APT33
Hackerii iranieni au efectuat recent unele dintre cele mai dăunătoare acte de sabotaj digital din ultimul deceniu, ștergând rețele de calculatoare întregi în valuri de atacuri cibernetice în Orientul Mijlociu și ocazional, chiar și în SUA. În prezent, unul dintre cele mai active grupuri de hackeri din Iran pare să se concentreze, în afara reţelelor IT standard, asupra sistemelor de control fizic utilizate în utilitățile electrice, producție și rafinării de petrol.
Cercetătorul de securitate al Microsoft, Ned Moran, a subliniat o schimbare în activitatea grupului de hackeri Iranian APT33, cunoscut și cu numele Holmium, Refined Kitten sau Elfin (Spiriduş). Microsoft a urmărit grupul în efectuarea unor așa-numitele atacuri de “pulverizare de parole” (engleză password-spraying) din ultimul an. Atacurile încearcă doar câteva parole comune pe conturile de utilizatori a zeci de mii de organizații. Aceasta este, în general, considerată o formă crudă și nediscriminată de hacking. În ultimele două luni, Microsoft spune că APT33 și-a restrâns în mod semnificativ activitatea de pulverizare a parolelor la aproximativ 2.000 de organizații pe lună, în timp ce numărul de conturi vizate pentru fiecare dintre aceste organizații este aproape de zece ori mai mare în medie.
Microsoft a clasat aceste ținte în funcție de numărul de conturi pe care hackerii au încercat să compromită; Moran spune că aproximativ jumătate din topul primilor 25 au fost producători sau furnizori de echipamente de control şi achiziţie date industriale. În total, Microsoft afirmă că APT33 a vizat zeci de firme de echipamente industriale și software de la mijlocul lunii octombrie până la sfârşitul anului 2019.
Motivația hackerilor și care sisteme industriale de control şi achiziţie a datelor le-au compromis rămâne neclară. Moran speculează că grupul încearcă astfel să câștige un punct de sprijin pentru a efectua alte atacuri cibernetice cu efecte nocive din punct de vedere fizic. „Urmăresc acești creatori și producători de sisteme de control, dar nu cred că ei sunt țintele lor finale”, spune Moran. “Încearcă să găsească clientul următor din lanţul de achiziţii, ca să identifice cum sunt utilizate şi cine le folosește. Ei încearcă să cauzeze stricăciuni în infrastructura critică a cuiva care folosește aceste sisteme de control.”
Shamoon
Schimbarea reprezintă o mutare tulburătoare în special pentru APT33, având în vedere istoricul acestora. Deși Moran spune că Microsoft nu are dovezi directe ale implicării APT33 în efectuarea unui atac cibernetic cu efecte negative (mai degrabă fiind vorba de simple activităţi de spionaj sau recunoaștere), compania a observat incidente în care grupul a pus cel puțin bazele unor astfel de atacuri. Amprentele grupului au apărut în mai multe intruziuni în care victimele au fost ulterior atacate cu sprijinul unui malware care șterge definitiv datele de pe sistem, cunoscut sub numele de Shamoon, spune Moran.
McAfee a avertizat anul trecut că APT33 – sau un grup care pretinde că este APT33, – a implementat o nouă versiune a Shamoon într-o serie de atacuri ce vizau distrugerea definitivă a datelor.
Shapeshifter
FireEye a avertizat încă din 2017 că APT33 avea legături cu o altă bucată de cod maliţios cunoscută sub numele de Shapeshifter.
Moran a refuzat să numească vreunul dintre sistemele de control industriale, companiile sau produsele vizate de hackerii APT33, dar avertizează că aplecarea grupului către aceste sisteme de control sugerează că Iranul poate căuta să treacă dincolo de simpla ștergere a computerelor prin atacurile sale, putând să spere să influențeze efectiv infrastructura fizică. Aceste atacuri sunt rare în istoria celor sponsorizate de stat, dar deranjante în efectele lor; (în 2009 și 2010, SUA și Israel au lansat împreună un atac ce utiliza un malware sub numele de Stuxnet, care a distrus centrifugele iraniene de îmbogățire a uraniului).
Iranul nu a fost niciodată legat public de unul dintre aceste atacuri asupra unor sisteme industriale de control şi achiziţie a datelor dar noua direcție pe care Microsoft a observat-o sugerează că aceştia ar putea funcționa pentru dezvoltarea unor astfel de funcţionalităţi.