Iranska hotaktörer har varit på radarn och i trådkorset för både den amerikanska regeringen och säkerhetsforskare denna månad med vad som verkar vara en uppgång i och efterföljande tillslag mot hotaktivitet från avancerade ihållande hot (APT) grupper associerade med Irans islamiska revolutionsgardet (IRGC).
Den amerikanska regeringen på onsdagen avslöjade samtidigt ett utarbetat hackningsschema av och åtal mot flera iranska medborgare tack vare nyligen öppnade domstolsdokument och varnade amerikanska organisationer för iransk APT-aktivitet att utnyttja kända sårbarheter — inklusive den brett attackerade ProxyShell och Log4Shell brister — i syfte att attackera ransomware.
Samtidigt avslöjade separat forskning nyligen att en iransk statssponsrad hotaktör spåras som APT42 har länkats till mer än 30 bekräftade cyberspionageattacker sedan 2015, som riktade sig mot individer och organisationer med strategisk betydelse för Iran, med mål i Australien, Europa, Mellanöstern och USA.
Nyheten kommer mitt i växande spänningar mellan USA och Iran i hälarna på utdömda sanktioner mot den islamiska nationen för dess senaste APT-aktivitet, inklusive en cyberattack mot albanska regeringen i juli som orsakade en stängning av statliga webbplatser och offentliga onlinetjänster, och blev allmänt kritiserad.
Dessutom, med de politiska spänningarna mellan Iran och västvärlden som ökar när nationen ansluter sig närmare Kina och Ryssland, växer Irans politiska motivation för dess cyberhotsaktivitet, sa forskare. Attacker är mer benägna att bli ekonomiskt drivna när de ställs inför sanktioner från politiska fiender, konstaterar Nicole Hoffman, senior underrättelseanalytiker för cyberhot hos leverantören av riskskyddslösningar Digital Shadows.
Ihållande & fördelaktigt
Ändå, även om rubrikerna verkar återspegla en ökning av den senaste tidens cyberhotsaktivitet från iranska APT:er, sa forskare att de senaste nyheterna om attacker och åtal snarare är en återspegling av ihållande och pågående aktivitet från Iran för att främja dess cyberkriminella intressen och politiska agenda över hela världen .
"Ökad mediarapportering om Irans cyberhotsaktivitet korrelerar inte nödvändigtvis med en ökning av nämnda aktivitet", noterade Mandiant-analytikern Emiel Haeghebaert i ett mejl till Dark Reading.
"Om du zoomar ut och tittar på hela omfattningen av nationalstaternas aktivitet, har Iran inte bromsat sina ansträngningar", instämmer Aubrey Perin, ledande hottelligence-analytiker på Qualys. "Precis som alla organiserade grupper är deras uthållighet nyckeln till deras framgång, både på lång sikt och kort sikt."
Ändå är Iran, precis som alla hotaktörer, opportunistiskt, och den genomgripande rädsla och osäkerhet som för närvarande finns på grund av geopolitiska och ekonomiska utmaningar – såsom det pågående kriget i Ukraina, inflation och andra globala spänningar – stödjer verkligen deras APT-ansträngningar, han säger.
Myndigheterna uppmärksammas
Det växande förtroendet och djärvheten hos iranska APT:er har inte gått obemärkt förbi av globala myndigheter – inklusive de i USA, som verkar tröttna på landets ihållande fientliga cyberengagemang, efter att ha uthärdat dem under åtminstone det senaste decenniet.
Ett åtal som öppnades i onsdags av justitiedepartementet (DoJ), US Attorney's Office, District of New Jersey kastade specifikt ljus över ransomware-aktivitet som inträffade mellan februari 2021 och februari 2022 och som påverkade hundratals offer i flera amerikanska delstater, inklusive Illinois, Mississippi, New Jersey, Pennsylvania och Washington.
Åtalet avslöjade att från oktober 2020 och fram till nu har tre iranska medborgare - Mansour Ahmadi, Ahmad Khatibi Aghda och Amir Hossein Nickaein Ravari - engagerat sig i ransomware-attacker som utnyttjade kända sårbarheter för att stjäla och kryptera data från hundratals offer i USA, Storbritannien, Israel, Iran och på andra håll.
Cybersecurity and Infrastructure Security Agency (CISA), FBI och andra byråer varnade därefter för att aktörer associerade med IRGC, en iransk statlig myndighet med uppgift att försvara ledarskap från uppfattade interna och externa hot, har utnyttjat och sannolikt kommer att fortsätta att utnyttja Microsoft och Fortinet-sårbarheter — inklusive ett Exchange Server-fel känt som ProxyShell — i aktivitet som upptäcktes mellan december 2020 och februari 2021.
Angriparna, som tros agera på uppdrag av en iransk APT, använde sårbarheterna för att få första tillgång till enheter över flera amerikanska kritiska infrastruktursektorer och organisationer i Australien, Kanada och Storbritannien för ransomware och andra cyberkriminella operationer, byråerna sa.
Hotaktörer skyddar sina skadliga aktiviteter med två företagsnamn: Najee Technology Hooshmand Fater LLC, baserat i Karaj, Iran; och Afkar System Yazd Company, baserat i Yazd, Iran, enligt åtalen.
APT42 & att förstå hoten
Om den senaste strömmen av rubriker fokuserade på iranska APT:er verkar svindlande, beror det på att det krävdes åratal av analyser och undersökningar bara för att identifiera aktiviteten, och både myndigheter och forskare försöker fortfarande slingra sig runt det hela, säger Hoffman från Digital Shadows.
"När de har identifierats tar dessa attacker också en rimlig tid att undersöka", säger hon. "Det finns många pusselbitar att analysera och sätta ihop."
Forskare vid Mandiant lade nyligen ihop ett pussel som avslöjade år av cyberspionageverksamhet som börjar som spjutfiske men leder till Android-telefonövervakning och övervakning av IRGC-kopplade APT42, som tros vara en undergrupp av en annan iransk hotgrupp, APT35/Charmig kattunge/fosfor.
Tillsammans är de två grupperna också det anslutna till ett okategoriserat hotkluster spårat som UNC2448, identifierat av Microsoft och Secureworks som en fosforundergrupp som utför ransomware-attacker för ekonomisk vinning med hjälp av BitLocker, sa forskare.
För att förtjocka handlingen ytterligare verkar denna undergrupp drivas av ett företag som använder två offentliga alias, Secnerd och Lifeweb, som har kopplingar till ett av företagen som drivs av de iranska medborgare som åtalats i DoJ:s fall: Najee Technology Hooshmand.
Även när organisationer absorberar effekterna av dessa avslöjanden, sa forskare att attackerna är långt ifrån över och sannolikt kommer att diversifieras när Iran fortsätter sitt mål att utöva politisk dominans över sina fiender, noterade Mandiants Haeghebaert i sitt mejl.
"Vi bedömer att Iran kommer att fortsätta att använda hela spektrumet av operationer som möjliggörs av dess cyberkapacitet på lång sikt", sa han till Dark Reading. "Dessutom tror vi att störande aktiviteter som använder ransomware, torkare och andra lås-och-läcka-tekniker kan bli allt vanligare om Iran förblir isolerat på den internationella scenen och spänningarna med sina grannar i regionen och västvärlden fortsätter att förvärras."
