Iranske trusselaktører har vært på radaren og i trådkorset for både den amerikanske regjeringen og sikkerhetsforskere denne måneden, med det som ser ut til å være en opptrapping og påfølgende nedbryting av trusselaktivitet fra avanserte vedvarende trusselgrupper (APT) knyttet til Irans islamske revolusjonsgarde (IRGC).
Den amerikanske regjeringen avslørte onsdag samtidig et forseggjort hackingskjema av og tiltale mot flere iranske statsborgere takket være nylig ulukkede rettsdokumenter, og advarte amerikanske organisasjoner om iransk APT-aktivitet til å utnytte kjente sårbarheter - inkludert den mye angrepne ProxyShell og Log4Shell feil – for løsepengevare-angrep.
I mellomtiden avslørte separat forskning nylig at en iransk statsstøttet trusselaktør sporet som APT42 har blitt koblet sammen til mer enn 30 bekreftede nettspionasjeangrep siden 2015, som rettet mot enkeltpersoner og organisasjoner med strategisk betydning for Iran, med mål i Australia, Europa, Midtøsten og USA.
Nyheten kommer midt i økende spenning mellom USA og Iran i hælene på sanksjoner ilagt mot den islamske nasjonen for dens nylige APT-aktivitet, inkludert et nettangrep mot Albansk regjering i juli som forårsaket en nedleggelse av offentlige nettsteder og offentlige tjenester på nettet, og ble mye kritisert.
I tillegg, med de politiske spenningene mellom Iran og Vesten som øker etter hvert som nasjonen innretter seg nærmere Kina og Russland, vokser Irans politiske motivasjon for deres cybertrusselaktivitet, sa forskere. Angrep er mer sannsynlig å bli økonomisk drevet når de står overfor sanksjoner fra politiske fiender, bemerker Nicole Hoffman, senior etterretningsanalytiker for cybertrusler hos leverandøren av risikobeskyttelsesløsninger, Digital Shadows.
Vedvarende og fordelaktig
Likevel, mens overskriftene ser ut til å reflektere en økning i nylig cybertrusselaktivitet fra iranske APT-er, sa forskere at nylige nyheter om angrep og tiltale er mer en refleksjon av vedvarende og pågående aktivitet fra Iran for å fremme sine nettkriminelle interesser og politiske agenda over hele verden .
"Økt medierapportering om Irans cybertrusselaktivitet korrelerer ikke nødvendigvis med en økning i nevnte aktivitet," bemerket Mandiant-analytiker Emiel Haeghebaert i en e-post til Dark Reading.
"Hvis du zoomer ut og ser på hele omfanget av nasjonalstatsaktivitet, har ikke Iran bremset deres innsats," sier Aubrey Perin, ledende trusseletterretningsanalytiker ved Qualys. "Akkurat som enhver organisert gruppe er deres utholdenhet nøkkelen til suksess, både på lang sikt og kort sikt."
Likevel er Iran, som enhver trusselaktør, opportunistisk, og den gjennomgripende frykten og usikkerheten som for tiden eksisterer på grunn av geopolitiske og økonomiske utfordringer – som den pågående krigen i Ukraina, inflasjon og andre globale spenninger – styrker absolutt deres APT-innsats, han sier.
Myndighetene tar varsel
Den økende selvtilliten og frimodigheten til iranske APT-er har ikke gått ubemerket hen av globale myndigheter – inkludert de i USA, som ser ut til å bli lei av nasjonens vedvarende fiendtlige cyberengasjementer, etter å ha holdt ut dem i minst det siste tiåret.
En tiltale som ble åpnet onsdag av Justisdepartementet (DoJ), US Attorney's Office, District of New Jersey, kastet spesifikt lys over løsepengevareaktivitet som fant sted mellom februar 2021 og februar 2022 og berørte hundrevis av ofre i flere amerikanske stater, inkludert Illinois, Mississippi, New Jersey, Pennsylvania og Washington.
Tiltalen avslørte at fra oktober 2020 og frem til i dag, var tre iranske statsborgere – Mansour Ahmadi, Ahmad Khatibi Aghda og Amir Hossein Nickaein Ravari – engasjert i løsepengevareangrep som utnyttet kjente sårbarheter for å stjele og kryptere data fra hundrevis av ofre i USA, Storbritannia, Israel, Iran og andre steder.
Cybersecurity and Infrastructure Security Agency (CISA), FBI og andre byråer advarte senere om at aktører tilknyttet IRGC, et iransk myndighetsorgan som har til oppgave å forsvare lederskap fra antatte interne og eksterne trusler, har utnyttet og sannsynligvis vil fortsette å utnytte Microsoft og Fortinet-sårbarheter – inkludert en Exchange Server-feil kjent som ProxyShell — i aktivitet som ble oppdaget mellom desember 2020 og februar 2021.
Angriperne, som antas å handle på oppdrag fra en iransk APT, brukte sårbarhetene til å få tilgang til enheter på tvers av flere amerikanske kritiske infrastruktursektorer og organisasjoner i Australia, Canada og Storbritannia for løsepengevare og andre nettkriminelle operasjoner, byråene sa.
Trusselaktører skjermer sine ondsinnede aktiviteter ved å bruke to firmanavn: Najee Technology Hooshmand Fater LLC, basert i Karaj, Iran; og Afkar System Yazd Company, basert i Yazd, Iran, ifølge tiltalen.
APT42 og Forståelse av truslene
Hvis den siste bølgen av overskrifter fokusert på iranske APT-er virker svimlende, er det fordi det tok år med analyser og leting bare for å identifisere aktiviteten, og både myndigheter og forskere prøver fortsatt å vikle hodet rundt det hele, sier Hoffman fra Digital Shadows.
"Når de er identifisert, tar disse angrepene også rimelig tid å etterforske," sier hun. "Det er mange puslespillbrikker å analysere og sette sammen."
Forskere ved Mandiant har nylig satt sammen ett puslespill som avslørte år med nettspionasjeaktivitet som starter som spyd-phishing, men fører til Android-telefonovervåking og overvåking av IRGC-tilknyttede APT42, antatt å være en undergruppe av en annen iransk trusselgruppe, APT35/Sjarmerende kattunge/fosfor.
Sammen er de to gruppene det også tilkoblet til en ukategorisert trusselklynge sporet som UNC2448, identifisert av Microsoft og Secureworks som en Phosphorus-undergruppe som utfører løsepenge-angrep for økonomisk vinning ved hjelp av BitLocker, sa forskere.
For å fortykke handlingen ytterligere, ser denne undergruppen ut til å være drevet av et selskap som bruker to offentlige aliaser, Secnerd og Lifeweb, som har koblinger til et av selskapene som drives av de iranske statsborgerne som er tiltalt i DoJs sak: Najee Technology Hooshmand.
Selv mens organisasjoner absorberer virkningen av disse avsløringene, sa forskere at angrepene langt fra er over og sannsynligvis vil diversifiseres ettersom Iran fortsetter sitt mål om å utøve politisk dominans på sine fiender, bemerket Mandiants Haeghebaert i sin e-post.
"Vi vurderer at Iran vil fortsette å bruke hele spekteret av operasjoner muliggjort av deres cyberevner på lang sikt," sa han til Dark Reading. "I tillegg tror vi at forstyrrende aktivitet ved bruk av løsepengevare, vindusviskere og andre lås-og-lekkasjeteknikker kan bli stadig mer vanlig hvis Iran forblir isolert på den internasjonale scenen og spenningene med naboene i regionen og Vesten fortsetter å forverres."
