Operacje szpiegowskie w cyberprzestrzeni Iranu

Wojna, działania szpiegowskie, wywiad – to wszystko najczęściej kojarzyło się nam z działaniami fizycznymi. Dzisiaj jednak ogromna część wojny przeniosła się do sieci. Kto przegrywa w cyberprzestrzeni, przegrywa także na tradycyjnym polu walki. Zobacz, jak to działa na przykładzie grupy hakerskiej #APT42, która podejmuje operacje spear-phishingowe i zajmuje się inwigilacją osób i podmiotów o strategicznym znaczeniu dla Iranu.

Grupa hakerska APT42 jest aktywna co najmniej od 2015 roku i charakteryzuje się operacjami spear-phishingowymi i inwigilacją osób i podmiotów o strategicznym znaczeniu dla Iranu. Operacje grupy, których celem jest budowanie zaufania i relacji z ofiarami, obejmowały uzyskiwanie dostępu do osobistych i korporacyjnych kont e-mail urzędników państwowych, byłych irańskich decydentów lub postaci politycznych, członków irańskiej diaspory i grup opozycyjnych, dziennikarzy i naukowców zaangażowanych w badania nad Iranem. Po uzyskaniu dostępu grupa wdrażała mobilne złośliwe oprogramowanie zdolne do śledzenia lokalizacji ofiar, nagrywania rozmów telefonicznych, uzyskiwania dostępu do filmów i obrazów oraz wyodrębniania całych skrzynek odbiorczych SMS-ów.

Operacje APT42 dzielą się zasadniczo na trzy kategorie:

Zbieranie poświadczeń logowania

APT42 często atakuje korporacyjne i osobiste konta e-mail poprzez wysoce ukierunkowane kampanie spear-phishingowe, kładące większy nacisk na budowanie zaufania i relacji z celem przed próbą kradzieży jego danych uwierzytelniających. Grupa wykorzystuje zbieranie danych uwierzytelniających do gromadzenia kodów wieloskładnikowego uwierzytelniania (MFA) w celu ominięcia metod uwierzytelniania, a także wykorzystuje naruszone dane uwierzytelniające w celu uzyskania dostępu do sieci, urządzeń i kont pracodawców, kolegów i krewnych.

Operacje nadzoru

Co najmniej od końca 2015 r. podzbiór infrastruktury APT42 służył jako serwery dowodzenia i kontroli (C2) dla mobilnego złośliwego oprogramowania na Androida, zaprojektowanego do śledzenia lokalizacji, monitorowania komunikacji i ogólnego nadzorowania działań osób będących przedmiotem zainteresowania rządu irańskiego, w tym aktywistów i dysydentów w Iranie.

Rozmieszczenie złośliwego oprogramowania

Chociaż APT42 preferuje głównie zbieranie danych uwierzytelniających niż aktywność na dysku, kilka niestandardowych backdoorów i lekkich narzędzi uzupełnia jej arsenał. Grupa prawdopodobnie włącza te narzędzia do swoich operacji, gdy cele wykraczają poza zbieranie danych uwierzytelniających.

Nasze produkty wykrywają wyżej opisane zagrożenia, a w razie potrzeby wysyłają odpowiednie komunikaty o naruszeniu zabezpieczeń. Zakup któregokolwiek z naszych pakietów nie tylko podnosi bezpieczeństwo firmy, lecz także daje dostęp do pełnej wersji tego oraz innych specjalistycznych artykułów z tematyki cyberbezpieczeństwa, zamieszczonych w konsoli XDR.