İranlı tehdit aktörleri, bu ay, İran’la bağlantılı gelişmiş kalıcı tehdit (APT) gruplarının tehdit faaliyetlerine yönelik bir artış ve ardından baskı gibi görünen şeylerle radarda ve ABD hükümetinin ve güvenlik araştırmacılarının ilgi odağında yer aldı. İslam Devrim Muhafızları Birliği (IRGC).
ABD hükümeti Çarşamba günü aynı anda açıkladı ayrıntılı bir bilgisayar korsanlığı şeması tarafından ve birkaç İran uyruklu hakkında yakın zamanda açılan mahkeme belgeleri sayesinde iddianameler ve ABD örgütlerini İran APT faaliyeti konusunda uyardı. bilinen güvenlik açıklarından yararlanın – geniş çapta saldırıya uğrayan ProxyShell ve Log4Shell kusurları dahil – fidye yazılımı saldırıları amacıyla.
Bu arada, ayrı bir araştırma, yakın zamanda İran devlet destekli bir tehdit aktörünün APT42 olarak izlendiğini ortaya koydu. Bağlıydı 2015’ten bu yana, İran için stratejik öneme sahip kişi ve kuruluşları hedef alan ve Avustralya, Avrupa, Orta Doğu ve Amerika Birleşik Devletleri’ndeki hedeflerle 30’dan fazla onaylanmış siber casusluk saldırısına.
Haber, İslam ulusuna son APT faaliyeti nedeniyle uygulanan yaptırımların ardından ABD ve İran arasında artan gerilimin ortasında geliyor. Arnavut hükümeti Temmuz ayında hükümet web sitelerinin ve çevrimiçi kamu hizmetlerinin kapatılmasına neden oldu ve geniş çapta kınandı.
Ayrıca, İran ve Batı arasındaki siyasi gerilimler, ulus kendisini Çin ve Rusya ile daha yakından hizalarken, İran’ın siber tehdit faaliyeti için siyasi motivasyonunun arttığını söyledi. Risk koruma çözümü sağlayıcısı Digital Shadows’ta kıdemli siber tehdit istihbarat analisti Nicole Hoffman, siyasi düşmanların yaptırımlarıyla karşı karşıya kalındığında saldırıların finansal olarak yönlendirilme olasılığının daha yüksek olduğunu belirtiyor.
Kalıcı ve Avantajlı
Yine de, manşetler İranlı APT’lerden gelen son siber tehdit faaliyetlerinde bir artışı yansıtıyor gibi görünse de, araştırmacılar son saldırı ve iddianame haberlerinin daha çok İran’ın siber suç çıkarlarını ve siyasi gündemini dünya çapında teşvik etme konusundaki ısrarlı ve devam eden faaliyetlerinin bir yansıması olduğunu söyledi. .
Mandiant analisti Emiel Haeghebaert, Dark Reading’e gönderdiği bir e-postada, “İran’ın siber tehdit faaliyeti hakkında artan medya haberlerinin, söz konusu faaliyetteki ani artışla ilişkili olması gerekmez” dedi.
Qualys’in baş tehdit istihbarat analisti Aubrey Perin, “Uzaklaşıp ulus-devlet faaliyetinin tüm kapsamına bakarsanız, İran çabalarını yavaşlatmadı” diye hemfikir. “Tıpkı herhangi bir organize grup gibi, onların ısrarı hem uzun hem de kısa vadede başarılarının anahtarıdır.”
Yine de, herhangi bir tehdit aktörü gibi İran da fırsatçı ve jeopolitik ve ekonomik zorluklar nedeniyle – Ukrayna’da devam eden savaş, enflasyon ve diğer küresel gerilimler gibi – şu anda var olan yaygın korku ve belirsizlik, APT çabalarını kesinlikle destekliyor. diyor.
Yetkililer Uyarı Alsın
İranlı APT’lerin artan güveni ve cesareti, en azından son on yıldır bunlara katlanmakla birlikte, ülkenin sürekli düşmanca siber angajmanlarından bıkmış görünen Amerika Birleşik Devletleri’ndekiler de dahil olmak üzere, küresel yetkililer tarafından fark edilmedi.
New Jersey Eyaleti Adalet Bakanlığı (DoJ) tarafından Çarşamba günü açıklanan bir iddianame, Şubat 2021 ile Şubat 2022 arasında meydana gelen ve Illinois dahil olmak üzere birçok ABD eyaletinde yüzlerce kurbanı etkileyen fidye yazılımı etkinliğine özel bir ışık tuttu. Mississippi, New Jersey, Pensilvanya ve Washington.
İddianame, Ekim 2020’den bugüne kadar üç İran uyruklunun – Mansour Ahmadi, Ahmad Khatibi Aghda ve Amir Hossein Nickaein Ravari’nin ABD’deki yüzlerce kurbanın verilerini çalmak ve şifrelemek için bilinen güvenlik açıklarından yararlanan fidye yazılımı saldırılarına karıştığını ortaya koydu. Birleşik Krallık, İsrail, İran ve başka yerlerde.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), FBI ve diğer kurumlar daha sonra, liderliği algılanan iç ve dış tehditlere karşı savunmakla görevli bir İran devlet kurumu olan IRGC ile ilişkili aktörlerin Microsoft’u sömürdükleri ve muhtemelen bundan yararlanmaya devam edecekleri konusunda uyardı. ve Aralık 2020 ile Şubat 2021 arasında tespit edilen etkinlikte ProxyShell olarak bilinen bir Exchange Server kusuru dahil Fortinet güvenlik açıkları.
İranlı bir APT’nin emriyle hareket ettiğine inanılan saldırganlar, güvenlik açıklarını, fidye yazılımları ve diğer siber suç operasyonları için Avustralya, Kanada ve Birleşik Krallık’taki birden fazla ABD kritik altyapı sektöründeki kuruluşlara ve kuruluşlara ilk erişim sağlamak için kullandılar. söz konusu.
Tehdit aktörleri, kötü niyetli faaliyetlerini iki şirket adı kullanarak koruyor: İran, Karaj merkezli Najee Technology Hooshmand Fater LLC; ve iddianamelere göre İran’ın Yezd kentinde bulunan Afkar System Yazd Company.
APT42 ve Tehditleri Anlama
Digital Shadows’tan Hoffman, İran’daki APT’lere odaklanan son başlıklar baş döndürücü görünüyorsa, bunun nedeni yalnızca faaliyeti tanımlamak için yıllarca analiz ve hafiyelik gerekmesi ve yetkililer ve araştırmacıların hala kafalarını her şeye sarmaya çalışmasıdır, diyor.
“Bir kez tespit edildikten sonra, bu saldırıların araştırılması da makul bir süre alır” diyor. “Analiz etmek ve bir araya getirmek için birçok yapboz parçası var.”
Mandiant’taki araştırmacılar kısa süre önce, hedefli kimlik avı olarak başlayan, ancak başka bir İranlı tehdit grubu olan APT35/Charming Kitten/ Fosfor.
Birlikte, iki grup da bağlı Araştırmacılar, Microsoft ve Secureworks tarafından BitLocker kullanarak finansal kazanç için fidye yazılımı saldırıları gerçekleştiren bir Phosphorus alt grubu olarak tanımlanan UNC2448 olarak izlenen kategorize edilmemiş bir tehdit kümesine dönüştüğünü söyledi.
Konuyu daha da kalınlaştırmak için, bu alt grubun, Adalet Bakanlığı davasında suçlanan İran vatandaşları tarafından yönetilen şirketlerden biriyle bağlantıları olan, iki genel takma ad, Secnerd ve Lifeweb kullanan bir şirket tarafından işletiliyor gibi görünüyor: Najee Technology Hooshmand.
Mandiant’tan Haeghebaert, e-postasında, örgütler bu ifşaların etkisini özümsese bile, araştırmacılar saldırıların sona ermekten çok uzak olduğunu ve İran’ın düşmanları üzerinde siyasi hakimiyet kurma hedefine devam ettikçe büyük olasılıkla çeşitleneceğini söyledi.
Dark Reading’e verdiği demeçte, “İran’ın siber yeteneklerinin sağladığı tüm operasyon yelpazesini uzun vadede kullanmaya devam edeceğini değerlendiriyoruz” dedi. “Ayrıca, İran uluslararası sahnede izole kalırsa ve bölgedeki komşuları ve Batı ile olan gerilimler kötüleşmeye devam ederse, fidye yazılımları, siliciler ve diğer kilitleme ve sızdırma tekniklerini kullanan yıkıcı faaliyetlerin giderek yaygınlaşabileceğine inanıyoruz.”