبر 2020 تا کنون، سه شهروند ایرانی - منصور احمدی، احمد خطیبی عقدا و امیرحسین نیکایین راوری - در حملات باجافزاری که از آسیبپذیریهای شناخته شده برای سرقت و رمزگذاری دادههای صدها قربانی در ایالات متحده استفاده میکردند، دست داشتند. انگلستان، اسرائیل، ایران و جاهای دیگر.
آژانس امنیت سایبری و امنیت زیرساخت (CISA)، افبیآی و سایر آژانسها متعاقباً هشدار دادند که بازیگران مرتبط با سپاه پاسداران انقلاب اسلامی، یک سازمان دولتی ایران که وظیفه دفاع از رهبری در برابر تهدیدات داخلی و خارجی را دارد، از مایکروسافت سوء استفاده کردهاند و احتمالاً به سوء استفاده از مایکروسافت ادامه خواهند داد. و آسیب پذیری های Fortinet - از جمله نقص سرور Exchange معروف به پروکسی شل - در فعالیتی که بین دسامبر 2020 و فوریه 2021 شناسایی شد.
مهاجمان که گمان میرود به دستور یک APT ایرانی عمل میکنند، از آسیبپذیریها برای دسترسی اولیه به نهادها در چندین بخش زیرساختهای حیاتی ایالات متحده و سازمانها در استرالیا، کانادا و بریتانیا برای باجافزار و سایر عملیاتهای مجرمانه سایبری، آژانسها استفاده کردند. گفت.
عوامل تهدید با استفاده از دو نام از فعالیتهای مخرب خود محافظت میکنند: فناوری ناجی هوشمند فاطر، مستقر در کرج، ایران؛ و شرکت افکار سیستم یزد مستقر در شهر یزد بر اساس کیفرخواست صادره.
APT42 و ایجاد حس تهدیدات
If the recent spate of headlines focused on Iranian APTs seems dizzying, it’s because it took years of analysis and sleuthing just to identify the activity, and authorities and researchers alike are still trying to wrap their heads around it all, Digital Shadows’ Hoffman says.
“Once identified, these attacks also take a reasonable amount of time to investigate,” she says. “There are a lot of puzzle pieces to analyze and put together.”
محققان Mandiant اخیراً یک پازل را جمع آوری کرده اند که فاش شده است سالها فعالیت جاسوسی سایبری که با spear-phishing شروع میشود، اما منجر به نظارت و نظارت بر تلفنهای اندرویدی توسط APT42 مرتبط با سپاه میشود که گمان میرود زیرمجموعه دیگری از گروه تهدید ایرانی باشد. APT35/گربه جذاب/فسفر.
این دو گروه با هم هستند متصل به گفته محققان، به یک خوشه تهدید دسته بندی نشده با نام UNC2448 که توسط مایکروسافت و Secureworks به عنوان یک زیرگروه فسفر شناسایی شده است که با استفاده از BitLocker حملات باج افزاری را برای منافع مالی انجام می دهد.
To thicken the plot even further, this subgroup appears to be operated by a company using two public aliases, Secnerd and Lifeweb, that have links to one of the companies run by the Iranian nationals indicted in the DoJ’s case: Najee Technology Hooshmand.
Even as organizations absorb the impact of these revelations, researchers said attacks are far from over and likely will diversify as Iran continues its aim to exert political dominance on its foes, Mandiant’s Haeghebaert noted in his email.
“We assess that Iran will continue to use the full spectrum of operations enabled by its cyber capabilities in the long term,” he told Dark Reading. “Additionally, we believe that disruptive activity using ransomware, wipers, and other lock-and-leak techniques may become increasingly common if Iran remains isolated in the international stage and tensions with its neighbors in the region and the West continue to worsen.”
