Irańscy hakerzy w operacji przeciwko izraelskim celom

Specjaliści SentinelLabs odkryli kampanię hakerską wymierzoną w izraelskie cele. Zdaniem ekspertów za wrogą operacją odpowiedzialna jest powiązana z Iranem grupa Agrius, o czym świadczy analiza wykorzystanych przez nią narzędzi oraz infrastruktury.

Z raportu poświęconemu sprawie wynika, że hakerzy byli początkowo skupieni na realizowaniu zadań z zakresu szpiegostwa. W celu wywołania chaosu i dodatkowego zamieszania ukrywali oni swoje działania, imitując ataki ransomware.

W czasie kampanii hakerzy wykorzystali narzędzie o nazwie „DEADWOOD” (znane również jako „Detbosit”), które we wcześniejszych przypadkach zostało przypisane irańskim podmiotom. Na potrzeby operacji członkowie grupy Argius stworzyli niestandardowego backdoora o nazwie „IPsec Helper” oraz wirusa „Apostle”. Z czasem złośliwe oprogramowanie było przekształcane w ransomware.

Jak tłumaczą specjaliści, wykorzystanie oprogramowania szyfrującego jako narzędzia wywołującego zakłócenia jest bardzo trudne do odkrycia, ponieważ podczas analizy ciężko jest określić faktyczne zamiary hakerów.

Co wskazuje na powiązanie hakerów z Iranem? W raporcie wyjaśniono, że kampania jest zbieżna z interesami Teheranu i podobna do operacji znanych w przeszłości. Dodatkowo specjaliści zwracają uwagę na takie same narzędzia użyte podczas prowadzonych działań (np. DEADWOOD), a także wykorzystywanie irańskiej infrastruktury.

Eksperci SentinelLabs ostrzegają, że Agrius to stosunkowo nowa grupa hakerska, która prowadzi operacje ukierunkowane na szpiegostwo oraz wywołanie destrukcyjnych skutków cyberataków. „Grupa wykorzystuje własny, nieszablonowy zestaw narzędzi w celu uderzenia w podmioty na Bliskim Wschodzie” – wyjaśniają specjaliści. Jak dodają, mało prawdopodobne jest, aby hakerzy działali z pobudek finansowych.