Az iráni fenyegetettség szereplői ebben a hónapban az amerikai kormány és a biztonsági kutatók radarjában és célkeresztjében voltak, és a jelek szerint egy felpörgetésnek és az azt követő visszaszorításnak tűnik. fenyegető tevékenység from advanced persistent threat (APT) groups associated with the Iran’s Islamic Revolutionary Guard Corps (IRGC).
Az amerikai kormány szerdán egyúttal felfedte egy kidolgozott hackelési séma számos iráni állampolgár ellen vádemelést emelt a nemrégiben lepecsételt bírósági dokumentumoknak köszönhetően, és figyelmeztette az amerikai szervezeteket az iráni APT tevékenységre kihasználni az ismert sebezhetőségeket - beleértve a széles körben támadott ProxyShellt és Log4Shell hibák – ransomware támadások céljára.
Eközben egy külön kutatás a közelmúltban feltárta, hogy egy iráni állam által támogatott fenyegetettségi szereplő, akit APT42-ként nyomon követtek. összekapcsolódott 30 óta több mint 2015 megerősített kiberkémtámadásra, amelyek Irán számára stratégiai jelentőségű személyeket és szervezeteket vettek célba, célpontok Ausztráliában, Európában, a Közel-Keleten és az Egyesült Államokban.
A hír az Egyesült Államok és Irán közötti növekvő feszültség közepette érkezik kiszabott szankciókat az iszlám nemzet ellen a közelmúltbeli APT-tevékenységéért, beleértve az ország elleni kibertámadást is albán kormány júliusban, ami a kormányzati webhelyek és az online közszolgáltatások bezárását okozta, és széles körben elítélték.
Moreover, with political tensions between Iran and the West mounting as the nation aligns itself more closely with China and Russia, Iran’s political motivation for its cyber-threat activity is growing, researchers said. Attacks are more likely to become financially driven when faced with sanctions from political enemies, notes Nicole Hoffman, senior cyber-threat intelligence analyst at risk-protection solution provider Digital Shadows.
Kitartó és előnyös
Mégis, bár a címek az iráni APT-k közelmúltbeli kiberfenyegetési tevékenységének megugrását tükrözik, a kutatók szerint a támadásokról és vádemelésekről szóló friss hírek inkább Irán kiberbűnözői érdekeinek és politikai programjának világszerte történő előmozdítására irányuló kitartó és folyamatos tevékenységét tükrözik. .
“Increased media reporting on Iran’s cyber-threat activity does not necessarily correlate to a spike in said activity,” Mandiant analyst Emiel Haeghebaert noted in an email to Dark Reading.
“If you zoom out and look at the full scope of nation-state activity, Iran has not slowed their efforts,” agrees Aubrey Perin, lead threat intelligence analyst at Qualys. “Just like any organized group their persistence is key to their success, both in the long term and short term.”
Ennek ellenére Irán, mint minden fenyegető szereplő, opportunista, és a geopolitikai és gazdasági kihívások – például a folyamatban lévő ukrajnai háború, az infláció és más globális feszültségek – miatt jelenleg fennálló, mindent átható félelem és bizonytalanság minden bizonnyal ösztönzi az APT erőfeszítéseit. mondja.
A hatóságok Figyelembe veszik
The growing confidence and boldness of Iranian APTs has not gone unnoticed by global authorities — including those in the United States, who appear to be getting fed up with the nation’s persistent hostile cyber engagements, having endured them for at least the last decade.
An indictment that was unsealed Wednesday by the Department of Justice (DoJ), US Attorney’s Office, District of New Jersey shed specific light on ransomware activity that occurred between February 2021 and February 2022 and affected hundreds of victims in several US states, including Illinois, Mississippi, New Jersey, Pennsylvania, and Washington.
A vád feltárta, hogy 2020 októberétől a mai napig három iráni állampolgár – Manszúr Ahmadi, Ahmad Khatibi Aghda és Amir Hossein Nickaein Ravari – ransomware támadásban vett részt, amelyek az ismert sebezhetőségeket kihasználva több száz áldozat adatait ellopták és titkosították az Egyesült Államokban. az Egyesült Királyságban, Izraelben, Iránban és másutt.
A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA), az FBI és más ügynökségek ezt követően arra figyelmeztettek, hogy az IRGC-vel, az iráni kormányhivatallal, amelynek feladata, hogy megvédje a vezetést a vélt belső és külső fenyegetésektől, kizsákmányolják és valószínűleg továbbra is ki fogják használni a Microsoftot. és a Fortinet sebezhetőségei – beleértve az Exchange Server hibáját, amely az úgynevezett ProxyShell — 2020 decembere és 2021 februárja között észlelt tevékenységben.
A támadók, akikről azt feltételezik, hogy egy iráni APT parancsára cselekszenek, a sebezhetőséget arra használták fel, hogy kezdeti hozzáférést szerezzenek az egyesült államokbeli kritikus infrastrukturális szektorok és szervezetek entitásaihoz Ausztráliában, Kanadában és az Egyesült Királyságban zsarolóvírusok és más kiberbűnözői műveletek céljából. mondott.
A fenyegetőzők két cégnévvel védik rosszindulatú tevékenységeiket: Najee Technology Hooshmand Fater LLC, székhelye az iráni Karajban; és az Afkar System Yazd Company, amelynek székhelye az iráni Yazdban található, a vádiratok szerint.
APT42 és a fenyegetések értelme
If the recent spate of headlines focused on Iranian APTs seems dizzying, it’s because it took years of analysis and sleuthing just to identify the activity, and authorities and researchers alike are still trying to wrap their heads around it all, Digital Shadows’ Hoffman says.
“Once identified, these attacks also take a reasonable amount of time to investigate,” she says. “There are a lot of puzzle pieces to analyze and put together.”
A Mandiant kutatói nemrégiben összeállítottak egy rejtvényt, amely felfedte éves kiberkémtevékenység amely lándzsás adathalászatnak indul, de az Android telefonok megfigyeléséhez és megfigyeléséhez vezet az IRGC-hez köthető APT42 által, amelyről úgy gondolják, hogy egy másik iráni fenyegető csoport egy részhalmaza, APT35/Bájos cica/Phosphorus.
Együtt a két csoport is összefüggő a Microsoft és a Secureworks által a BitLocker segítségével pénzügyi haszonszerzés céljából ransomware támadásokat végrehajtó Phosphorus alcsoportként azonosított, kategorizálatlan UNC2448-as fenyegetettségi klaszterbe – mondták a kutatók.
To thicken the plot even further, this subgroup appears to be operated by a company using two public aliases, Secnerd and Lifeweb, that have links to one of the companies run by the Iranian nationals indicted in the DoJ’s case: Najee Technology Hooshmand.
Even as organizations absorb the impact of these revelations, researchers said attacks are far from over and likely will diversify as Iran continues its aim to exert political dominance on its foes, Mandiant’s Haeghebaert noted in his email.
“We assess that Iran will continue to use the full spectrum of operations enabled by its cyber capabilities in the long term,” he told Dark Reading. “Additionally, we believe that disruptive activity using ransomware, wipers, and other lock-and-leak techniques may become increasingly common if Iran remains isolated in the international stage and tensions with its neighbors in the region and the West continue to worsen.”
