Οι Ιρανοί χάκερς APT33 έκαναν τεράστια ζημιά στοχεύοντας σε στρατιωτικά μυστικά, και σε βιομηχανίες που είναι καίριας σημασίας για τη χώρα τους.
Μια ομάδα από χάκερ που υποπτεύεται ότι εργάζονται για την κυβέρνησή του Ιράν στοχεύει στις αεροπορικές και ενεργειακές βιομηχανίες στη Σαουδική Αραβία, τις ΗΠΑ και τη Νότια Κορέα, προειδοποίησε γνώστη εταιρεία ασφαλείας του κυβερνοχώρου την Τετάρτη (20 Σεπτεμβρίου 2017).
Η έκθεση του FireEye είπε επίσης ότι υπάρχουν σοβαρές υποψίες πως οι Ιρανοί χάκερ δημιούργησαν ένα νέο είδος κακόβουλου λογισμικού που θα μπορούσε να χρησιμοποιηθεί για να καταστρέψει τους υπολογιστές που έχουν μολυνθεί, επιπλέον τους καταλογίζεται πως έχουν άμεση σχέση με τις κυβερνοεπιθέσεις που είχαν στόχο τη Σαουδική Αραβία, το 2012 και το 2016 καταστρέφοντας τα συστήματά της.
Το γραφείο του Ιράν στα Ηνωμένα Έθνη δεν απάντησε προς το παρόν σε ένα αίτημα για σχολιασμό των συγκεκριμένων γεγονότων εχθές την Τετάρτη και τα κρατικά ΜΜΕ δεν υπέβαλαν κάποια απολογητική αναφορά σχετικά με τις αξιώσεις που της αποδίδονται.
Εντούτοις, οι ύποπτοι ιρανοί χάκερ από καιρό λειτουργούν ξένοιαστα χωρίς να νοιάζονται αν ο κόσμος γνωρίζει ότι είναι αυτοί οι υπαίτιοι ή αν υπάρχουν καταστροφικές συνέπειες από τις δόλιες δραστηριότητές τους, είπε ο Στουαρτ Ντέιβις, διευθυντής σε μία από τις θυγατρικές της FireEye .
“Σήμερα, χωρίς επιπτώσεις, μια γειτονική χώρα μπορεί να επιτεθεί συγκεκαλυμμένα στην άλλη, πλήττοντας και εξαλείφοντας 20 οργανισμούς για πλάκα”, δήλωσε ο Ντέιβις.
Το FireEye αναφέρεται στην ομάδα ως APT33, ένα αρκτικόλεξο για το προηγμένη επίμονη απειλή (advanced persistent threat).
“Το APT33 έχει στοχεύσει σε οργανισμούς – που εκτείνονται σε πολλές βιομηχανίες – με έδρα τις Ηνωμένες Πολιτείες, τη Σαουδική Αραβία και τη Νότια Κορέα”, ανέφερε η FireEye στην έκθεσή της.
Οι ερευνητές δήλωσαν ότι η συγκεκριμένη ομάδα χάκερ έχει «δείξει ιδιαίτερο ενδιαφέρον για οργανισμούς στον τομέα των αερομεταφορών που εμπλέκονται τόσο σε στρατιωτικές όσο και σε εμπορικές δραστηριότητες, καθώς και σε οργανισμούς στον ενεργειακό τομέα με δεσμούς με την πετροχημική παραγωγή».
Η έκθεση πρόσθεσε ότι «εκτιμούμε ότι η στόχευση πολλαπλών εταιρειών με εταιρικές σχέσεις που σχετίζονται με την αεροπορία στη Σαουδική Αραβία δείχνει ότι η APT33 ίσως προσπαθεί να αποκτήσει γνώσεις σχετικά με τις ικανότητες της στρατιωτικής αεροπορίας της Σαουδικής Αραβίας για την ενίσχυση των εγχώριων ικανοτήτων του Ιράν».
Χρησιμοποίησαν επιθέσεις ηλεκτρονικού “ψαρέματος” με φανταστικές ευκαιρίες απασχόλησης για να αποκτήσουν πρόσβαση στις πληγείσες εταιρείες, παραποιώντας ονόματα τομέων για να φανεί ότι τα μηνύματα ήρθαν από αντίπαλες επιχειρήσεις.
Οι χάκερ παραμένουν στο εσωτερικό των συστημάτων εκείνων που πλήττονται για “τέσσερις έως έξι μήνες” κάθε φορά, έχοντας την ικανότητα να κλέβουν δεδομένα και να αφήνουν πίσω το κακόβουλο λογισμικό που ο FireEye ονομάζει ως Shapeshifter .
Η κωδικοποίηση περιέχει αναφορές στην γλώσσα Farsi, την επίσημη γλώσσα του Ιράν, είπε ο FireEye.
Τα χρονικά διαστήματα στον κώδικα αντιστοιχούν επίσης σε χάκερ που εργάζονται από το Σάββατο έως την Τετάρτη, την εβδομάδα εργασίας του Ιράν, δήλωσε ο Ντέιβις.
Τα προγράμματα που χρησιμοποιούνται στην καμπάνια είναι δημοφιλή με τους ιρανικούς κωδικοποιητές, οι διακομιστές καταγράφηκαν μέσω ιρανικών εταιρειών και ένας από τους κατασκόπους φαίνεται να έχει αφήσει τυχαία την ηλεκτρονική του υπογραφή ” xman _1365_x”, σε μέρος του κώδικα του υπολογιστή.
Το όνομα αυτό “εμφανίζεται σε όλα τα ιρανικά φόρουμ χάκερ”, δήλωσε ο John Hultquist του FireEye . “Δεν νομίζω ότι ανησυχούν για τη σύλληψή τους. Δεν αισθάνονται ότι πρέπει κατά κάποιο τρόπο να ενοχλούνται”.
Μία από τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που χρησιμοποιούνται για την καταχώριση ενός κακόβουλου εξυπηρετητή ανήκει σε ένα Ali Mehrabian , ο οποίος χρησιμοποίησε την ίδια διεύθυνση για να δημιουργήσει περισσότερους από 120 ιρανικούς ιστότοπους τα τελευταία έξι χρόνια.
Ούτε ο Mehrabian , ο οποίος δήλωσε ότι ζει στην Τεχεράνη, ούτε ” xman_1365_x ” επέστρεψε τα μηνύματα ηλεκτρονικού ταχυδρομείου που του ζητούσαν να απαντήσει σε διάφορα σχολεία σε κάποια φόρουμ.
Το Ιράν ανέπτυξε τις ικανότητές του στον κυβερνοχώρο το 2011, όταν ο ιός υπολογιστών Stuxnet κατέστρεψε χιλιάδες φυγοκεντρητές που εμπλέκονται στο αμφισβητούμενο πυρηνικό πρόγραμμα του Ιράν.
Το Stuxnet πιστεύεται ευρέως ότι είναι μια αμερικανική και ισραηλινή δημιουργία.
Το Ιράν πιστεύεται ότι βρίσκεται πίσω από την εξάπλωση του Shamoon το 2012, το οποίο έπληξε τη Saudi Arabian Oil Co. και τον παραγωγό φυσικού αερίου Qatari RasGas .
Ο ιός διαγράφει τους σκληρούς δίσκους και στη συνέχεια εμφανίζει μια εικόνα καμένης αμερικανικής σημαίας στις οθόνες των υπολογιστών. Η Σαουδική Aramco έκλεισε τελικά το δίκτυό της, με κατεστραμμένους πάνω από 30.000 υπολογιστές.
Μια δεύτερη έκδοση του Shamoon έτρεξε μέσω υπολογιστών της Σαουδικής κυβέρνησης στα τέλη του 2016, αυτή τη φορά με τους εισβολείς να παρουσιάζουν μια φωτογραφία του σώματος του 3χρονου Συριανού αγοριού Aylan Kurdi, ο οποίος πνίγηκε κατά την φυγή του από τον εμφύλιο πόλεμο. Η υποψία επανήλθε και πάλι στο Ιράν.
