Gli attori delle minacce iraniane sono stati nel radar e nel mirino del governo degli Stati Uniti e dei ricercatori di sicurezza questo mese allo stesso modo con quello che sembra essere un aumento e la successiva repressione su attività di minaccia da gruppi di minaccia persistente avanzata (APT) associati al Corpo delle guardie rivoluzionarie islamiche dell'Iran (IRGC).
Il governo degli Stati Uniti mercoledì ha rivelato contemporaneamente un elaborato schema di hacking e accuse contro diversi cittadini iraniani grazie a documenti giudiziari recentemente aperti, e ha avvertito le organizzazioni statunitensi dell'attività dell'APT iraniano a sfruttare le vulnerabilità note - incluso ProxyShell ampiamente attaccato e Log4Shell difetti - ai fini di attacchi ransomware.
Nel frattempo, una ricerca separata ha recentemente rivelato che un attore di minacce sponsorizzato dallo stato iraniano è stato identificato come APT42 è stato collegato a più di 30 attacchi di spionaggio informatico confermati dal 2015, che hanno preso di mira individui e organizzazioni di importanza strategica per l'Iran, con obiettivi in Australia, Europa, Medio Oriente e Stati Uniti.
La notizia arriva tra le crescenti tensioni tra Stati Uniti e Iran sulla scia di sanzioni irrogate contro la nazione islamica per la sua recente attività APT, compreso un attacco informatico contro il governo albanese a luglio che ha causato la chiusura dei siti web governativi e dei servizi pubblici online ed è stato ampiamente criticato.
Inoltre, con le tensioni politiche tra l'Iran e l'Occidente che aumentano mentre la nazione si allinea più strettamente con Cina e Russia, la motivazione politica dell'Iran per la sua attività di minaccia informatica sta crescendo, hanno detto i ricercatori. È più probabile che gli attacchi diventino guidati finanziariamente di fronte a sanzioni da parte di nemici politici, osserva Nicole Hoffman, analista senior di intelligence sulle minacce informatiche presso il fornitore di soluzioni di protezione dai rischi Digital Shadows.
Persistente e vantaggioso
Tuttavia, mentre i titoli dei giornali sembrano riflettere un aumento delle recenti attività di minaccia informatica da parte degli APT iraniani, i ricercatori affermano che le recenti notizie di attacchi e accuse sono più un riflesso dell'attività persistente e in corso dell'Iran per promuovere i suoi interessi criminali informatici e l'agenda politica in tutto il mondo. .
"L'aumento dei resoconti dei media sull'attività di minaccia informatica dell'Iran non è necessariamente correlato a un picco di tale attività", ha osservato l'analista di Mandiant Emiel Haeghebaert in una e-mail a Dark Reading.
"Se rimpicciolisci e osservi l'intera portata dell'attività dello stato-nazione, l'Iran non ha rallentato i propri sforzi", concorda Aubrey Perin, analista capo dell'intelligence sulle minacce presso Qualys. "Proprio come qualsiasi gruppo organizzato, la loro tenacia è la chiave del loro successo, sia a lungo che a breve termine".
Tuttavia, l'Iran, come qualsiasi attore di minacce, è opportunista e la paura e l'incertezza pervasive che esistono attualmente a causa delle sfide geopolitiche ed economiche - come la guerra in corso in Ucraina, l'inflazione e altre tensioni globali - certamente sostengono i loro sforzi APT, ha affermato. dice.
Le autorità prendano nota
La crescente fiducia e audacia degli APT iraniani non è passata inosservata alle autorità globali, comprese quelle negli Stati Uniti, che sembrano essere stufe dei persistenti impegni informatici ostili della nazione, avendoli sopportati almeno nell'ultimo decennio.
Un atto d'accusa che è stato aperto mercoledì dal Dipartimento di giustizia (DoJ), ufficio del procuratore degli Stati Uniti, distretto del New Jersey, ha fatto luce specifica sull'attività ransomware avvenuta tra febbraio 2021 e febbraio 2022 e che ha colpito centinaia di vittime in diversi stati degli Stati Uniti, tra cui Illinois, Mississippi, New Jersey, Pennsylvania e Washington.
L'accusa ha rivelato che dall'ottobre 2020 ad oggi, tre cittadini iraniani - Mansour Ahmadi, Ahmad Khatibi Aghda e Amir Hossein Nickaein Ravari - sono stati coinvolti in attacchi ransomware che hanno sfruttato vulnerabilità note per rubare e crittografare i dati di centinaia di vittime negli Stati Uniti, Regno Unito, Israele, Iran e altrove.
La Cybersecurity and Infrastructure Security Agency (CISA), l'FBI e altre agenzie hanno successivamente avvertito che gli attori associati all'IRGC, un'agenzia governativa iraniana incaricata di difendere la leadership da presunte minacce interne ed esterne, hanno sfruttato e probabilmente continueranno a sfruttare Microsoft e vulnerabilità Fortinet, incluso un difetto di Exchange Server noto come ProxyShell — in attività rilevate tra dicembre 2020 e febbraio 2021.
Gli aggressori, che si ritiene agissero per volere di un APT iraniano, hanno utilizzato le vulnerabilità per ottenere l'accesso iniziale a entità in più settori e organizzazioni di infrastrutture critiche statunitensi in Australia, Canada e Regno Unito per ransomware e altre operazioni di cybercriminali, le agenzie disse.
Gli attori delle minacce proteggono le loro attività dannose utilizzando due nomi di società: Najee Technology Hooshmand Fater LLC, con sede a Karaj, Iran; e Afkar System Yazd Company, con sede a Yazd, Iran, secondo le accuse.
APT42 e dare un senso alle minacce
Se la recente ondata di titoli incentrati sugli APT iraniani sembra vertiginosa, è perché ci sono voluti anni di analisi e indagini solo per identificare l'attività, e le autorità e i ricercatori stanno ancora cercando di capire tutto, afferma Hoffman di Digital Shadows.
"Una volta identificati, questi attacchi richiedono anche un ragionevole lasso di tempo per indagare", afferma. "Ci sono molti pezzi del puzzle da analizzare e mettere insieme."
I ricercatori di Mandiant hanno recentemente messo insieme un puzzle che ha rivelato anni di attività di spionaggio informatico che inizia come spear-phishing ma porta al monitoraggio e alla sorveglianza del telefono Android da parte dell'APT42 collegato all'IRGC, ritenuto un sottoinsieme di un altro gruppo di minaccia iraniano, APT35/Affascinante gattino/Fosforo.
Insieme, anche i due gruppi lo sono collegato a un cluster di minacce non categorizzato tracciato come UNC2448, identificato da Microsoft e Secureworks come un sottogruppo Phosphorus che esegue attacchi ransomware a scopo di lucro utilizzando BitLocker, hanno affermato i ricercatori.
Per infittire ulteriormente la trama, questo sottogruppo sembra essere gestito da una società che utilizza due pseudonimi pubblici, Secnerd e Lifeweb, che hanno collegamenti con una delle società gestite dai cittadini iraniani incriminati nel caso del DoJ: Najee Technology Hooshmand.
Anche se le organizzazioni assorbono l'impatto di queste rivelazioni, i ricercatori hanno affermato che gli attacchi sono tutt'altro che finiti e probabilmente si diversificheranno mentre l'Iran continua a mirare a esercitare il dominio politico sui suoi nemici, ha osservato Haeghebaert di Mandiant nella sua e-mail.
"Valutiamo che l'Iran continuerà a utilizzare l'intero spettro di operazioni consentite dalle sue capacità informatiche a lungo termine", ha detto a Dark Reading. "Inoltre, riteniamo che l'attività dirompente che utilizza ransomware, wiper e altre tecniche di lock-and-leak possa diventare sempre più comune se l'Iran rimane isolato sulla scena internazionale e le tensioni con i suoi vicini nella regione e l'Occidente continuano a peggiorare".
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
