İranlı tehdit aktörleri, bu ay hem ABD hükümetinin hem de güvenlik araştırmacılarının radarında ve hedeflerinde yer alıyor. tehdit faaliyeti İran İslam Devrim Muhafız Birlikleri (IRGC) ile bağlantılı gelişmiş kalıcı tehdit (APT) gruplarından.
ABD hükümeti Çarşamba günü aynı anda açıkladı ayrıntılı bir bilgisayar korsanlığı şeması tarafından ve birkaç İran uyruklu hakkında yakın zamanda açılan mahkeme belgeleri sayesinde iddianameler ve ABD örgütlerini İran APT faaliyeti konusunda uyardı. bilinen güvenlik açıklarından yararlanın - yaygın olarak saldırıya uğrayan ProxyShell dahil ve Log4Shell kusurlar - fidye yazılımı saldırıları amacıyla.
Bu arada, ayrı bir araştırma, yakın zamanda İran devlet destekli bir tehdit aktörünün APT42 olarak izlendiğini ortaya koydu. Bağlıydı 30'ten bu yana, İran için stratejik öneme sahip kişi ve kuruluşları hedef alan ve Avustralya, Avrupa, Orta Doğu ve Amerika Birleşik Devletleri'ndeki hedeflerle 2015'dan fazla onaylanmış siber casusluk saldırısına.
Haber, ABD ile İran arasında artan gerilimin ardından geldi. uygulanan yaptırımlar İslam ulusuna karşı bir siber saldırı da dahil olmak üzere son APT faaliyeti için Arnavut hükümeti Temmuz ayında hükümet web sitelerinin ve çevrimiçi kamu hizmetlerinin kapatılmasına neden oldu ve geniş çapta kınandı.
Ayrıca, İran ve Batı arasındaki siyasi gerilimler, ulus kendisini Çin ve Rusya ile daha yakından hizalarken, İran'ın siber tehdit faaliyeti için siyasi motivasyonunun arttığını söyledi. Risk koruma çözümü sağlayıcısı Digital Shadows'ta kıdemli siber tehdit istihbarat analisti Nicole Hoffman, siyasi düşmanların yaptırımlarıyla karşı karşıya kalındığında saldırıların finansal olarak yönlendirilme olasılığının daha yüksek olduğunu belirtiyor.
Kalıcı ve Avantajlı
Yine de, manşetler İranlı APT'lerden gelen son siber tehdit faaliyetlerinde bir artışı yansıtıyor gibi görünse de, araştırmacılar son saldırı ve iddianame haberlerinin daha çok İran'ın siber suç çıkarlarını ve siyasi gündemini dünya çapında teşvik etme konusundaki ısrarlı ve devam eden faaliyetlerinin bir yansıması olduğunu söyledi. .
Mandiant analisti Emiel Haeghebaert, Dark Reading'e gönderdiği bir e-postada, "İran'ın siber tehdit faaliyeti hakkında artan medya haberlerinin, söz konusu faaliyetteki ani artışla bağlantılı olması gerekmez" dedi.
Qualys'in baş tehdit istihbarat analisti Aubrey Perin, "Uzaklaşıp ulus-devlet faaliyetinin tüm kapsamına bakarsanız, İran çabalarını yavaşlatmadı" diyor. "Tıpkı herhangi bir organize grup gibi, onların ısrarı, hem uzun hem de kısa vadede başarılarının anahtarıdır."
Yine de, herhangi bir tehdit aktörü gibi İran da fırsatçı ve jeopolitik ve ekonomik zorluklar nedeniyle – Ukrayna'da devam eden savaş, enflasyon ve diğer küresel gerilimler gibi – şu anda var olan yaygın korku ve belirsizlik, APT çabalarını kesinlikle destekliyor. diyor.
Yetkililer Uyarı Alsın
İranlı APT'lerin artan güveni ve cesareti, en azından son on yıldır bunlara katlanmakla birlikte, ülkenin sürekli düşmanca siber angajmanlarından bıkmış görünen Amerika Birleşik Devletleri'ndekiler de dahil olmak üzere, küresel yetkililer tarafından fark edilmedi.
New Jersey Eyaleti Adalet Bakanlığı (DoJ) tarafından Çarşamba günü açıklanan bir iddianame, Şubat 2021 ile Şubat 2022 arasında meydana gelen ve Illinois de dahil olmak üzere birçok ABD eyaletinde yüzlerce kurbanı etkileyen fidye yazılımı etkinliğine özel bir ışık tuttu. Mississippi, New Jersey, Pensilvanya ve Washington.
İddianame, Ekim 2020'den bugüne kadar üç İran uyruklunun - Mansour Ahmadi, Ahmad Khatibi Aghda ve Amir Hossein Nickaein Ravari'nin ABD'deki yüzlerce kurbanın verilerini çalmak ve şifrelemek için bilinen güvenlik açıklarından yararlanan fidye yazılımı saldırılarına karıştığını ortaya koydu. Birleşik Krallık, İsrail, İran ve başka yerlerde.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), FBI ve diğer kurumlar daha sonra, liderliği algılanan iç ve dış tehditlere karşı savunmakla görevli bir İran devlet kurumu olan IRGC ile ilişkili aktörlerin Microsoft'u sömürdükleri ve muhtemelen bundan yararlanmaya devam edecekleri konusunda uyardı. ve Fortinet güvenlik açıkları - olarak bilinen bir Exchange Server kusuru dahil ProxyKabuğu — Aralık 2020 ile Şubat 2021 arasında tespit edilen etkinlikte.
İranlı bir APT'nin emriyle hareket ettiğine inanılan saldırganlar, güvenlik açıklarını, fidye yazılımları ve diğer siber suç operasyonları için Avustralya, Kanada ve Birleşik Krallık'taki birden fazla ABD kritik altyapı sektöründeki kuruluşlara ve kuruluşlara ilk erişim sağlamak için kullandılar. söz konusu.
Tehdit aktörleri, kötü niyetli faaliyetlerini iki şirket adı kullanarak koruyor: İran, Karaj merkezli Najee Technology Hooshmand Fater LLC; ve iddianamelere göre İran'ın Yezd kentinde bulunan Afkar System Yazd Company.
APT42 ve Tehditleri Anlama
Digital Shadows'tan Hoffman, İran'daki APT'lere odaklanan son başlıklar baş döndürücü görünüyorsa, bunun nedeni yalnızca faaliyeti tanımlamak için yıllarca analiz ve hafiyelik gerekmesi ve yetkililer ve araştırmacıların hala kafalarını her şeye sarmaya çalışmasıdır, diyor.
“Bir kez tespit edildikten sonra, bu saldırıların araştırılması da makul bir zaman alır” diyor. "Analiz edilecek ve bir araya getirilecek çok sayıda yapboz parçası var."
Mandiant'taki araştırmacılar yakın zamanda ortaya çıkan bir bulmacayı bir araya getirdiler. yılların siber casusluk faaliyeti hedefli kimlik avı olarak başlayan ancak başka bir İranlı tehdit grubunun bir alt kümesi olduğuna inanılan IRGC bağlantılı APT42 tarafından Android telefon izleme ve gözetimine yol açan, APT35/Charming Kitten/Fosfor.
Birlikte, iki grup da bağlı Araştırmacılar, Microsoft ve Secureworks tarafından BitLocker kullanarak finansal kazanç için fidye yazılımı saldırıları gerçekleştiren bir Phosphorus alt grubu olarak tanımlanan UNC2448 olarak izlenen kategorize edilmemiş bir tehdit kümesine dönüştüğünü söyledi.
Konuyu daha da kalınlaştırmak için, bu alt grubun, Adalet Bakanlığı davasında suçlanan İran vatandaşları tarafından yönetilen şirketlerden biriyle bağlantıları olan, iki genel takma ad, Secnerd ve Lifeweb kullanan bir şirket tarafından işletiliyor gibi görünüyor: Najee Technology Hooshmand.
Mandiant'tan Haeghebaert, e-postasında, örgütler bu ifşaların etkisini özümsese bile, araştırmacılar saldırıların sona ermekten çok uzak olduğunu ve İran'ın düşmanları üzerinde siyasi hakimiyet kurma hedefine devam ettikçe büyük olasılıkla çeşitleneceğini söyledi.
Dark Reading'e verdiği demeçte, "İran'ın siber yeteneklerinin sağladığı tüm operasyon yelpazesini uzun vadede kullanmaya devam edeceğini değerlendiriyoruz" dedi. “Ayrıca, İran uluslararası sahnede izole kalırsa ve bölgedeki komşuları ve Batı ile olan gerilimler kötüleşmeye devam ederse, fidye yazılımları, siliciler ve diğer kilitleme ve sızdırma tekniklerini kullanan yıkıcı faaliyetlerin giderek yaygınlaşabileceğine inanıyoruz.”
