Actorii iranieni amenințări au fost pe radar și în punctul de mirare al guvernului SUA și al cercetătorilor de securitate deopotrivă în această lună, cu ceea ce pare a fi o intensificare și o represiune ulterioară asupra activitate de amenințare de la grupurile de amenințare persistentă avansată (APT) asociate cu Corpul Gărzilor Revoluționare Islamice (IRGC) al Iranului.
Guvernul SUA a dezvăluit miercuri simultan o schemă de hacking elaborată de către și rechizitori împotriva mai multor cetățeni iranieni datorită documentelor judiciare recent desigilate și a avertizat organizațiile americane cu privire la activitatea APT iraniană să exploatează vulnerabilitățile cunoscute — inclusiv ProxyShell atacat pe scară largă și Log4shell. defecte - în scopul atacurilor ransomware.
Între timp, cercetări separate au dezvăluit recent că un actor de amenințare sponsorizat de stat iranian a fost urmărit ca APT42 a fost legat la peste 30 de atacuri de spionaj cibernetic confirmate din 2015, care au vizat persoane și organizații cu importanță strategică pentru Iran, cu ținte în Australia, Europa, Orientul Mijlociu și Statele Unite.
Vestea vine pe fondul tensiunilor tot mai mari dintre Statele Unite și Iran în urma sancțiunile impuse împotriva națiunii islamice pentru activitatea sa recentă APT, inclusiv un atac cibernetic împotriva Guvernul albanez în iulie, aceasta a provocat închiderea site-urilor web guvernamentale și a serviciilor publice online și a fost criticată pe scară largă.
În plus, odată cu creșterea tensiunilor politice dintre Iran și Occident, pe măsură ce națiunea se aliniază mai strâns cu China și Rusia, motivația politică a Iranului pentru activitatea sa de amenințări cibernetice crește, au spus cercetătorii. Este mai probabil ca atacurile să devină determinate din punct de vedere financiar atunci când se confruntă cu sancțiuni din partea inamicilor politici, notează Nicole Hoffman, analist senior de informații privind amenințările cibernetice la furnizorul de soluții de protecție a riscurilor Digital Shadows.
Persistent și avantajos
Totuși, în timp ce titlurile par să reflecte o creștere a activității recente de amenințări cibernetice din partea APT-urilor iraniene, cercetătorii au spus că știrile recente despre atacuri și acuzații sunt mai degrabă o reflectare a activității persistente și continue a Iranului pentru a-și promova interesele infracționale cibernetice și agenda politică pe tot globul. .
„Creșterea raportărilor mass-media cu privire la activitatea de amenințări cibernetice a Iranului nu se corelează neapărat cu o creștere a activității respective”, a remarcat analistul Mandiant Emiel Haeghebaert într-un e-mail adresat Dark Reading.
„Dacă micșorați și priviți întreaga sferă de activitate a statului național, Iranul nu și-a încetinit eforturile”, este de acord Aubrey Perin, analist principal de informații despre amenințări la Qualys. „La fel ca orice grup organizat, persistența lor este cheia succesului lor, atât pe termen lung, cât și pe termen scurt.”
Totuși, Iranul, ca orice actor de amenințare, este oportunist, iar teama și incertitudinea omniprezentă care există în prezent din cauza provocărilor geopolitice și economice - cum ar fi războiul în curs din Ucraina, inflația și alte tensiuni globale - susțin cu siguranță eforturile lor APT, el. spune.
Autoritățile iau notă
Încrederea și îndrăzneala crescândă a APT-urilor iraniene nu a trecut neobservată de autoritățile globale – inclusiv de cele din Statele Unite, care par să se săturase de angajamentele cibernetice ostile persistente ale națiunii, care le-au suportat cel puțin în ultimul deceniu.
Un rechizitoriu care a fost deschis miercuri de Departamentul de Justiție (DoJ), Biroul Procuraturii SUA, Districtul New Jersey, a aruncat o lumină specifică asupra activității ransomware care a avut loc între februarie 2021 și februarie 2022 și a afectat sute de victime în mai multe state americane, inclusiv Illinois, Mississippi, New Jersey, Pennsylvania și Washington.
Rechizitoriul a arătat că, din octombrie 2020 până în prezent, trei cetățeni iranieni – Mansour Ahmadi, Ahmad Khatibi Aghda și Amir Hossein Nickaein Ravari – s-au implicat în atacuri de tip ransomware care au exploatat vulnerabilități cunoscute pentru a fura și cripta datele a sute de victime din Statele Unite. Regatul Unit, Israel, Iran și în alte părți.
Agenția pentru Securitate Cibernetică și Infrastructură (CISA), FBI și alte agenții au avertizat ulterior că actorii asociați cu IRGC, o agenție guvernamentală iraniană însărcinată cu apărarea conducerii de amenințările interne și externe percepute, au exploatat și este probabil să continue să exploateze Microsoft. și vulnerabilități Fortinet – inclusiv o defecțiune a serverului Exchange cunoscută sub numele de ProxyShell — în activitate care a fost depistată în perioada decembrie 2020 – februarie 2021.
Atacatorii, despre care se crede că acționează la ordinul unui APT iranian, au folosit vulnerabilitățile pentru a obține acces inițial la entități din mai multe sectoare de infrastructură critică din SUA și organizații din Australia, Canada și Regatul Unit pentru ransomware și alte operațiuni cibercriminale, agențiile. a spus.
Actorii de amenințări își protejează activitățile rău intenționate folosind două nume de companii: Najee Technology Hooshmand Fater LLC, cu sediul în Karaj, Iran; și Afkar System Yazd Company, cu sediul în Yazd, Iran, conform rechizitoriilor.
APT42 și Înțelegerea amenințărilor
Dacă recenta serie de titluri concentrate pe APT-urile iraniene pare amețitoare, este pentru că au fost nevoie de ani de analiză și investigare doar pentru a identifica activitatea, iar autoritățile și cercetătorii deopotrivă încearcă încă să-și înțeleagă totul, spune Hoffman de la Digital Shadows.
„Odată identificate, aceste atacuri necesită, de asemenea, o perioadă rezonabilă de timp pentru a investiga”, spune ea. „Sunt o mulțime de piese de puzzle de analizat și adunat.”
Cercetătorii de la Mandiant au creat recent un puzzle care a dezvăluit ani de activitate de spionaj cibernetic care începe ca spear-phishing, dar duce la monitorizarea și supravegherea telefonului Android de către APT42 legat de IRGC, despre care se crede că este un subset al unui alt grup de amenințare iranian, APT35/Charming Kitten/Fosfor.
Împreună, cele două grupuri sunt și ele legat la un cluster de amenințări necategorisit urmărit ca UNC2448, identificat de Microsoft și Secureworks ca un subgrup Phosphorus care efectuează atacuri ransomware pentru câștiguri financiare folosind BitLocker, au spus cercetătorii.
Pentru a îngroșa și mai mult complotul, acest subgrup pare să fie operat de o companie care folosește două pseudonime publice, Secnerd și Lifeweb, care au legături cu una dintre companiile conduse de cetățenii iranieni inculpați în cazul DoJ: Najee Technology Hooshmand.
Chiar dacă organizațiile absorb impactul acestor dezvăluiri, cercetătorii au spus că atacurile sunt departe de a fi încheiate și probabil se vor diversifica pe măsură ce Iranul își continuă scopul de a exercita o dominație politică asupra inamicilor săi, a menționat Haeghebaert de la Mandiant în e-mailul său.
„Evaluăm că Iranul va continua să folosească întregul spectru de operațiuni permise de capacitățile sale cibernetice pe termen lung”, a spus el pentru Dark Reading. „În plus, credem că activitatea perturbatoare care utilizează ransomware, ștergătoare și alte tehnici de blocare și scurgere poate deveni din ce în ce mai comună dacă Iranul rămâne izolat pe scena internațională și tensiunile cu vecinii săi din regiune și Occident continuă să se agraveze.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
