Iran sięga po elitarnych hakerów. Cel: Izrael

19 października 2020, 15:22
800px-Hassan_Rouhani_at_Bandar_Abbas
Fot. Rahbar Emamdadi/Wikimedia Commons/CC 4.0

Hakerzy z Iranu przeprowadzili serię cyberataków, których celem były podmioty pochodzące z Izraela. Grupa odpowiedzialna za kampanię jest jednym z najbardziej aktywnych podmiotów APT, działających na zlecenie Teheranu. W ostatnim czasie znacznie ewoluowała na skutek wzrostu napięć w regionie Bliskiego Wschodu.

Specjaliści Clear Sky zajmujący się cyberbezpieczeństwem we wrześniu br. wykryli nową kampanię hakerską wymierzoną w „kluczowe izraelskie organizacje”. Na podstawie analizy operacji eksperci przypisali cyberataki irańskiej grupie „Muddy Water” (znanej również jako Static Kitten i Seedworm), której członkowie działają na rzecz Korpus Strażników Republiki Islamskiej – wynika z raportu „Operation Quicksand – MuddyWater’s Offensive Attack Against Israeli Organizations”, opracowanym przez Clear Sky.

Grupa skutecznie wykorzystała wiadomości phishingowe do rozpowszechniania złośliwego oprogramowania. Po kliknięciu w zainfekowany załącznik (dokument PDF lub Excel), znajdujący się w wiadomości e-mail, następuje instalacja wirusa na urządzeniu ofiary.

Warto podkreślić, że hakerzy Muddy Water specjalizują się również w wykorzystywaniu luk w popularnych programach, w tym CVE-2020-0688 znajdującej się w Microsoft Exchange. Podczas prowadzonych działań sprawnie posługują się metodami inżynierii społecznej.

Podczas ostatniej kampanii hakerzy instalowali na urządzeniach ofiar PowGoop, czyli element ładujący oprogramowanie ransomware „Thanos”. Głównym celem tej odmiany złośliwego oprogramowania w ostatnim czasie były przede wszystkim podmioty z regionu Bliskiego Wschodu oraz Afryki Północnej.

„W >Operation Quicksand< odkryliśmy pierwszy znany przypadek poważnego cyberataku wykonanego przez Muddy Water, koncentrującego się na wiodących organizacjach w Izraelu oraz podmiotach z innych państw na całym świecie” – czytamy w raporcie.

Seedworm jest jedną z najbardziej aktywnych irańskich grup APT, atakujących izraelskie organizacje od co najmniej 2018 roku. „W ciągu ostatnich kilku lat odkryliśmy wiele ataków wykorzystujących „socjotechnikę”, które były prowadzone przez grupę” – podkreślili specjaliści Clear Sky. „Kampanie skierowane były głównie do ​​firm, organizacji, rządów oraz pojedynczych użytkowników” – dodali eksperci. Co ciekawe, hakerzy przeprowadzali również operacje wymierzone w… irańskie podmioty.

Analiza ostatniej kampanii wykazała, że w efekcie narastających napięć z Izraelem i postępu technologicznego, Muddy Water przeszła znaczną ewolucję organizacyjną i strategiczną. „Wyjaśnieniem tej ewolucji może być napięcie między Izraelem a Iranem w dziedzinie cyberprzestrzeni. Zaczęło się ono dziesięć lat temu wraz z użyciem złośliwego oprogramowania Stuxnet, które zostało przypisane Izraelowi i USA” – tłumaczą specjaliści Clear Sky.

Sytuacja w regionie Bliskiego Wschodu jest cały czas napięta. Cyberkonflikt na linii Iran-Izrael nie wygasa, co potwierdzają kolejne doniesienia o wzajemnych cyberatakach. Teheran nie jest jedynie agresorem, ale również ofiarą operacji hakerskich.

Jak informowaliśmy na naszym portalu, dwie rządowe agencje w Iranie miały stać się ofiarą poważnego cyberataku. Zdaniem lokalnych mediów wrogie działania udało się skutecznie odeprzeć. Oficjalnie potwierdzenie zostało ogłoszone po tym, jak w mediach społecznościowych pojawiła się informacja na temat dużego incydentu. Irański zespół reagowania na incydenty komputerowe wskazał, że cyberatak badany jest przez odpowiednie organy.

Irańskie media podały również, że niektóre z agencji i rządowych instytucji zawiesiły swoje działania i przeprowadziły testy bezpieczeństwa jako środek zapobiegający przed kolejnymi atakami.

Władze w Teheranie oficjalnie nie oskarżyły jeszcze nikogo o atak, nie poinformowano również czy ich źródłem jest podmiot zewnętrzny czy wewnętrzny. Naturalnym sprawcą wydaje się być jednak główny przeciwnik Iranu czyli Izrael. Informacje o tym, że to Tel Awiw miał stać za atakiem zostały podane na jednym z kont na Twitterze, zajmujących się analizą danych ze źródeł otwartych.

Obecnie pojawiły się doniesienia mówiące, że celem cyberataku była elektroniczna infrastruktura jednego z irańskich portów. Tożsamość drugiego obiektu, który został naruszony na skutek operacji hakerów wciąż pozostaje nieznana. Irańska agencja informacyjna Tasnim stwierdziła, że „zaprzysięgli wrogowie przeprowadzają cyberataki przeciwko Iranowi”. 

To nie pierwszy cyberatak na porty w Iranie. W maju 2020 roku, największy irański port morski Shahid Rajaee został zaatakowany.

image
Z oferty Sklepu Defence24 - zapraszamy!
KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24