W tym miesiącu irańscy aktorzy zajmujący się zagrożeniami byli na radarze i na celowniku rządu USA i badaczy bezpieczeństwa, co wydaje się być przyspieszeniem i późniejszym rozprawą aktywność zagrożenia od grup zaawansowanego trwałego zagrożenia (APT) związanych z irańskim Korpusem Strażników Rewolucji Islamskiej (IRGC).
Rząd USA w środę jednocześnie ujawnił skomplikowany schemat hakowania przez i akty oskarżenia przeciwko kilku obywatelom irańskim dzięki niedawno niezapieczętowanym dokumentom sądowym oraz ostrzegł organizacje amerykańskie przed irańską działalnością APT wykorzystać znane luki w zabezpieczeniach — w tym szeroko atakowany ProxyShell i Log4Shell wady — na potrzeby ataków ransomware.
Tymczasem oddzielne badania ujawniły niedawno, że sponsorowany przez państwo irański podmiot zajmujący się zagrożeniami śledzony jako APT42 Został połączony do ponad 30 potwierdzonych ataków cyberszpiegowskich od 2015 r., których celem były osoby i organizacje o strategicznym znaczeniu dla Iranu, których celem były Australia, Europa, Bliski Wschód i Stany Zjednoczone.
Wiadomość pojawia się w związku z rosnącymi napięciami między Stanami Zjednoczonymi a Iranem na piętach nałożone sankcje przeciwko narodowi islamskiemu za jego niedawną działalność APT, w tym cyberatak przeciwko Rząd albański w lipcu spowodowało to zamknięcie rządowych stron internetowych i usług publicznych online i było szeroko krytykowane.
Co więcej, wraz z rosnącymi napięciami politycznymi między Iranem a Zachodem, w miarę zbliżania się narodu do Chin i Rosji, polityczna motywacja Iranu do jego cyberzagrożeń rośnie, twierdzą naukowcy. Ataki są bardziej podatne na skutki finansowe w obliczu sankcji ze strony wrogów politycznych, zauważa Nicole Hoffman, starszy analityk ds. cyberzagrożeń w firmie Digital Shadows, dostawcy rozwiązań do ochrony przed ryzykiem.
Trwałe i korzystne
Mimo to, chociaż nagłówki zdają się odzwierciedlać wzrost niedawnej aktywności cyberzagrożeń ze strony irańskich APT, naukowcy twierdzą, że ostatnie wiadomości o atakach i aktach oskarżenia są raczej odzwierciedleniem uporczywej i ciągłej działalności Iranu w celu promowania jego cyberprzestępczych interesów i agendy politycznej na całym świecie .
„Wzrost doniesień medialnych na temat cyberzagrożeń Iranu niekoniecznie wiąże się ze wzrostem tej aktywności” – zauważył analityk Mandiant Emiel Haeghebaert w e-mailu do Dark Reading.
„Jeśli oddalisz się i przyjrzysz się pełnemu zakresowi działalności państwa narodowego, Iran nie zwolnił swoich wysiłków” – zgadza się Aubrey Perin, główny analityk ds. analizy zagrożeń w Qualys. „Podobnie jak każda zorganizowana grupa, ich wytrwałość jest kluczem do ich sukcesu, zarówno w perspektywie długoterminowej, jak i krótkoterminowej”.
Mimo to Iran, jak każdy podmiot zagrażający, jest oportunistyczny, a wszechobecny strach i niepewność, które obecnie istnieją z powodu wyzwań geopolitycznych i gospodarczych – takich jak trwająca wojna na Ukrainie, inflacja i inne globalne napięcia – z pewnością wspierają wysiłki APT. mówi.
Władze przyjmują zawiadomienie
Rosnące zaufanie i śmiałość irańskich APT nie pozostało niezauważone przez światowe władze – w tym te w Stanach Zjednoczonych, które wydają się mieć dość ciągłych wrogich ataków cybernetycznych tego kraju, znosząc je co najmniej przez ostatnią dekadę.
Akt oskarżenia, który został rozpieczętowany w środę przez Departament Sprawiedliwości (DoJ), Biuro Prokuratora Stanów Zjednoczonych, Dystrykt New Jersey rzucił szczególne światło na aktywność oprogramowania ransomware, która miała miejsce między lutym 2021 a lutym 2022 i dotknęła setki ofiar w kilku stanach USA, w tym w Illinois, Missisipi, New Jersey, Pensylwania i Waszyngton.
Akt oskarżenia ujawnił, że od października 2020 r. do chwili obecnej trzech obywateli Iranu — Mansour Ahmadi, Ahmad Khatibi Aghda i Amir Hossein Nickaein Ravari — brało udział w atakach ransomware, które wykorzystywały znane luki do kradzieży i szyfrowania danych setek ofiar w Stanach Zjednoczonych, Wielka Brytania, Izrael, Iran i gdzie indziej.
Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), FBI i inne agencje ostrzegły następnie, że podmioty powiązane z IRGC, irańską agencją rządową, której zadaniem jest obrona przywództwa przed postrzeganymi zagrożeniami wewnętrznymi i zewnętrznymi, wykorzystują i prawdopodobnie będą nadal wykorzystywać Microsoft luki w zabezpieczeniach Fortinet — w tym luka w programie Exchange Server znana jako Powłoka proxy — w aktywności wykrytej w okresie od grudnia 2020 r. do lutego 2021 r.
Osoby atakujące, które prawdopodobnie działają na polecenie irańskiego APT, wykorzystały luki w zabezpieczeniach, aby uzyskać wstępny dostęp do podmiotów w wielu sektorach infrastruktury krytycznej USA i organizacjach w Australii, Kanadzie i Wielkiej Brytanii w celu oprogramowania ransomware i innych operacji cyberprzestępczych, agencji powiedział.
Przestępcy chronią swoje szkodliwe działania za pomocą dwóch nazw firm: Najee Technology Hooshmand Fater LLC z siedzibą w Karaj w Iranie; oraz Afkar System Yazd Company z siedzibą w Yazd w Iranie, zgodnie z aktami oskarżenia.
APT42 i zrozumienie zagrożeń
Jeśli ostatnia fala nagłówków poświęconych irańskim APT wydaje się przyprawiać o zawrót głowy, to dlatego, że zidentyfikowanie tej aktywności zajęło lata analiz i detektywów, a władze i badacze wciąż starają się to wszystko ogarnąć, mówi Hoffman z Digital Shadows.
„Po zidentyfikowaniu te ataki również zajmują rozsądną ilość czasu na zbadanie” – mówi. „Jest wiele puzzli do przeanalizowania i złożenia”.
Naukowcy z Mandiant ułożyli ostatnio jedną zagadkę, która ujawniła lata działalności cyberszpiegowskiej zaczyna się od spear phishingu, ale prowadzi do monitorowania i inwigilacji telefonów z Androidem przez APT42 powiązanego z IRGC, uważanego za podzbiór innej irańskiej grupy zagrożeń, APT35/Uroczy Kotek/Fosfor.
Razem te dwie grupy również są połączony do nieskategoryzowanego klastra zagrożeń śledzonego jako UNC2448, zidentyfikowanego przez Microsoft i Secureworks jako podgrupa Phosphorus przeprowadzająca ataki ransomware w celu uzyskania korzyści finansowych przy użyciu funkcji BitLocker, stwierdzili naukowcy.
Aby jeszcze bardziej zagęścić spisek, podgrupa ta wydaje się być obsługiwana przez firmę posługującą się dwoma publicznymi pseudonimami, Secnerd i Lifeweb, które mają powiązania z jedną z firm prowadzonych przez obywateli irańskich oskarżonych w sprawie DoJ: Najee Technology Hooshmand.
Nawet gdy organizacje absorbują wpływ tych rewelacji, naukowcy twierdzą, że ataki są dalekie od zakończenia i prawdopodobnie ulegną dywersyfikacji, ponieważ Iran będzie nadal dążył do wywierania politycznej dominacji na swoich wrogach, zauważył Haeghebaert z Mandiant w swoim e-mailu.
„Oceniamy, że Iran będzie w dłuższej perspektywie nadal wykorzystywał pełne spektrum operacji, które umożliwiają jego zdolności cybernetyczne” – powiedział Dark Reading. „Ponadto uważamy, że destrukcyjna działalność z wykorzystaniem oprogramowania ransomware, wycieraczek i innych technik blokowania i wycieku może stać się coraz bardziej powszechna, jeśli Iran pozostanie odizolowany na scenie międzynarodowej, a napięcia z sąsiadami w regionie i Zachodem będą się nadal pogłębiać”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
