Iranski akterji grožnje so bili ta mesec na radarju in v križišču ameriške vlade in varnostnih raziskovalcev, kar kaže na povečanje in posledično zatiranje dejavnost grožnje iz skupin za napredno vztrajno grožnjo (APT), povezanih z iransko Korpusom islamske revolucionarne garde (IRGC).
Ameriška vlada je v sredo hkrati razkrila izdelana hekerska shema obtožnic zoper več iranskih državljanov, zahvaljujoč nedavno nezapečatenim sodnim dokumentom, in ameriške organizacije opozoril na dejavnosti iranskega APT, naj izkoristiti znane ranljivosti — vključno s široko napadenim ProxyShell in Log4Shell pomanjkljivosti — za namene napadov z izsiljevalsko programsko opremo.
Medtem je ločena raziskava nedavno razkrila, da je iranski državni sponzor grožnje, ki ga spremljajo kot APT42 je bilo povezano do več kot 30 potrjenih napadov kibernetskega vohunjenja od leta 2015, ki so bili usmerjeni na posameznike in organizacije strateškega pomena za Iran, s tarčami v Avstraliji, Evropi, na Bližnjem vzhodu in v Združenih državah.
Novica prihaja sredi naraščajočih napetosti med ZDA in Iranom uvedene sankcije proti islamskemu narodu zaradi njegove nedavne dejavnosti APT, vključno s kibernetskim napadom na albanska vlada julija, kar je povzročilo zaprtje vladnih spletnih mest in spletnih javnih storitev ter je bilo na široko kritizirano.
Poleg tega politične napetosti med Iranom in Zahodom naraščajo, ko se država tesneje povezuje s Kitajsko in Rusijo, narašča politična motivacija Irana za njegovo kibernetsko grožnjo, pravijo raziskovalci. Če se soočite s sankcijami političnih sovražnikov, je verjetneje, da bodo napadi postali finančno usmerjeni, ugotavlja Nicole Hoffman, višja analitičarka za obveščanje o kibernetskih grožnjah pri ponudniku rešitev za zaščito pred tveganji Digital Shadows.
Vztrajno in ugodno
Čeprav se zdi, da naslovi odražajo porast nedavnih kibernetskih groženj iz iranskih APT, so raziskovalci dejali, da so nedavne novice o napadih in obtožnicah bolj odraz vztrajne in stalne dejavnosti Irana za promocijo svojih interesov kibernetskega kriminala in politične agende po vsem svetu. .
"Povečano medijsko poročanje o iranski kibernetski grožnji ni nujno povezano s skokom omenjene dejavnosti," je v elektronskem sporočilu Dark Readingu zapisal Mandiantov analitik Emiel Haeghebaert.
»Če pomanjšate in pogledate celoten obseg dejavnosti nacionalnih držav, Iran ni upočasnil svojih prizadevanj,« se strinja Aubrey Perin, vodilni analitik za obveščanje o grožnjah pri Qualysu. "Tako kot vsaka organizirana skupina je njihova vztrajnost ključna za njihov uspeh, tako dolgoročno kot kratkoročno."
Kljub temu je Iran, tako kot vsak akter grožnje, oportunističen in vsesplošni strah in negotovost, ki trenutno obstajata zaradi geopolitičnih in gospodarskih izzivov - kot so trajajoča vojna v Ukrajini, inflacija in druge svetovne napetosti - zagotovo spodbuja njihova prizadevanja za APT, je dejal. pravi.
Organi upoštevajte
Naraščajoča samozavest in drznost iranskih APT ni ostala neopažena s strani svetovnih oblasti – vključno s tistimi v Združenih državah, ki se zdijo siti vztrajnih sovražnih kibernetskih udejstvovanj države, saj jih prenašajo že vsaj zadnje desetletje.
Obtožnica, ki jo je v sredo razkrilo ministrstvo za pravosodje (DoJ), pravobranilstvo ZDA, okrožje New Jersey, je natančno osvetlilo dejavnost izsiljevalske programske opreme, ki se je zgodila med februarjem 2021 in februarjem 2022 in je prizadela na stotine žrtev v več zveznih državah ZDA, vključno z Illinoisom, Mississippi, New Jersey, Pennsylvania in Washington.
Obtožnica je razkrila, da so od oktobra 2020 do danes trije iranski državljani – Mansour Ahmadi, Ahmad Khatibi Aghda in Amir Hossein Nickaein Ravari – sodelovali v napadih z izsiljevalsko programsko opremo, ki so izkoriščali znane ranljivosti za krajo in šifriranje podatkov več sto žrtev v Združenih državah, Združeno kraljestvo, Izrael, Iran in drugod.
Agencija za kibernetsko varnost in varnost infrastrukture (CISA), FBI in druge agencije so pozneje opozorile, da akterji, povezani z IRGC, iransko vladno agencijo, ki je zadolžena za obrambo vodstva pred zaznanimi notranjimi in zunanjimi grožnjami, izkoriščajo in bodo verjetno še naprej izkoriščali Microsoft in ranljivosti Fortinet – vključno z napako strežnika Exchange Server, znano kot ProxyShell — v dejavnosti, ki je bila zaznana med decembrom 2020 in februarjem 2021.
Napadalci, za katere se domneva, da delujejo po naročilu iranskega APT, so uporabili ranljivosti za pridobitev začetnega dostopa do subjektov v več ameriških kritičnih infrastrukturnih sektorjih in organizacijah v Avstraliji, Kanadi in Združenem kraljestvu za izsiljevalsko programsko opremo in druge operacije kibernetskega kriminala, poročajo agencije. rekel.
Akterji groženj svoje zlonamerne dejavnosti ščitijo z dvema imenoma podjetij: Najee Technology Hooshmand Fater LLC s sedežem v Karaju v Iranu; in Afkar System Yazd Company s sedežem v Yazdu v Iranu, glede na obtožnice.
APT42 & Osmišljanje groženj
Če se nedavni val naslovov, osredotočenih na iranske APT, zdi vrtoglav, je to zato, ker so bila potrebna leta analiz in iskanja samo za identifikacijo dejavnosti, oblasti in raziskovalci pa se še vedno trudijo zaviti v glavo okoli vsega tega, pravi Hoffman iz Digital Shadows.
"Ko so enkrat identificirani, ti napadi vzamejo tudi razumno količino časa za preiskavo," pravi. "Obstaja veliko kosov sestavljanke, ki jih je treba analizirati in sestaviti."
Raziskovalci pri Mandiantu so pred kratkim sestavili uganko, ki je razkrila leta kibernetske vohunske dejavnosti ki se začne kot lažno predstavljanje, vendar vodi do spremljanja in nadzora telefona Android s strani APT42, povezanega z IRGC, ki naj bi bil podskupina druge iranske groženjske skupine, APT35/Očarljivi mucek/Fosfor.
Skupaj sta skupini tudi povezane na nekategoriziran grozd groženj, sleden kot UNC2448, ki sta ga Microsoft in Secureworks identificirala kot podskupino Phosphorus, ki izvaja napade z izsiljevalsko programsko opremo za finančno korist z uporabo BitLockerja, so povedali raziskovalci.
Da bi še bolj zgostili zaplet, se zdi, da to podskupino upravlja podjetje, ki uporablja dva javna vzdevka, Secnerd in Lifeweb, ki sta povezana z enim od podjetij, ki jih vodijo iranski državljani, obtoženi v primeru DoJ: Najee Technology Hooshmand.
Tudi ko organizacije absorbirajo vpliv teh razkritij, so raziskovalci dejali, da napadi še zdaleč niso končani in da se bodo verjetno razširili, saj si bo Iran še naprej prizadeval izvajati politično prevlado nad svojimi sovražniki, je v svojem e-poštnem sporočilu zapisal Mandiantov Haeghebaert.
"Ocenjujemo, da bo Iran dolgoročno še naprej uporabljal celoten spekter operacij, ki ga omogočajo njegove kibernetske zmogljivosti," je povedal za Dark Reading. "Poleg tega verjamemo, da bodo moteče dejavnosti z uporabo izsiljevalske programske opreme, brisalcev in drugih tehnik zaklepanja in uhajanja lahko postale vse pogostejše, če bo Iran ostal izoliran na mednarodnem prizorišču in se bodo napetosti s sosedami v regiji in na Zahodu še naprej stopnjevale."
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
