イランの脅威アクターは、今月、米国政府とセキュリティ研究者の注目を集め、照準を合わせてきました。 脅威活動 イランのイスラム革命防衛隊 (IRGC) に関連する高度持続的脅威 (APT) グループからのものです。
水曜日の米国政府は同時に明らかにした 精巧なハッキング計画 最近開封された法廷文書のおかげで、数人のイラン国民による起訴と、イランのAPT活動の米国組織に警告した 既知の脆弱性を悪用する — 広く攻撃されている ProxyShell を含む ログ4シェル 欠陥 — ランサムウェア攻撃を目的としています。
一方、最近の別の調査では、イラン政府が支援する攻撃者が APT42 として追跡されていることが明らかになりました。 リンクされています 30 年以降、2015 件以上のサイバースパイ攻撃が確認されています。この攻撃は、イランにとって戦略的に重要な個人や組織を標的とし、オーストラリア、ヨーロッパ、中東、および米国を標的にしていました。
このニュースは、米国とイランの間で緊張が高まっている最中にもたらされました。 課された制裁 に対するサイバー攻撃を含む、最近の APT 活動に対するイスラム国家に対する アルバニア政府 XNUMX 月には、政府の Web サイトとオンラインの公共サービスが閉鎖され、広く非難されました。
さらに、イランが中国やロシアとより緊密に連携するにつれて、イランと西側諸国との間の政治的緊張が高まっているため、イランのサイバー脅威活動に対する政治的動機が高まっている、と研究者は述べています。 政敵からの制裁に直面した場合、攻撃は金銭的なものになる可能性が高いと、リスク保護ソリューション プロバイダー Digital Shadows のシニア サイバー脅威インテリジェンス アナリストである Nicole Hoffman 氏は述べています。
永続的で有利
それでも、見出しはイランの APT による最近のサイバー脅威活動の急増を反映しているように見えますが、研究者によると、最近の攻撃と起訴のニュースは、サイバー犯罪の利益と世界中の政治的課題を促進するためのイランによる持続的かつ継続的な活動を反映しているとのことです。 .
「イランのサイバー脅威活動に関するメディア報道の増加は、必ずしもその活動の急増と相関するわけではありません」と、Mandiant のアナリストである Emiel Haeghebaert 氏は、Dark Reading への電子メールで指摘しました。
Qualys の主任脅威インテリジェンス アナリストである Aubrey Perin 氏は、次のように述べています。 「他の組織化されたグループと同様に、長期的にも短期的にも、持続性が成功の鍵です。」
それでも、イランは他の脅威アクターと同様に日和見主義であり、地政学的および経済的課題 (ウクライナで進行中の戦争、インフレ、その他の世界的な緊張など) によって現在存在する広範な恐怖と不確実性が、彼らの APT の取り組みを確実に後押ししている、と彼は述べています。と言う。
当局は注意を払う
イランの APT の自信の高まりと大胆さは、少なくとも過去 XNUMX 年間耐えてきた国家の執拗な敵対的サイバー攻撃にうんざりしているように見える米国を含む世界の当局によって見過ごされていません。
ニュージャージー州司法省 (DoJ) によって水曜日に封印された起訴状は、2021 年 2022 月から XNUMX 年 XNUMX 月の間に発生し、イリノイ州を含む米国のいくつかの州で数百人の被害者に影響を与えたランサムウェア活動に具体的な光を当てました。ミシシッピ、ニュージャージー、ペンシルベニア、ワシントン。
起訴状によると、2020 年 XNUMX 月から現在まで、XNUMX 人のイラン国民 (Mansour Ahmadi、Ahmad Khatibi Aghda、Amir Hossein Nickaein Ravari) がランサムウェア攻撃に関与し、既知の脆弱性を悪用して米国内の数百人の被害者のデータを盗み、暗号化していたことが明らかになりました。イギリス、イスラエル、イランなど。
サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA)、FBI、およびその他の機関は、その後、認識された内部および外部の脅威から指導者を守ることを任務とするイラン政府機関である IRGC に関連する攻撃者が Microsoft を悪用しており、今後も悪用する可能性が高いと警告しました。および Fortinet の脆弱性 — として知られる Exchange Server の欠陥を含む プロキシシェル — 2020 年 2021 月から XNUMX 年 XNUMX 月の間に検出されたアクティビティ。
攻撃者は、イランの APT の命令で行動していると考えられており、この脆弱性を利用して、ランサムウェアやその他のサイバー犯罪活動のために、複数の米国の重要なインフラストラクチャ セクターやオーストラリア、カナダ、英国の組織にまたがるエンティティへの初期アクセスを取得しました。言った。
攻撃者は、XNUMX つの会社名を使用して悪意のあるアクティビティを保護します。イランのカラジに本拠を置く Najee Technology Hooshmand Fater LLC 起訴状によると、イランのヤズドに本拠を置くAfkar System Yazd Company。
APT42 と脅威の理解
イランの APT に焦点を当てた最近の見出しが目まぐるしいように見える場合、それは活動を特定するためだけに何年にもわたる分析と調査が必要だったためであり、当局も研究者も同様に、いまだにそのすべてに頭を悩ませようとしている、と Digital Shadows の Hoffman 氏は言います。
「これらの攻撃が特定されると、その調査にもかなりの時間がかかります」と彼女は言います。 「分析して組み立てなければならないパズルのピースがたくさんあります。」
Mandiant の研究者は最近、XNUMX つのパズルをまとめました。 サイバースパイ活動の年数 これはスピア フィッシングとして始まりますが、別のイランの脅威グループのサブセットであると考えられている IRGC にリンクされた APT42 による Android フォンの監視と監視につながります。 APT35/チャーミングな子猫/リン.
一緒に、XNUMXつのグループも 交流 UNC2448 として追跡される分類されていない脅威クラスターに、Microsoft と Secureworks によって、BitLocker を使用して金銭的利益のためにランサムウェア攻撃を実行する Phosphorus サブグループとして特定されたと、研究者は述べています。
陰謀をさらに厚くするために、このサブグループは、司法省の訴訟で起訴されたイラン国民によって運営されている企業の XNUMX つ、ナジー テクノロジー フーシュマンドとリンクしている Secnerd と Lifeweb という XNUMX つの公の別名を使用している企業によって運営されているようです。
組織がこれらの啓示の影響を吸収しても、研究者は、イランが敵に対して政治的支配を行使するという目標を続けているため、攻撃が終わったわけではなく、多様化する可能性が高いと述べている.
「イランは、長期的にはサイバー能力によって可能になるあらゆる作戦を使い続けるだろうと我々は評価している」と彼はダーク・リーディングに語った。 「さらに、イランが国際舞台で孤立したままであり、地域の近隣諸国や西側諸国との緊張が悪化し続ける場合、ランサムウェア、ワイパー、およびその他のロックアンドリーク技術を使用した破壊的な活動がますます一般的になる可能性があると考えています。」
