В этом месяце иранские субъекты угроз были в поле зрения и под прицелом как правительства США, так и исследователей безопасности, что, по всей видимости, является активизацией и последующими репрессиями в отношении угрожающая активность от группировок передовой постоянной угрозы (APT), связанных с иранским Корпусом стражей исламской революции (КСИР).
Правительство США в среду одновременно раскрыло тщательно продуманная схема взлома и обвинительные заключения против нескольких иранских граждан благодаря недавно раскрытым судебным документам, а также предупредил американские организации о деятельности иранских APT, чтобы использовать известные уязвимости — включая широко атакованный ProxyShell и Журнал4Shell недостатки — с целью атак программ-вымогателей.
Между тем, отдельное исследование недавно показало, что спонсируемый иранским государством злоумышленник отслеживается как APT42. было связано с более чем 30 подтвержденными атаками кибершпионажа с 2015 года, направленными против отдельных лиц и организаций, имеющих стратегическое значение для Ирана, с целями в Австралии, Европе, на Ближнем Востоке и в США.
Эта новость появилась на фоне растущей напряженности между Соединенными Штатами и Ираном вслед за введенные санкции против исламской нации за ее недавнюю деятельность APT, включая кибератаку на Албанское правительство в июле это привело к закрытию правительственных веб-сайтов и государственных онлайн-сервисов и вызвало широкую критику.
Более того, по мере того, как политическая напряженность между Ираном и Западом растет, поскольку страна все более тесно сотрудничает с Китаем и Россией, политическая мотивация Ирана для своей деятельности по киберугрозам растет, говорят исследователи. Атаки с большей вероятностью приобретут финансовый характер, если столкнутся с санкциями со стороны политических врагов, отмечает Николь Хоффман, старший аналитик по киберугрозам компании Digital Shadows, поставщика решений по защите от рисков.
Стойкий и выгодный
Тем не менее, хотя заголовки, кажется, отражают всплеск недавней активности киберугроз со стороны иранских APT, исследователи говорят, что недавние новости об атаках и обвинениях являются скорее отражением постоянной и продолжающейся деятельности Ирана по продвижению своих киберпреступных интересов и политической повестки дня по всему миру. .
«Увеличение количества сообщений в СМИ об активности Ирана в области киберугроз не обязательно коррелирует с резким ростом этой активности», — отметил аналитик Mandiant Эмиэль Хэгебарт в электронном письме Dark Reading.
«Если вы уменьшите масштаб и посмотрите на весь спектр деятельности национальных государств, то увидите, что Иран не замедлил своих усилий», — соглашается Обри Перин, ведущий аналитик по разведке угроз в Qualys. «Как и в любой организованной группе, их настойчивость является ключом к их успеху, как в долгосрочной, так и в краткосрочной перспективе».
Тем не менее, Иран, как и любой другой игрок, представляющий угрозу, является оппортунистом, и всепроникающий страх и неуверенность, которые в настоящее время существуют из-за геополитических и экономических проблем, таких как продолжающаяся война в Украине, инфляция и другие глобальные противоречия, безусловно, поддерживают их усилия APT, сказал он. говорит.
Власти обращают внимание
Растущая уверенность и смелость иранских APT не остались незамеченными мировыми властями, в том числе властями Соединенных Штатов, которым, похоже, надоели постоянные враждебные действия страны в киберпространстве, поскольку они терпели их, по крайней мере, в течение последнего десятилетия.
Обвинительное заключение, обнародованное в среду Министерством юстиции (МЮ) и прокуратурой США по округу Нью-Джерси, пролило конкретный свет на деятельность программ-вымогателей, имевшую место в период с февраля 2021 по февраль 2022 года и затронувшую сотни жертв в нескольких штатах США, включая Иллинойс. Миссисипи, Нью-Джерси, Пенсильвания и Вашингтон.
В обвинительном заключении выяснилось, что с октября 2020 года по настоящее время трое иранских граждан — Мансур Ахмади, Ахмад Хатиби Агда и Амир Хосейн Никаейн Равари — участвовали в атаках программ-вымогателей, которые использовали известные уязвимости для кражи и шифрования данных сотен жертв в Соединенных Штатах. Великобритания, Израиль, Иран и другие страны.
Агентство кибербезопасности и безопасности инфраструктуры (CISA), ФБР и другие агентства впоследствии предупредили, что субъекты, связанные с КСИР, иранским правительственным агентством, которому поручено защищать руководство от предполагаемых внутренних и внешних угроз, использовали и, вероятно, будут продолжать использовать Microsoft и уязвимости Fortinet, включая уязвимость Exchange Server, известную как ПроксиШелл — в активности, которая была обнаружена в период с декабря 2020 года по февраль 2021 года.
Злоумышленники, предположительно действовавшие по указанию иранской APT, использовали уязвимости для получения первоначального доступа к объектам в нескольких критически важных инфраструктурных секторах США и организациям в Австралии, Канаде и Великобритании для распространения программ-вымогателей и других киберпреступных операций, сообщили агентства. сказал.
Злоумышленники скрывают свою вредоносную деятельность, используя названия двух компаний: Najee Technology Hooshmand Fater LLC, базирующаяся в Карадже, Иран; и компания Afkar System Yazd, базирующаяся в Йезде, Иран, согласно обвинительным заключениям.
APT42 и понимание угроз
Если недавняя волна заголовков, посвященных иранским APT, кажется головокружительной, то это потому, что потребовались годы анализа и расследования только для того, чтобы выявить эту деятельность, а власти и исследователи все еще пытаются осознать все это, говорит Хоффман из Digital Shadows.
«После выявления этих атак также требуется достаточно времени для расследования», — говорит она. «Есть много частей головоломки, которые нужно проанализировать и собрать воедино».
Исследователи из Mandiant недавно собрали одну загадку, которая раскрыла лет кибершпионской деятельности Это начинается как целенаправленный фишинг, но приводит к мониторингу и наблюдению за телефонами Android со стороны APT42, связанного с КСИР, который, как полагают, является частью другой иранской группировки угроз. APT35/Очаровательный котенок/Фосфор.
Вместе эти две группы также являются подключенный По словам исследователей, к неклассифицированному кластеру угроз, отслеживаемому как UNC2448, который Microsoft и Secureworks определили как подгруппу Phosphorus, осуществляющую атаки программ-вымогателей с целью получения финансовой выгоды с использованием BitLocker.
Чтобы еще больше усложнить сюжет, эта подгруппа, похоже, управляется компанией, использующей два публичных псевдонима, Secnerd и Lifeweb, которые имеют связи с одной из компаний, управляемых иранскими гражданами, обвиняемыми по делу Министерства юстиции: Najee Technology Hooshmand.
Несмотря на то, что организации осознают влияние этих разоблачений, исследователи говорят, что нападения еще далеки от завершения и, вероятно, будут диверсифицироваться, поскольку Иран продолжает стремиться к политическому доминированию над своими противниками, отметил в своем электронном письме Хегебарт из Mandiant.
«По нашим оценкам, Иран продолжит использовать весь спектр операций, предоставляемых его кибервозможностями, в долгосрочной перспективе», — сказал он Dark Reading. «Кроме того, мы считаем, что подрывная деятельность с использованием программ-вымогателей, вайперов и других методов блокировки и утечки может стать все более распространенной, если Иран останется изолированным на международной арене, а напряженность в отношениях с его соседями по региону и Западом продолжит ухудшаться».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
