Гай-Филипп Голдштейн: Как кибератаки угрожают реальному миру.
U posljednje dvije godine, tim iranskih hakera ugrožava računala i mreže koje pripadaju više od 50 organizacija iz 16 zemalja, uključujući zrakoplovne tvrtke, obrambene radove, sveučilišta, vojne instalacije, bolnice, zračne luke, telekomunikacijske tvrtke, vladine agencije i energetskih i plinskih tvrtki.
Napadi su zajednički nazvani Operacijskim Cleaverom nakon što je pronađen niz različitih alata za zlonamjerni softver koji koristi hakerska skupina za koju se vjeruje da djeluje uglavnom iz Teherana.
"Otkrili smo više od 50 žrtava naša istraga, distribuirana širom svijeta ", rekli su istraživači iz IT sigurnosne tvrtke Cylance u opsežnom izvješću u zakupu u utorak. "Deset od tih žrtava ima sjedište u SAD-u i uključuje glavnu zrakoplovnu tvrtku, medicinsko sveučilište, energetsko poduzeće specijalizirano za proizvodnju prirodnog plina, proizvođač automobila, veliki obrambeni ugovor i velika vojna instalacija."
Napadači su koristili javno dostupne alate za napad i iskorištavanje, kao i specijalizirane programe zlonamjernih programa koji su sami stvorili. Cylance vjeruje da se tim sastoji od barem 20 hakera i programera koji podržavaju iranske interese i vjerojatno su zaposleni sa sveučilišta na zemlji.
"Infrastruktura koja se koristi u kampanji je prevelika da bi bila samostalni pojedinac ili mala skupina". Rekli su istraživači Cylance. "Vjerujemo da je ovaj posao sponzoriran od strane Irana."
Vrsta pristup hakera dobivenih unutar različitih organizacija i podataka koje su ukrali široko varirali. U slučaju sveučilišta ciljali su istraživanja, informacije o studentima, smještaj studenata, kao i identifikaciju informacija, slika i putovnica. U slučaju kritičnih infrastrukturnih tvrtki ukrali su osjetljive informacije koje bi im omogućile ili povezane organizacije da sabotažu industrijske sustave kontrole i SCADA (nadzorno upravljanje i prikupljanje podataka) okruženja, navode istraživači Cylance.
Nema dokaza takve sabotaže od strane do sada, ali Cylance vjeruje da bi to mogao biti krajnji cilj kampanje, kao Iran odmazda za napade Stuxnet, Duqu i Flame. Stuxnet, koji se smatra prvim cyber-bojama na svijetu, vjeruje se da su stvorili SAD i Izrael kako bi sabotirali napore iranskog obogaćivanja urana i poništavali svoj nuklearni program. "Možda je najveći dokaz o kostiju koji smo prikupili u ovom kampanja je bila ciljanje i kompromis transportnih mreža i sustava poput zrakoplovnih i zračnih luka u Južnoj Koreji, Saudijskoj Arabiji i Pakistanu ", rekli su istraživači Cylance. "Razina pristupa činila se sveprisutnom: domene Active Directory bile su kompromitirane, zajedno s cjelokupnim Cisco Edge preklopnicima, usmjerivačima i internom mrežnom infrastrukturom."
"postigli su potpuni pristup vratima zračne luke i njihovim sigurnosnim sustavima, kako bi pokvarili vjerodostojnost vrata ", rekli su istraživači. "Pristupili su vjerovnicima PayPal i Go Daddy, omogućujući im da izvrše prijevarne kupnje i dopuštaju nesmetani pristup domenama žrtve. Svjedočili smo šokantnoj količini pristupa najdubljim dijelovima tih tvrtki i zračnih luka u kojima posluju. "
Iranski hakerski tim nazvan je Tarh Andishan - preveden na engleski kao" mislioci "ili" inovatori " njezinih operacija preneseni su na blokove IP adresa (Internet Protokola) upisane u entitet zvan Tarh Andishan u Teheranu.
"Neto blokovi iznad imaju jake udruge s tvrtkama u državnom vlasništvu nafte i plina", rekli su istraživači Cylance. "Te tvrtke imaju trenutačne i bivše zaposlenike koji su stručnjaci iz sustava ICS [industrijski kontrolni sustav."
Tarh Andishan hakeri su koristili uobičajene SQL injekcije, koplje koplja i napade za zalijevanje rupa kako bi dobili početni pristup jednom ili više računala ciljane organizacije , Zatim su iskorištavali povlastice i druge alate da bi ugrozili dodatne sustave i krenuli dublje u njegovu mrežu. Međutim, nisu zabilježeni nula-dnevni eksploatiji, koji se iskorištavaju za ranije nepoznate ranjivosti.
Primarni alat grupe je običaj trojanski program zvan TinyZBot koji su stvorili njegovi programeri. Međutim, Cylance je objavio više od 150 alata, uzorke zlonamjernog softvera i pokazatelje kompromisa koji su povezani s aktivnošću grupe kako bi pomogli sigurnosnoj industriji da otkrije postojeće i buduće kompromise Operacije Cleaver.
"Izvještaj o operaciji Cleaver dokumentira kako je Iran prvi visoko motivirani zapadni svjetski protivnik koji je spreman izvršiti ozbiljne napade na globalnu infrastrukturu, a ne samo usmjeravanje na Sjedinjene Države, ali i kritičnu infrastrukturu u više od desetak različitih zemalja ", rekao je Stuart McClure, predsjednik i predsjednik Cylancea, na blogu. "Ne traže kreditne kartice ili mikročipne dizajne, oni jačaju njihovo držanje na desecima mreža koje bi, ako bi imale smetnje, utjecale na živote milijardi ljudi."
Iranski hakeri ugrožavali su zračne prijevoznike, zračne luke, kritične infrastrukture
Iranski hakeri pokazuju snažan interes za alate za špijuniranje Androida
Iranski hakeri pokazuju snažan interes za zlonamjerni softver koji može potajno povući podatke s Android uređaja su popularni na Bliskom Istoku.
