การยกเลิกกิจกรรมการคุกคามของอิหร่านกระตุ้นให้เกิดคำเตือน คำฟ้องจากรัฐบาลสหรัฐฯ

ผู้แสดงภัยคุกคามชาวอิหร่านถูกจับตามองและอยู่ในสายตาของรัฐบาลสหรัฐฯ และนักวิจัยด้านความปลอดภัยในเดือนนี้ โดยสิ่งที่ดูเหมือนจะเป็นการเพิ่มระดับและการปราบปรามที่ตามมา กิจกรรมภัยคุกคาม from advanced persistent threat (APT) groups associated with the Iran’s Islamic Revolutionary Guard Corps (IRGC).

รัฐบาลสหรัฐเปิดเผยเมื่อวันพุธพร้อมๆ กัน แผนการแฮ็กที่ซับซ้อน โดยและคำฟ้องต่อชาวอิหร่านหลายคนด้วยเอกสารของศาลที่ถูกเปิดผนึกเมื่อเร็ว ๆ นี้ และเตือนองค์กรของสหรัฐอเมริกาเกี่ยวกับกิจกรรม APT ของอิหร่าน หาช่องโหว่ที่รู้จัก — รวมถึง ProxyShell ที่ถูกโจมตีอย่างกว้างขวางและ Log4Shell ข้อบกพร่อง — เพื่อจุดประสงค์ในการโจมตีแรนซัมแวร์

ในขณะเดียวกัน การวิจัยแยกต่างหากเผยให้เห็นเมื่อเร็ว ๆ นี้ว่าผู้แสดงภัยคุกคามที่ได้รับการสนับสนุนจากรัฐอิหร่านถูกติดตามเป็น APT42 ได้รับการเชื่อมโยง ไปยังการโจมตีจารกรรมทางไซเบอร์ที่ได้รับการยืนยันมากกว่า 30 ครั้งตั้งแต่ปี 2015 ซึ่งกำหนดเป้าหมายบุคคลและองค์กรที่มีความสำคัญเชิงกลยุทธ์ต่ออิหร่าน โดยมีเป้าหมายในออสเตรเลีย ยุโรป ตะวันออกกลาง และสหรัฐอเมริกา

ข่าวดังกล่าวเกิดขึ้นท่ามกลางความตึงเครียดที่เพิ่มขึ้นระหว่างสหรัฐฯ และอิหร่าน การลงโทษที่กำหนด ต่อต้านกลุ่มชาติอิสลามสำหรับกิจกรรม APT ล่าสุด รวมถึงการโจมตีทางไซเบอร์ต่อ รัฐบาลแอลเบเนีย ในเดือนกรกฎาคม ส่งผลให้เว็บไซต์ภาครัฐและบริการสาธารณะออนไลน์ต้องปิดตัวลง และถูกตำหนิอย่างกว้างขวาง

Moreover, with political tensions between Iran and the West mounting as the nation aligns itself more closely with China and Russia, Iran’s political motivation for its cyber-threat activity is growing, researchers said. Attacks are more likely to become financially driven when faced with sanctions from political enemies, notes Nicole Hoffman, senior cyber-threat intelligence analyst at risk-protection solution provider Digital Shadows.

ถาวรและได้เปรียบ

ถึงกระนั้น แม้ว่าพาดหัวข่าวดูเหมือนจะสะท้อนถึงกิจกรรมภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นอย่างรวดเร็วเมื่อเร็ว ๆ นี้จาก APT ของอิหร่าน นักวิจัยกล่าวว่าข่าวการโจมตีและการฟ้องร้องเมื่อเร็ว ๆ นี้สะท้อนให้เห็นถึงกิจกรรมที่ต่อเนื่องและต่อเนื่องของอิหร่านในการส่งเสริมผลประโยชน์ทางอาญาทางไซเบอร์และวาระทางการเมืองทั่วโลก .

“Increased media reporting on Iran’s cyber-threat activity does not necessarily correlate to a spike in said activity,” Mandiant analyst Emiel Haeghebaert noted in an email to Dark Reading.

“If you zoom out and look at the full scope of nation-state activity, Iran has not slowed their efforts,” agrees Aubrey Perin, lead threat intelligence analyst at Qualys. “Just like any organized group their persistence is key to their success, both in the long term and short term.”

อย่างไรก็ตาม อิหร่านก็เหมือนกับผู้แสดงภัยคุกคามอื่นๆ ที่มีการฉวยโอกาส และความหวาดกลัวและความไม่แน่นอนที่แพร่หลายซึ่งดำรงอยู่ในปัจจุบันอันเนื่องมาจากความท้าทายทางภูมิรัฐศาสตร์และเศรษฐกิจ เช่น สงครามที่กำลังดำเนินอยู่ในยูเครน อัตราเงินเฟ้อ และความตึงเครียดระดับโลกอื่นๆ ได้ช่วยพยุงความพยายามของ APT ของพวกเขาอย่างแน่นอน พูดว่า

เจ้าหน้าที่รับทราบ

The growing confidence and boldness of Iranian APTs has not gone unnoticed by global authorities — including those in the United States, who appear to be getting fed up with the nation’s persistent hostile cyber engagements, having endured them for at least the last decade.

An indictment that was unsealed Wednesday by the Department of Justice (DoJ), US Attorney’s Office, District of New Jersey shed specific light on ransomware activity that occurred between February 2021 and February 2022 and affected hundreds of victims in several US states, including Illinois, Mississippi, New Jersey, Pennsylvania, and Washington.

คำฟ้องเปิดเผยว่าตั้งแต่เดือนตุลาคม 2020 จนถึงปัจจุบัน ชาวอิหร่าน XNUMX คน ได้แก่ Mansour Ahmadi, Ahmad Khatibi Aghda และ Amir Hossein Nickaein Ravari มีส่วนร่วมในการโจมตีด้วยแรนซัมแวร์ที่ใช้ประโยชน์จากช่องโหว่ที่ทราบเพื่อขโมยและเข้ารหัสข้อมูลของเหยื่อหลายร้อยรายในสหรัฐอเมริกา สหราชอาณาจักร อิสราเอล อิหร่าน และที่อื่นๆ

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA), FBI และหน่วยงานอื่น ๆ ในเวลาต่อมาได้เตือนว่าผู้มีบทบาทที่เกี่ยวข้องกับ IRGC ซึ่งเป็นหน่วยงานรัฐบาลอิหร่านที่ได้รับมอบหมายให้ปกป้องผู้นำจากภัยคุกคามภายในและภายนอกที่รับรู้นั้น ได้แสวงหาผลประโยชน์และมีแนวโน้มที่จะใช้ประโยชน์จาก Microsoft ต่อไป และช่องโหว่ของ Fortinet รวมถึงข้อบกพร่องของ Exchange Server ที่รู้จักกันในชื่อ พร็อกซีเชลล์ — ในกิจกรรมที่ตรวจพบระหว่างเดือนธันวาคม 2020 ถึงกุมภาพันธ์ 2021

ผู้โจมตีซึ่งเชื่อว่าดำเนินการตามคำสั่งของ APT ของอิหร่าน ได้ใช้ช่องโหว่ดังกล่าวเพื่อเข้าถึงเอนทิตีในภาคโครงสร้างพื้นฐานและองค์กรโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ หลายแห่งในออสเตรเลีย แคนาดา และสหราชอาณาจักร สำหรับแรนซัมแวร์และการดำเนินการทางอาญาทางไซเบอร์อื่น ๆ พูดว่า.

ผู้คุกคามปกป้องกิจกรรมที่เป็นอันตรายโดยใช้ชื่อบริษัทสองแห่ง ได้แก่ Najee Technology Hooshmand Fater LLC ซึ่งตั้งอยู่ในเมือง Karaj ประเทศอิหร่าน; และบริษัท Afkar System Yazd ซึ่งตั้งอยู่ในเมือง Yazd ประเทศอิหร่าน ตามคำฟ้อง

APT42 และทำความเข้าใจภัยคุกคาม

If the recent spate of headlines focused on Iranian APTs seems dizzying, it’s because it took years of analysis and sleuthing just to identify the activity, and authorities and researchers alike are still trying to wrap their heads around it all, Digital Shadows’ Hoffman says.

“Once identified, these attacks also take a reasonable amount of time to investigate,” she says. “There are a lot of puzzle pieces to analyze and put together.”

นักวิจัยจาก Mandiant เพิ่งรวบรวมปริศนาหนึ่งข้อที่เปิดเผยออกมา หลายปีของกิจกรรมการจารกรรมทางไซเบอร์ ที่เริ่มต้นจากการฟิชชิ่งแบบหอก แต่นำไปสู่การติดตามและเฝ้าระวังโทรศัพท์ Android โดย APT42 ที่เชื่อมโยงกับ IRGC ซึ่งเชื่อกันว่าเป็นกลุ่มย่อยของกลุ่มภัยคุกคามอิหร่านอื่น APT35/ลูกแมวทรงเสน่ห์/ฟอสฟอรัส.

รวมกันทั้งสองกลุ่มก็มี งานที่เชื่อมต่อ ไปยังคลัสเตอร์ภัยคุกคามที่ไม่มีหมวดหมู่ซึ่งติดตามเป็น UNC2448 ซึ่งระบุโดย Microsoft และ Secureworks เป็นกลุ่มย่อยฟอสฟอรัสที่ดำเนินการโจมตีแรนซัมแวร์เพื่อผลประโยชน์ทางการเงินโดยใช้ BitLocker นักวิจัยกล่าว

To thicken the plot even further, this subgroup appears to be operated by a company using two public aliases, Secnerd and Lifeweb, that have links to one of the companies run by the Iranian nationals indicted in the DoJ’s case: Najee Technology Hooshmand.

Even as organizations absorb the impact of these revelations, researchers said attacks are far from over and likely will diversify as Iran continues its aim to exert political dominance on its foes, Mandiant’s Haeghebaert noted in his email.

“We assess that Iran will continue to use the full spectrum of operations enabled by its cyber capabilities in the long term,” he told Dark Reading. “Additionally, we believe that disruptive activity using ransomware, wipers, and other lock-and-leak techniques may become increasingly common if Iran remains isolated in the international stage and tensions with its neighbors in the region and the West continue to worsen.”