Iranin uhkatoimijat ovat olleet tässä kuussa sekä Yhdysvaltain hallituksen että turvallisuustutkijoiden tutkassa ja hiuspisteissä, mikä näyttää olleen ylösajo ja sitä seurannut tukahduttaminen. uhkatoiminta Iranin Islamic Revolutionary Guard Corpsiin (IRGC) liittyvistä kehittyneistä jatkuvan uhkan (APT) ryhmistä.
Yhdysvaltain hallitus ilmoitti keskiviikkona samanaikaisesti monimutkainen hakkerointisuunnitelma useiden Iranin kansalaisten syytteet äskettäin sinetöityjen oikeudenkäyntiasiakirjojen ansiosta ja varoittivat yhdysvaltalaisia järjestöjä Iranin APT-toiminnasta hyödyntää tunnettuja haavoittuvuuksia - mukaan lukien laajalti hyökätty ProxyShell ja Log4Shell puutteita — kiristysohjelmahyökkäyksiä varten.
Sillä välin erillinen tutkimus paljasti äskettäin, että Iranin valtion tukema uhkatekijä, jota jäljitettiin nimellä APT42 on yhdistetty yli 30 vahvistettuun kybervakoiluhyökkäykseen vuodesta 2015 lähtien, ja ne kohdistuivat Iranille strategisesti merkittäviin henkilöihin ja organisaatioihin, ja kohteita Australiassa, Euroopassa, Lähi-idässä ja Yhdysvalloissa.
Uutiset tulevat Yhdysvaltojen ja Iranin välisten jännitteiden lisääntyessä määrätyt seuraamukset islamilaista kansakuntaa vastaan sen äskettäisen APT-toiminnan vuoksi, mukaan lukien kyberhyökkäys Islamia vastaan Albanian hallitus heinäkuussa, mikä aiheutti hallituksen verkkosivustojen ja julkisten verkkopalvelujen sulkemisen, ja sitä tuomittiin laajasti.
Lisäksi Iranin ja lännen välisten poliittisten jännitteiden kasvaessa, kun kansakunta linjaa itseään tiiviimmin Kiinan ja Venäjän kanssa, Iranin poliittinen motivaatio kyberuhkatoimintaansa kasvaa, tutkijat sanoivat. Hyökkäykset ovat todennäköisemmin taloudellisia, kun ne kohtaavat poliittisten vihollisten sanktioita, toteaa Nicole Hoffman, vanhempi kyberuhkien tiedusteluanalyytikko riskiensuojaratkaisuja tarjoavasta Digital Shadowsista.
Pysyvä ja edullinen
Vaikka otsikot näyttävätkin heijastavan Iranin APT:iden viimeaikaista kyberuhkien lisääntymistä, tutkijat sanoivat, että viimeaikaiset uutiset hyökkäyksistä ja syytteistä ovat enemmänkin osoitus Iranin jatkuvasta ja jatkuvasta toiminnasta edistääkseen sen kyberrikollisia etuja ja poliittista agendaa kaikkialla maailmassa. .
"Kasvanut tiedotusvälineiden raportointi Iranin kyberuhkatoiminnasta ei välttämättä korreloi mainitun toiminnan piikkiin", Mandiant-analyytikko Emiel Haeghebaert huomautti Dark Readingille lähettämässään sähköpostissa.
"Jos loitonnat ja katsotte kansallisvaltion toimintaa kokonaisuudessaan, Iran ei ole hidastanut ponnistelujaan", myöntää Qualysin johtava uhkatiedustelun analyytikko Aubrey Perin. "Aivan kuten kaikki järjestäytyneet ryhmät, niiden sinnikkyys on avain menestykseen sekä pitkällä että lyhyellä aikavälillä."
Silti Iran, kuten mikä tahansa uhkatoimija, on opportunistinen, ja geopoliittisten ja taloudellisten haasteiden – kuten Ukrainan meneillään olevan sodan, inflaation ja muiden maailmanlaajuisten jännitteiden – aiheuttama kaikkialla vallitseva pelko ja epävarmuus lisäävät varmasti heidän APT-ponnistelujaan. sanoo.
Viranomaiset huomioivat
Iranilaisten APT:iden kasvava luottamus ja rohkeus eivät ole jääneet huomaamatta maailmanlaajuisilta viranomaisilta – mukaan lukien Yhdysvaltojen viranomaiset, jotka näyttävät kyllästyvän maan jatkuviin vihamielisiin kybertoimiin, jotka ovat kestäneet niitä ainakin viimeisen vuosikymmenen ajan.
Syyte, jonka Yhdysvaltain oikeusministeriö (DoJ) sinetöi keskiviikkona New Jerseyn piirikunnassa, valaisi tarkasti kiristysohjelmatoimintaa, joka tapahtui helmikuun 2021 ja helmikuun 2022 välisenä aikana ja vaikutti satoihin uhreihin useissa Yhdysvaltain osavaltioissa, mukaan lukien Illinoisissa. Mississippi, New Jersey, Pennsylvania ja Washington.
Syyte paljasti, että lokakuusta 2020 tähän päivään saakka kolme Iranin kansalaista – Mansour Ahmadi, Ahmad Khatibi Aghda ja Amir Hossein Nickaein Ravari – osallistuivat lunnasohjelmahyökkäyksiin, jotka käyttivät tunnettuja haavoittuvuuksia varastaakseen ja salatakseen satojen uhrien tietoja Yhdysvalloissa. Iso-Britanniassa, Israelissa, Iranissa ja muualla.
Cybersecurity and Infrastructure Security Agency (CISA), FBI ja muut virastot varoittivat myöhemmin, että IRGC:hen, Iranin valtion virastoon, jonka tehtävänä on suojella johtajuutta havaituilta sisäisiltä ja ulkoisilta uhilta, liittyvät toimijat ovat käyttäneet Microsoftia hyväkseen ja tulevat todennäköisesti jatkossakin hyödyntämään sitä. ja Fortinet-haavoittuvuuksia – mukaan lukien Exchange Server -virhe, joka tunnetaan nimellä ProxyShell — toiminnassa, joka havaittiin joulukuun 2020 ja helmikuun 2021 välisenä aikana.
Hyökkääjät, joiden uskotaan toimivan iranilaisen APT:n käskystä, käyttivät haavoittuvuuksia päästäkseen alkuun pääsyn entiteeteihin useilla Yhdysvaltain kriittisen infrastruktuurin sektoreilla ja organisaatioilla Australiassa, Kanadassa ja Yhdistyneessä kuningaskunnassa kiristysohjelmien ja muiden kyberrikollisten operaatioiden vuoksi. sanoi.
Uhkatoimijat suojaavat haitallisia toimiaan käyttämällä kahta yritysnimeä: Najee Technology Hooshmand Fater LLC, jonka kotipaikka on Karaj, Iran; ja Afkar System Yazd Company, jonka kotipaikka on Yazdissa, Iranissa, syytteiden mukaan.
APT42 & Making Sense of Threats
Jos viimeaikainen iranilaisiin APT:ihin keskittyneiden otsikoiden määrä näyttää huimaavalta, se johtuu siitä, että toiminnan tunnistaminen kesti vuosien analysoinnin ja salailun, ja niin viranomaiset kuin tutkijat yrittävät edelleen kietoa päänsä kaiken ympärille, Digital Shadowsin Hoffman sanoo.
"Kun nämä hyökkäykset on tunnistettu, niiden tutkiminen vie myös kohtuullisen ajan", hän sanoo. "On paljon palapelin palasia analysoitava ja koottava."
Mandiantin tutkijat kokosivat äskettäin yhden palapelin, joka paljasti vuosien kybervakoilutoimintaa joka alkaa keihään tietojenkalastelusta, mutta johtaa Android-puhelinten tarkkailuun ja valvontaan IRGC:hen sidoksissa olevan APT42:n toimesta, jonka uskotaan olevan osa toista iranilaista uhkaryhmää, APT35 / Viehättävä kissanpentu / Fosfori.
Yhdessä nämä kaksi ryhmää ovat myös kytketty Luokittelemattomaan uhkaklusteriin, joka on jäljitetty nimellä UNC2448, jonka Microsoft ja Secureworks ovat tunnistaneet Phosphorus-alaryhmäksi, joka suorittaa kiristysohjelmahyökkäyksiä saadakseen taloudellista hyötyä BitLockerin avulla, tutkijat sanoivat.
Juonen paksuuden lisäämiseksi näyttää siltä, että tätä alaryhmää ylläpitää yritys, joka käyttää kahta julkista aliasta, Secnerd ja Lifeweb, joilla on yhteyksiä yhteen DoJ:n tapauksessa syytettyjen Iranin kansalaisten johtamiin yrityksiin: Najee Technology Hooshmandiin.
Vaikka organisaatiot imevät näiden paljastusten vaikutuksen, tutkijat sanoivat, että hyökkäykset eivät ole kaukana ohi ja todennäköisesti monipuolistuvat, kun Iran jatkaa pyrkimyksiään kohdistaa poliittista valtaa vihollisiinsa, Mandiantin Haeghebaert huomautti sähköpostissaan.
"Arvioimme, että Iran jatkaa kybervalmiuksiensa mahdollistamien operaatioiden täyden kirjon käyttöä pitkällä aikavälillä", hän sanoi Dark Readingille. "Lisäksi uskomme, että hankaluus, jossa käytetään kiristysohjelmia, pyyhkijöitä ja muita lukitus- ja vuototekniikoita, voi yleistyä, jos Iran pysyy eristyksissä kansainvälisellä näyttämöllä ja jännitteet alueella ja lännessä olevien naapuriensa kanssa pahenevat edelleen."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
