Цього місяця іранські загрозливі суб’єкти були на радарі та в центрі уваги уряду США та дослідників у галузі безпеки. загрозлива діяльність від груп передової стійкої загрози (APT), пов’язаних із Корпусом вартових ісламської революції (IRGC) Ірану.
Уряд США в середу одночасно оголосив продумана схема злому і звинувачення проти кількох громадян Ірану завдяки нещодавно розкритим судовим документам, і попередив організації США про діяльність іранського APT до використовувати відомі вразливості — включаючи широко атакуваний ProxyShell і Log4Shell недоліки — з метою атак програм-вимагачів.
Тим часом окреме дослідження нещодавно показало, що спонсорований державою іранський актор загрози відстежується як APT42 була пов'язана до понад 30 підтверджених атак кібершпигунства з 2015 року, які були націлені на осіб та організації, які мають стратегічне значення для Ірану, з цілями в Австралії, Європі, Близькому Сході та Сполучених Штатах.
Ця новина з’явилася на тлі зростаючої напруженості між Сполученими Штатами та Іраном накладені санкції проти ісламської нації за її нещодавню діяльність APT, включаючи кібератаку проти Албанський уряд у липні, що призвело до закриття державних веб-сайтів і публічних онлайн-сервісів, і було широко критиковано.
Крім того, у зв’язку зі зростанням політичної напруженості між Іраном і Заходом, коли країна тісніше об’єднується з Китаєм і Росією, політична мотивація Ірану щодо його діяльності з кіберзагроз зростає, вважають дослідники. Атаки з більшою ймовірністю стануть фінансовими, якщо зіткнутися з санкціями з боку політичних ворогів, зазначає Ніколь Хоффман, старший аналітик розвідки про кіберзагрози компанії Digital Shadows, яка займається захистом від ризиків.
Наполегливий і вигідний
Тим не менш, хоча заголовки, здається, відображають сплеск нещодавньої активності кіберзагроз з боку іранських APT, дослідники кажуть, що останні новини про атаки та звинувачення є скоріше відображенням наполегливої та постійної діяльності Ірану для просування своїх інтересів кіберзлочинців та політичного порядку денного по всьому світу. .
«Збільшення кількості повідомлень ЗМІ про кіберзагрози Ірану не обов’язково пов’язані зі сплеском такої активності», – зазначив аналітик Mandiant Еміель Хегеберт в електронному листі Dark Reading.
«Якщо зменшити масштаб і поглянути на повний масштаб діяльності національних держав, то Іран не сповільнив своїх зусиль», — погоджується Обрі Перін, провідний аналітик із розвідки загроз у Qualys. «Як і в будь-якій організованій групі, їх наполегливість є ключем до їх успіху, як у довгостроковій, так і в короткостроковій перспективі».
Тим не менш, Іран, як і будь-яка загроза, є опортуністичним, і повсюдний страх і невизначеність, які зараз існують через геополітичні та економічні виклики, такі як триваюча війна в Україні, інфляція та інша глобальна напруженість, безумовно, підтримують їхні зусилля APT, сказав він. каже.
Влада зверніть увагу
Зростаюча впевненість і сміливість іранських APT не залишилися непоміченими світовою владою — включно з тими в Сполучених Штатах, яким, схоже, набридли постійні ворожі кіберзаходи нації, які терпіли їх принаймні протягом останнього десятиліття.
Обвинувальний висновок, який було розкрито в середу Міністерством юстиції (DoJ), Офісом прокурора США округу Нью-Джерсі, проливає конкретне світло на дії програм-вимагачів, які мали місце в період з лютого 2021 року по лютий 2022 року та вплинули на сотні жертв у кількох штатах США, включаючи Іллінойс, Міссісіпі, Нью-Джерсі, Пенсільванія та Вашингтон.
Звинувачення показало, що з жовтня 2020 року по теперішній час троє громадян Ірану — Мансур Ахмаді, Ахмад Хатібі Агда та Амір Хоссейн Нікейн Раварі — брали участь у атаках програм-вимагачів, які використовували відомі вразливості для викрадення та шифрування даних сотень жертв у Сполучених Штатах, Велика Британія, Ізраїль, Іран та інші країни.
Агентство з кібербезпеки та безпеки інфраструктури (CISA), ФБР та інші агентства згодом попередили, що суб’єкти, пов’язані з IRGC, урядовим агентством Ірану, якому доручено захищати керівництво від передбачуваних внутрішніх і зовнішніх загроз, використовували і, ймовірно, продовжуватимуть використовувати Microsoft. і вразливості Fortinet, включаючи недолік сервера Exchange, відомий як ProxyShell — в діяльності, яка була виявлена в період з грудня 2020 року по лютий 2021 року.
Зловмисники, які, ймовірно, діяли за вказівкою іранського APT, використовували вразливості, щоб отримати початковий доступ до об’єктів у багатьох секторах критичної інфраструктури США та організацій в Австралії, Канаді та Великобританії для програм-вимагачів та інших кіберзлочинних операцій, агентства. сказав.
Зловмисники прикривають свою зловмисну діяльність двома назвами компаній: Najee Technology Hooshmand Fater LLC, розташована в Караджі, Іран; і Afkar System Yazd Company, що базується в Язді, Іран, згідно з обвинуваченнями.
APT42 і розпізнавання загроз
Якщо нещодавня серія заголовків, зосереджених на іранських APT, здається запаморочливою, це тому, що потрібні були роки аналізу та розшуку, щоб лише ідентифікувати цю діяльність, а влада та дослідники все ще намагаються все це зрозуміти, каже Хоффман з Digital Shadows.
«Після виявлення ці атаки також потребують достатньо часу для розслідування», — каже вона. «Є багато частин головоломки, які потрібно проаналізувати та скласти».
Дослідники Mandiant нещодавно склали одну головоломку, яка виявила років кібершпигунської діяльності який починається як фішинг, але призводить до моніторингу та стеження за телефонами Android за допомогою APT42, пов’язаного з IRGC, який вважається підрозділом іншої іранської групи загроз, APT35/Чарівне кошеня/Фосфор.
Разом ці дві групи також є підключений До некатегоризованого кластера загроз, який відстежується як UNC2448, ідентифікований Microsoft і Secureworks як підгрупа Phosphorus, яка здійснює атаки програм-вимагачів з метою фінансової вигоди за допомогою BitLocker, кажуть дослідники.
Щоб ще більше поглибити сюжет, цією підгрупою, схоже, керує компанія, яка використовує два публічні псевдоніми, Secnerd і Lifeweb, які мають зв’язки з однією з компаній, якими керують громадяни Ірану, звинувачені у справі Міністерства юстиції: Najee Technology Hooshmand.
Навіть коли організації сприймають вплив цих викриттів, дослідники кажуть, що атаки ще далекі від завершення і, ймовірно, будуть диверсифікуватися, оскільки Іран продовжує свою мету здійснювати політичне домінування над своїми ворогами, зазначив Хегеберт з Mandiant у своєму електронному листі.
«Ми оцінюємо, що Іран продовжуватиме використовувати весь спектр операцій, які забезпечуються його кіберможливостями в довгостроковій перспективі», — сказав він Dark Reading. «Крім того, ми вважаємо, що підривна діяльність із використанням програм-вимагачів, склоочисників та інших методів блокування й витоку може стати все більш поширеною, якщо Іран залишиться ізольованим на міжнародній арені, а напруга з його сусідами в регіоні та на Заході продовжуватиме загострюватися».
