ईरानी खतरे के अभिनेता इस महीने अमेरिकी सरकार और सुरक्षा शोधकर्ताओं के रडार पर और क्रॉसहेयर में रहे हैं, जो इस महीने में रैंप-अप और उसके बाद की कार्रवाई में प्रतीत होता है। धमकी गतिविधि ईरान के इस्लामिक रिवोल्यूशनरी गार्ड कॉर्प्स (IRGC) से जुड़े उन्नत लगातार खतरे (APT) समूहों से।
अमेरिकी सरकार ने बुधवार को एक साथ खुलासा किया एक विस्तृत हैकिंग योजना द्वारा और कई ईरानी नागरिकों के खिलाफ अभियोग हाल ही में बिना सील किए गए अदालती दस्तावेजों के लिए धन्यवाद, और ईरानी एपीटी गतिविधि के अमेरिकी संगठनों को चेतावनी दी ज्ञात कमजोरियों का फायदा उठाएं — जिसमें व्यापक रूप से हमला किया गया ProxyShell और . भी शामिल है लॉग4शेल खामियां - रैंसमवेयर हमलों के उद्देश्य से।
इस बीच, हाल ही में एक अलग शोध से पता चला है कि एक ईरानी राज्य-प्रायोजित धमकी अभिनेता को APT42 . के रूप में ट्रैक किया गया है लिंक किया गया 30 के बाद से 2015 से अधिक साइबर जासूसी हमलों की पुष्टि हुई, जिन्होंने ईरान के लिए रणनीतिक महत्व वाले व्यक्तियों और संगठनों को लक्षित किया, जिनके लक्ष्य ऑस्ट्रेलिया, यूरोप, मध्य पूर्व और संयुक्त राज्य अमेरिका में थे।
अमेरिका और ईरान के बीच बढ़ते तनाव के बीच यह खबर आई है प्रतिबंध लगाए गए इस्लामिक राष्ट्र के खिलाफ अपनी हालिया एपीटी गतिविधि के लिए, जिसमें साइबर हमले शामिल हैं अल्बानियाई सरकार जुलाई में जिसने सरकारी वेबसाइटों और ऑनलाइन सार्वजनिक सेवाओं को बंद कर दिया, और व्यापक रूप से निंदा की गई।
इसके अलावा, ईरान और पश्चिम के बीच राजनीतिक तनाव बढ़ने के साथ-साथ राष्ट्र खुद को चीन और रूस के साथ और अधिक निकटता से जोड़ता है, ईरान की साइबर-खतरे की गतिविधि के लिए राजनीतिक प्रेरणा बढ़ रही है, शोधकर्ताओं ने कहा। जोखिम-संरक्षण समाधान प्रदाता डिजिटल शैडो के वरिष्ठ साइबर-खतरे के खुफिया विश्लेषक निकोल हॉफमैन ने नोट किया कि राजनीतिक दुश्मनों से प्रतिबंधों का सामना करने पर हमलों के आर्थिक रूप से संचालित होने की अधिक संभावना है।
लगातार और लाभप्रद
फिर भी, जबकि हेडलाइंस ईरानी एपीटी से हाल ही में साइबर-खतरे की गतिविधि में वृद्धि को दर्शाती हैं, शोधकर्ताओं ने कहा कि हमलों और अभियोगों की हालिया खबरें ईरान द्वारा अपने साइबर आपराधिक हितों और राजनीतिक एजेंडे को बढ़ावा देने के लिए लगातार और चल रही गतिविधि का प्रतिबिंब हैं। .
"ईरान की साइबर-खतरे की गतिविधि पर बढ़ती मीडिया रिपोर्टिंग आवश्यक रूप से उक्त गतिविधि में स्पाइक से संबंधित नहीं है," मैंडिएंट विश्लेषक एमिल हेघेबर्ट ने डार्क रीडिंग को एक ईमेल में नोट किया।
"यदि आप ज़ूम आउट करें और राष्ट्र-राज्य गतिविधि के पूर्ण दायरे को देखें, तो ईरान ने अपने प्रयासों को धीमा नहीं किया है," क्वालिस के प्रमुख खतरे के खुफिया विश्लेषक ऑब्रे पेरिन सहमत हैं। "किसी भी संगठित समूह की तरह उनकी दृढ़ता उनकी सफलता की कुंजी है, दोनों दीर्घकालिक और अल्पावधि में।"
फिर भी, ईरान, किसी भी खतरे वाले अभिनेता की तरह, अवसरवादी है, और व्यापक भय और अनिश्चितता जो वर्तमान में भू-राजनीतिक और आर्थिक चुनौतियों के कारण मौजूद है - जैसे कि यूक्रेन में चल रहे युद्ध, मुद्रास्फीति और अन्य वैश्विक तनाव - निश्चित रूप से उनके एपीटी प्रयासों को प्रभावित करता है, वह कहते हैं।
अधिकारी नोटिस लें
ईरानी APTs के बढ़ते आत्मविश्वास और साहस पर वैश्विक अधिकारियों का ध्यान नहीं गया है - जिसमें संयुक्त राज्य अमेरिका के लोग भी शामिल हैं, जो देश के लगातार शत्रुतापूर्ण साइबर जुड़ाव से तंग आ चुके हैं, कम से कम पिछले एक दशक से उन्हें सहन कर रहे हैं।
एक अभियोग जिसे न्याय विभाग (DoJ), यूएस अटॉर्नी कार्यालय, न्यू जर्सी के जिला द्वारा बुधवार को अनसुना कर दिया गया था, फरवरी 2021 और फरवरी 2022 के बीच हुई रैंसमवेयर गतिविधि पर विशिष्ट प्रकाश डाला और इलिनोइस सहित कई अमेरिकी राज्यों में सैकड़ों पीड़ितों को प्रभावित किया। मिसिसिपी, न्यू जर्सी, पेंसिल्वेनिया और वाशिंगटन।
अभियोग से पता चला है कि अक्टूबर 2020 से वर्तमान तक, तीन ईरानी नागरिक - मंसूर अहमदी, अहमद खतीबी अघदा, और अमीर होसैन निकेन रावरी - रैंसमवेयर हमलों में शामिल थे, जो संयुक्त राज्य में सैकड़ों पीड़ितों के डेटा को चोरी और एन्क्रिप्ट करने के लिए ज्ञात कमजोरियों का फायदा उठाते थे। यूनाइटेड किंगडम, इज़राइल, ईरान और अन्य जगहों पर।
साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए), एफबीआई और अन्य एजेंसियों ने बाद में चेतावनी दी कि आईआरजीसी से जुड़े अभिनेता, एक ईरानी सरकारी एजेंसी, जो कथित आंतरिक और बाहरी खतरों से नेतृत्व की रक्षा करने का काम करती है, शोषण कर रही है और माइक्रोसॉफ्ट का शोषण जारी रखने की संभावना है और फोर्टिनेट भेद्यताएं - जिसमें एक एक्सचेंज सर्वर दोष भी शामिल है जिसे जाना जाता है प्रॉक्सीशैल - ऐसी गतिविधि में जिसका पता दिसंबर 2020 और फरवरी 2021 के बीच लगाया गया था।
माना जाता है कि हमलावर ईरानी एपीटी के इशारे पर काम कर रहे थे, उन्होंने रैंसमवेयर और अन्य साइबर क्रिमिनल ऑपरेशन, एजेंसियों के लिए ऑस्ट्रेलिया, कनाडा और यूनाइटेड किंगडम में कई अमेरिकी महत्वपूर्ण बुनियादी ढांचा क्षेत्रों और संगठनों में संस्थाओं तक प्रारंभिक पहुंच हासिल करने के लिए कमजोरियों का इस्तेमाल किया। कहा।
धमकी देने वाले अभिनेता दो कंपनी नामों का उपयोग करके अपनी दुर्भावनापूर्ण गतिविधियों को ढालते हैं: करज, ईरान में स्थित नजी टेक्नोलॉजी हुशमंद फाटर एलएलसी; और अफकार सिस्टम यज़्द कंपनी, यज़्द, ईरान में स्थित, अभियोगों के अनुसार।
APT42 और खतरों की भावना बनाना
डिजिटल शैडो के हॉफमैन का कहना है कि अगर हाल ही में ईरानी एपीटी पर केंद्रित सुर्खियों में चक्कर आ रहा है, तो ऐसा इसलिए है क्योंकि इस गतिविधि की पहचान करने के लिए विश्लेषण और खोजी अभियान में वर्षों लग गए, और अधिकारी और शोधकर्ता अभी भी इसके चारों ओर अपना सिर लपेटने की कोशिश कर रहे हैं।
"एक बार पहचाने जाने के बाद, इन हमलों की जांच के लिए उचित समय भी लगता है," वह कहती हैं। "विश्लेषण और एक साथ रखने के लिए बहुत सारे पहेली टुकड़े हैं।"
मैंडिएंट के शोधकर्ताओं ने हाल ही में एक पहेली को एक साथ रखा जो सामने आया साइबर जासूसी गतिविधि के वर्ष यह स्पीयर-फ़िशिंग के रूप में शुरू होता है, लेकिन IRGC से जुड़े APT42 द्वारा एंड्रॉइड फोन की निगरानी और निगरानी की ओर जाता है, जिसे एक अन्य ईरानी खतरे वाले समूह का सबसेट माना जाता है, APT35/आकर्षक बिल्ली का बच्चा/फॉस्फोरस.
साथ में, दो समूह भी हैं जुड़ा हुआ शोधकर्ताओं ने कहा कि UNC2448 के रूप में ट्रैक किए गए एक गैर-वर्गीकृत खतरे के क्लस्टर के लिए, Microsoft और Secureworks द्वारा एक फॉस्फोरस उपसमूह के रूप में पहचाना जाता है, जो BitLocker का उपयोग करके वित्तीय लाभ के लिए रैंसमवेयर हमलों को अंजाम देता है।
साजिश को और भी अधिक मोटा करने के लिए, यह उपसमूह दो सार्वजनिक उपनामों, सिकनेरड और लाइफवेब का उपयोग करने वाली कंपनी द्वारा संचालित किया जाता है, जिसका डीओजे के मामले में आरोपित ईरानी नागरिकों द्वारा संचालित कंपनियों में से एक के लिंक हैं: नजी टेक्नोलॉजी होशमंद।
यहां तक कि जब संगठन इन खुलासे के प्रभाव को अवशोषित करते हैं, तो शोधकर्ताओं ने कहा कि हमले खत्म नहीं हुए हैं और संभावना में विविधता आएगी क्योंकि ईरान अपने दुश्मनों पर राजनीतिक प्रभुत्व कायम करने के अपने उद्देश्य को जारी रखता है, मैंडिएंट के हेघेबर्ट ने अपने ईमेल में उल्लेख किया है।
"हम आकलन करते हैं कि ईरान लंबी अवधि में अपनी साइबर क्षमताओं द्वारा सक्षम संचालन के पूर्ण स्पेक्ट्रम का उपयोग करना जारी रखेगा," उन्होंने डार्क रीडिंग को बताया। "इसके अलावा, हम मानते हैं कि रैंसमवेयर, वाइपर और अन्य लॉक-एंड-लीक तकनीकों का उपयोग करने वाली विघटनकारी गतिविधि तेजी से सामान्य हो सकती है यदि ईरान अंतरराष्ट्रीय स्तर पर अलग-थलग रहता है और क्षेत्र और पश्चिम में अपने पड़ोसियों के साथ तनाव जारी रहता है।"
