Iraanse dreigingsactoren zijn deze maand op de radar en in het vizier van de Amerikaanse regering en veiligheidsonderzoekers geweest met wat lijkt op een opvoering van en daaropvolgend hardhandig optreden tegen bedreigingsactiviteit van Advanced Persistent Threat (APT)-groepen die verbonden zijn met de Islamitische Revolutionaire Garde van Iran (IRGC).
De Amerikaanse regering heeft woensdag tegelijkertijd bekendgemaakt: een uitgebreid hackschema door en aanklachten tegen verschillende Iraanse staatsburgers dankzij recentelijk ontzegelde gerechtelijke documenten, en waarschuwde Amerikaanse organisaties voor Iraanse APT-activiteiten om misbruik maken van bekende kwetsbaarheden โ inclusief de alom aangevallen ProxyShell en Log4Shell gebreken โ ten behoeve van ransomware-aanvallen.
Ondertussen onthulde afzonderlijk onderzoek onlangs dat een door de Iraanse staat gesponsorde dreigingsactor volgde als APT42 is gelinkt tot meer dan 30 bevestigde cyberspionageaanvallen sinds 2015, gericht op personen en organisaties die van strategisch belang zijn voor Iran, met doelen in Australiรซ, Europa, het Midden-Oosten en de Verenigde Staten.
Het nieuws komt te midden van toenemende spanningen tussen de Verenigde Staten en Iran op de hielen van opgelegde sancties tegen de islamitische natie vanwege zijn recente APT-activiteiten, waaronder een cyberaanval op de Albanese overheid in juli veroorzaakte dat een sluiting van overheidswebsites en online openbare diensten, en werd alom gehekeld.
Bovendien, nu de politieke spanningen tussen Iran en het Westen toenemen naarmate de natie zich nauwer aansluit bij China en Rusland, groeit de politieke motivatie van Iran voor zijn cyberbedreigingsactiviteiten, aldus onderzoekers. Aanvallen worden eerder financieel gedreven wanneer ze worden geconfronteerd met sancties van politieke vijanden, merkt Nicole Hoffman op, senior cyberthreat intelligence-analist bij Digital Shadows, leverancier van risicobeschermingsoplossingen.
Aanhoudend en voordelig
Hoewel de krantenkoppen een golf van recente cyberdreigingsactiviteiten van Iraanse APT's lijken te weerspiegelen, zeiden onderzoekers dat recent nieuws over aanvallen en aanklachten meer een weerspiegeling is van aanhoudende en voortdurende activiteit van Iran om zijn cybercriminele belangen en politieke agenda over de hele wereld te promoten .
"De toegenomen berichtgeving in de media over de cyberbedreigingen in Iran correleert niet noodzakelijkerwijs met een piek in die activiteit", merkte Mandiant-analist Emiel Haeghebaert op in een e-mail aan Dark Reading.
"Als je uitzoomt en kijkt naar de volledige reikwijdte van de activiteiten van de natiestaten, heeft Iran hun inspanningen niet vertraagd", beaamt Aubrey Perin, hoofdanalist voor bedreigingsinformatie bij Qualys. "Net als bij elke georganiseerde groep is hun doorzettingsvermogen de sleutel tot hun succes, zowel op de lange als op de korte termijn."
Toch is Iran, zoals elke dreigingsactor, opportunistisch, en de alomtegenwoordige angst en onzekerheid die momenteel bestaat als gevolg van geopolitieke en economische uitdagingen - zoals de aanhoudende oorlog in Oekraรฏne, inflatie en andere wereldwijde spanningen - drijft zeker hun APT-inspanningen, hij zegt.
Autoriteiten nemen kennisgeving
Het groeiende vertrouwen en de stoutmoedigheid van Iraanse APT's is niet onopgemerkt gebleven door de wereldwijde autoriteiten - inclusief die in de Verenigde Staten, die genoeg lijken te krijgen van de aanhoudende vijandige cyberaanvallen van het land, die ze het afgelopen decennium hebben doorstaan.
Een aanklacht die woensdag werd ontgrendeld door het ministerie van Justitie (DoJ), het US Attorney's Office, District of New Jersey, wierp specifiek licht op ransomware-activiteit die plaatsvond tussen februari 2021 en februari 2022 en honderden slachtoffers trof in verschillende Amerikaanse staten, waaronder Illinois, Mississippi, New Jersey, Pennsylvania en Washington.
Uit de aanklacht bleek dat vanaf oktober 2020 tot heden drie Iraanse staatsburgers โ Mansour Ahmadi, Ahmad Khatibi Aghda en Amir Hossein Nickaein Ravari โ betrokken waren bij ransomware-aanvallen waarbij bekende kwetsbaarheden werden misbruikt om gegevens van honderden slachtoffers in de Verenigde Staten te stelen en te coderen, het Verenigd Koninkrijk, Israรซl, Iran en elders.
De Cybersecurity and Infrastructure Security Agency (CISA), de FBI en andere instanties waarschuwden vervolgens dat actoren die banden hebben met de IRGC, een Iraanse overheidsinstantie die belast is met het verdedigen van leiderschap tegen waargenomen interne en externe bedreigingen, misbruik hebben gemaakt en waarschijnlijk zullen blijven misbruiken van Microsoft en Fortinet-kwetsbaarheden โ waaronder een Exchange Server-fout die bekend staat als ProxyShell โ in activiteit die werd gedetecteerd tussen december 2020 en februari 2021.
De aanvallers, die vermoedelijk handelden in opdracht van een Iraanse APT, gebruikten de kwetsbaarheden om de eerste toegang te krijgen tot entiteiten in meerdere Amerikaanse kritieke infrastructuursectoren en organisaties in Australiรซ, Canada en het Verenigd Koninkrijk voor ransomware en andere cybercriminele operaties. gezegd.
Bedreigingsactoren beschermen hun kwaadaardige activiteiten met behulp van twee bedrijfsnamen: Najee Technology Hooshmand Fater LLC, gevestigd in Karaj, Iran; en Afkar System Yazd Company, gevestigd in Yazd, Iran, volgens de aanklachten.
APT42 en de bedreigingen begrijpen
Als de recente golf van krantenkoppen gericht op Iraanse APT's duizelingwekkend lijkt, komt dat omdat het jaren van analyse en speurwerk heeft gekost om de activiteit te identificeren, en autoriteiten en onderzoekers proberen er nog steeds hun hoofd over te breken, zegt Hoffman van Digital Shadows.
"Eenmaal geรฏdentificeerd, nemen deze aanvallen ook een redelijke hoeveelheid tijd in beslag om te onderzoeken", zegt ze. "Er zijn veel puzzelstukjes om te analyseren en in elkaar te zetten."
Onderzoekers van Mandiant hebben onlangs een puzzel samengesteld die onthulde: jarenlange cyberspionageactiviteit dat begint als spear-phishing maar leidt tot monitoring en bewaking van Android-telefoons door IRGC-gekoppelde APT42, waarvan wordt aangenomen dat het een subset is van een andere Iraanse dreigingsgroep, APT35/Charming Kitten/Fosfor.
Samen zijn de twee groepen ook gekoppeld blijven naar een niet-gecategoriseerd dreigingscluster dat wordt bijgehouden als UNC2448, door Microsoft en Secureworks geรฏdentificeerd als een fosforsubgroep die ransomware-aanvallen uitvoert voor financieel gewin met behulp van BitLocker, aldus onderzoekers.
Om de plot nog verder te verduidelijken, lijkt deze subgroep te worden beheerd door een bedrijf dat twee openbare aliassen gebruikt, Secnerd en Lifeweb, die banden hebben met een van de bedrijven die worden gerund door de Iraanse staatsburgers die in de zaak van het DoJ zijn aangeklaagd: Najee Technology Hooshmand.
Zelfs nu organisaties de impact van deze onthullingen absorberen, zeiden onderzoekers dat de aanvallen nog lang niet voorbij zijn en waarschijnlijk zullen diversifiรซren naarmate Iran zijn doel voortzet om politieke dominantie uit te oefenen op zijn vijanden, merkte Mandiant's Haeghebaert op in zijn e-mail.
"We zijn van mening dat Iran op de lange termijn het volledige spectrum van operaties zal blijven gebruiken die mogelijk worden gemaakt door zijn cybercapaciteiten", vertelde hij aan Dark Reading. "Bovendien zijn we van mening dat ontwrichtende activiteiten met behulp van ransomware, ruitenwissers en andere lock-and-leak-technieken steeds vaker voorkomen als Iran geรฏsoleerd blijft op het internationale toneel en de spanningen met zijn buren in de regio en het Westen blijven verslechteren."
