Các tác nhân đe dọa Iran đã nằm trong tầm ngắm của chính phủ Mỹ và các nhà nghiên cứu an ninh trong tháng này với những gì dường như là một cuộc tấn công và đàn áp tiếp theo đối với hoạt động đe dọa khỏi các nhóm đe dọa dai dẳng tiên tiến (APT) liên kết với Quân đoàn Vệ binh Cách mạng Hồi giáo Iran (IRGC).
Chính phủ Hoa Kỳ hôm thứ Tư đồng loạt tiết lộ một kế hoạch hack phức tạp bởi và cáo trạng chống lại một số công dân Iran nhờ các tài liệu tòa án chưa được niêm phong gần đây, đồng thời cảnh báo các tổ chức Hoa Kỳ về hoạt động APT của Iran đối với khai thác các lỗ hổng đã biết - bao gồm ProxyShell bị tấn công rộng rãi và Nhật ký4Shell lỗ hổng - nhằm mục đích tấn công ransomware.
Trong khi đó, nghiên cứu riêng biệt gần đây đã tiết lộ rằng một kẻ đe dọa do nhà nước Iran bảo trợ được theo dõi là APT42 đã được liên kết hơn 30 cuộc tấn công gián điệp mạng đã được xác nhận kể từ năm 2015, nhắm mục tiêu vào các cá nhân và tổ chức có tầm quan trọng chiến lược đối với Iran, với các mục tiêu ở Úc, Châu Âu, Trung Đông và Hoa Kỳ.
Tin tức được đưa ra trong bối cảnh căng thẳng gia tăng giữa Hoa Kỳ và Iran theo các biện pháp trừng phạt được áp đặt chống lại quốc gia Hồi giáo vì hoạt động APT gần đây của nó, bao gồm cả một cuộc tấn công mạng chống lại Chính phủ Albania vào tháng XNUMX đã khiến các trang web của chính phủ và các dịch vụ công trực tuyến đóng cửa, và bị quy kết rộng rãi.
Hơn nữa, với căng thẳng chính trị giữa Iran và phương Tây gia tăng khi quốc gia này liên kết chặt chẽ hơn với Trung Quốc và Nga, động lực chính trị của Iran đối với hoạt động đe dọa mạng của họ đang ngày càng gia tăng, các nhà nghiên cứu cho biết. Nicole Hoffman, nhà phân tích tình báo về mối đe dọa mạng cao cấp tại nhà cung cấp giải pháp bảo vệ rủi ro Digital Shadows, lưu ý rằng các cuộc tấn công có nhiều khả năng trở nên tài chính khi đối mặt với các lệnh trừng phạt từ kẻ thù chính trị.
Bền bỉ & Thuận lợi
Tuy nhiên, trong khi các tiêu đề dường như phản ánh sự gia tăng hoạt động đe dọa mạng gần đây từ các APT của Iran, các nhà nghiên cứu cho biết các tin tức gần đây về các cuộc tấn công và cáo trạng phản ánh hoạt động liên tục và liên tục của Iran nhằm thúc đẩy lợi ích tội phạm mạng và chương trình nghị sự chính trị trên toàn cầu. .
Nhà phân tích Emiel Haeghebaert của Mandiant lưu ý trong một email gửi tới Dark Reading: “Việc các phương tiện truyền thông gia tăng đưa tin về hoạt động đe dọa mạng của Iran không nhất thiết liên quan đến sự gia tăng đột biến trong các hoạt động nói trên”.
Aubrey Perin, nhà phân tích tình báo về mối đe dọa tại Qualys, đồng ý: “Nếu bạn thu nhỏ và xem xét toàn bộ phạm vi hoạt động quốc gia-nhà nước, Iran đã không làm chậm các nỗ lực của họ”. “Cũng giống như bất kỳ nhóm có tổ chức nào, sự kiên trì của họ là chìa khóa thành công của họ, cả trong dài hạn và ngắn hạn.”
Iran nói.
Các nhà chức trách Lưu ý
Sự tự tin ngày càng tăng và sự táo bạo của các APT của Iran đã không bị các nhà chức trách toàn cầu - bao gồm cả những người ở Hoa Kỳ, những người dường như đã chán ngấy với các cuộc giao tranh mạng thù địch dai dẳng của quốc gia, đã phải chịu đựng chúng trong ít nhất một thập kỷ qua.
Một bản cáo trạng được Bộ Tư pháp (DoJ) công bố hôm thứ Tư, Văn phòng Luật sư Hoa Kỳ, Quận New Jersey đã làm sáng tỏ cụ thể về hoạt động ransomware xảy ra từ tháng 2021 năm 2022 đến tháng XNUMX năm XNUMX và ảnh hưởng đến hàng trăm nạn nhân ở một số bang của Hoa Kỳ, bao gồm cả Illinois, Mississippi, New Jersey, Pennsylvania và Washington.
Bản cáo trạng tiết lộ rằng từ tháng 2020 năm XNUMX đến nay, ba công dân Iran - Mansour Ahmadi, Ahmad Khatibi Aghda và Amir Hossein Nickaein Ravari - đã tham gia vào các cuộc tấn công ransomware khai thác các lỗ hổng đã biết để đánh cắp và mã hóa dữ liệu của hàng trăm nạn nhân ở Hoa Kỳ, Vương quốc Anh, Israel, Iran và những nơi khác.
Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), FBI và các cơ quan khác sau đó đã cảnh báo rằng các tác nhân liên kết với IRGC, một cơ quan chính phủ Iran có nhiệm vụ bảo vệ lãnh đạo khỏi các mối đe dọa từ bên trong và bên ngoài, đã và đang khai thác và có khả năng tiếp tục khai thác Microsoft và các lỗ hổng Fortinet - bao gồm một lỗ hổng Exchange Server được gọi là vỏ proxy - hoạt động được phát hiện trong khoảng thời gian từ tháng 2020 năm 2021 đến tháng XNUMX năm XNUMX.
Những kẻ tấn công, được cho là đang hành động theo lệnh của APT Iran, đã sử dụng các lỗ hổng để truy cập ban đầu vào các thực thể trên nhiều lĩnh vực cơ sở hạ tầng quan trọng của Hoa Kỳ và các tổ chức ở Úc, Canada và Vương quốc Anh cho ransomware và các hoạt động tội phạm mạng khác. nói.
Các tác nhân đe dọa che chắn cho các hoạt động độc hại của họ bằng cách sử dụng hai tên công ty: Najee Technology Hooshmand Fater LLC, có trụ sở tại Karaj, Iran; và Công ty Afkar System Yazd, có trụ sở tại Yazd, Iran, theo cáo trạng.
APT42 & Nhận biết các mối đe dọa
Nếu loạt tiêu đề gần đây tập trung vào APTs của Iran có vẻ chóng mặt, đó là bởi vì phải mất nhiều năm phân tích và nghiên cứu chỉ để xác định hoạt động này, và các nhà chức trách cũng như các nhà nghiên cứu vẫn đang cố gắng tìm hiểu tất cả, Digital Shadows 'Hoffman nói.
Cô nói: “Sau khi được xác định, những cuộc tấn công này cũng cần một khoảng thời gian hợp lý để điều tra. “Có rất nhiều mảnh ghép để phân tích và ghép lại với nhau”.
Các nhà nghiên cứu tại Mandiant gần đây đã tập hợp một câu đố tiết lộ nhiều năm hoạt động gián điệp mạng bắt đầu là lừa đảo trực tuyến nhưng dẫn đến việc theo dõi và giám sát điện thoại Android bởi APT42 do IRGC liên kết, được cho là một tập hợp con của một nhóm đe dọa Iran khác, APT35 / Mèo con quyến rũ / Phốt pho.
Cùng với nhau, hai nhóm cũng kết nối đến một cụm mối đe dọa chưa được phân loại được theo dõi là UNC2448, được Microsoft và Secureworks xác định là một nhóm con của Phosphorus thực hiện các cuộc tấn công ransomware để thu lợi tài chính bằng cách sử dụng BitLocker, các nhà nghiên cứu cho biết.
Để làm dày thêm âm mưu, nhóm con này dường như được điều hành bởi một công ty sử dụng hai bí danh công khai, Secnerd và Lifeweb, có liên kết với một trong những công ty do công dân Iran điều hành bị cáo buộc trong vụ DoJ: Najee Technology Hooshmand.
Ngay cả khi các tổ chức tiếp thu tác động của những tiết lộ này, các nhà nghiên cứu cho biết các cuộc tấn công vẫn còn lâu mới kết thúc và có khả năng sẽ đa dạng hóa khi Iran tiếp tục mục tiêu chiếm ưu thế chính trị đối với kẻ thù của mình, Haeghebaert của Mandiant lưu ý trong email của mình.
Ông nói với Dark Reading: “Chúng tôi đánh giá rằng Iran sẽ tiếp tục sử dụng toàn bộ các hoạt động được kích hoạt bởi khả năng mạng của mình trong dài hạn. "Ngoài ra, chúng tôi tin rằng hoạt động gây rối bằng cách sử dụng ransomware, cần gạt nước và các kỹ thuật khóa và rò rỉ khác có thể ngày càng trở nên phổ biến nếu Iran vẫn bị cô lập trên trường quốc tế và căng thẳng với các nước láng giềng trong khu vực và phương Tây tiếp tục trầm trọng hơn."
