Activitatea neîntreruptă a amenințărilor iraniene provoacă avertismente și acuzații din partea guvernului SUA

Actorii iranieni amenințări au fost pe radar și în punctul de mirare al guvernului SUA și al cercetătorilor de securitate deopotrivă în această lună, cu ceea ce pare a fi o intensificare și o represiune ulterioară asupra activitate de amenințare from advanced persistent threat (APT) groups associated with the Iran’s Islamic Revolutionary Guard Corps (IRGC).

Guvernul SUA a dezvăluit miercuri simultan o schemă de hacking elaborată de către și rechizitori împotriva mai multor cetățeni iranieni datorită documentelor judiciare recent desigilate și a avertizat organizațiile americane cu privire la activitatea APT iraniană să exploatează vulnerabilitățile cunoscute — inclusiv ProxyShell atacat pe scară largă și Log4shell. defecte - în scopul atacurilor ransomware.

Între timp, cercetări separate au dezvăluit recent că un actor de amenințare sponsorizat de stat iranian a fost urmărit ca APT42 a fost legat la peste 30 de atacuri de spionaj cibernetic confirmate din 2015, care au vizat persoane și organizații cu importanță strategică pentru Iran, cu ținte în Australia, Europa, Orientul Mijlociu și Statele Unite.

Vestea vine pe fondul tensiunilor tot mai mari dintre Statele Unite și Iran în urma sancțiunile impuse împotriva națiunii islamice pentru activitatea sa recentă APT, inclusiv un atac cibernetic împotriva Guvernul albanez în iulie, aceasta a provocat închiderea site-urilor web guvernamentale și a serviciilor publice online și a fost criticată pe scară largă.

Moreover, with political tensions between Iran and the West mounting as the nation aligns itself more closely with China and Russia, Iran’s political motivation for its cyber-threat activity is growing, researchers said. Attacks are more likely to become financially driven when faced with sanctions from political enemies, notes Nicole Hoffman, senior cyber-threat intelligence analyst at risk-protection solution provider Digital Shadows.

Persistent și avantajos

Totuși, în timp ce titlurile par să reflecte o creștere a activității recente de amenințări cibernetice din partea APT-urilor iraniene, cercetătorii au spus că știrile recente despre atacuri și acuzații sunt mai degrabă o reflectare a activității persistente și continue a Iranului pentru a-și promova interesele infracționale cibernetice și agenda politică pe tot globul. .

“Increased media reporting on Iran’s cyber-threat activity does not necessarily correlate to a spike in said activity,” Mandiant analyst Emiel Haeghebaert noted in an email to Dark Reading.

“If you zoom out and look at the full scope of nation-state activity, Iran has not slowed their efforts,” agrees Aubrey Perin, lead threat intelligence analyst at Qualys. “Just like any organized group their persistence is key to their success, both in the long term and short term.”

Totuși, Iranul, ca orice actor de amenințare, este oportunist, iar teama și incertitudinea omniprezentă care există în prezent din cauza provocărilor geopolitice și economice - cum ar fi războiul în curs din Ucraina, inflația și alte tensiuni globale - susțin cu siguranță eforturile lor APT, el. spune.

Autoritățile iau notă

The growing confidence and boldness of Iranian APTs has not gone unnoticed by global authorities — including those in the United States, who appear to be getting fed up with the nation’s persistent hostile cyber engagements, having endured them for at least the last decade.

An indictment that was unsealed Wednesday by the Department of Justice (DoJ), US Attorney’s Office, District of New Jersey shed specific light on ransomware activity that occurred between February 2021 and February 2022 and affected hundreds of victims in several US states, including Illinois, Mississippi, New Jersey, Pennsylvania, and Washington.

Rechizitoriul a arătat că, din octombrie 2020 până în prezent, trei cetățeni iranieni – Mansour Ahmadi, Ahmad Khatibi Aghda și Amir Hossein Nickaein Ravari – s-au implicat în atacuri de tip ransomware care au exploatat vulnerabilități cunoscute pentru a fura și cripta datele a sute de victime din Statele Unite. Regatul Unit, Israel, Iran și în alte părți.

Agenția pentru Securitate Cibernetică și Infrastructură (CISA), FBI și alte agenții au avertizat ulterior că actorii asociați cu IRGC, o agenție guvernamentală iraniană însărcinată cu apărarea conducerii de amenințările interne și externe percepute, au exploatat și este probabil să continue să exploateze Microsoft. și vulnerabilități Fortinet – inclusiv o defecțiune a serverului Exchange cunoscută sub numele de ProxyShell — în activitate care a fost depistată în perioada decembrie 2020 – februarie 2021.

Atacatorii, despre care se crede că acționează la ordinul unui APT iranian, au folosit vulnerabilitățile pentru a obține acces inițial la entități din mai multe sectoare de infrastructură critică din SUA și organizații din Australia, Canada și Regatul Unit pentru ransomware și alte operațiuni cibercriminale, agențiile. a spus.

Actorii de amenințări își protejează activitățile rău intenționate folosind două nume de companii: Najee Technology Hooshmand Fater LLC, cu sediul în Karaj, Iran; și Afkar System Yazd Company, cu sediul în Yazd, Iran, conform rechizitoriilor.

APT42 și Înțelegerea amenințărilor

If the recent spate of headlines focused on Iranian APTs seems dizzying, it’s because it took years of analysis and sleuthing just to identify the activity, and authorities and researchers alike are still trying to wrap their heads around it all, Digital Shadows’ Hoffman says.

“Once identified, these attacks also take a reasonable amount of time to investigate,” she says. “There are a lot of puzzle pieces to analyze and put together.”

Cercetătorii de la Mandiant au creat recent un puzzle care a dezvăluit ani de activitate de spionaj cibernetic care începe ca spear-phishing, dar duce la monitorizarea și supravegherea telefonului Android de către APT42 legat de IRGC, despre care se crede că este un subset al unui alt grup de amenințare iranian, APT35/Charming Kitten/Fosfor.

Împreună, cele două grupuri sunt și ele legat la un cluster de amenințări necategorisit urmărit ca UNC2448, identificat de Microsoft și Secureworks ca un subgrup Phosphorus care efectuează atacuri ransomware pentru câștiguri financiare folosind BitLocker, au spus cercetătorii.

To thicken the plot even further, this subgroup appears to be operated by a company using two public aliases, Secnerd and Lifeweb, that have links to one of the companies run by the Iranian nationals indicted in the DoJ’s case: Najee Technology Hooshmand.

Even as organizations absorb the impact of these revelations, researchers said attacks are far from over and likely will diversify as Iran continues its aim to exert political dominance on its foes, Mandiant’s Haeghebaert noted in his email.

“We assess that Iran will continue to use the full spectrum of operations enabled by its cyber capabilities in the long term,” he told Dark Reading. “Additionally, we believe that disruptive activity using ransomware, wipers, and other lock-and-leak techniques may become increasingly common if Iran remains isolated in the international stage and tensions with its neighbors in the region and the West continue to worsen.”