Un grup de hackeri iranieni atacă industrii importante din mai multe țări
Firma de securitate cibernetică FireEye avertizează că grupul de hackeri iranieni, numit APT33, atacă sectoarele energetice și aerospațile din mai multe țări și este legat de distribuirea de malware distrugător.
Conform unei postări pe blogul FireEye, compania de securitate cibernetică urmărește o nouă grupare de hackeri iranieni, numită APT33, care sunt bănuiți că pot folosi un malware distrugător. Analiza FireEye dezvăluie că grupul de hackeri a început campanii de spionaj cibernetic cel puțin începând cu 2013. FireEye a apreciat că APT33 operează la comanda guvernului iranian.
Activitatea APT33 a fost investigată de consultanții Madiant care se ocupă de răspunsul la incidente împreună cu analiza FireEye iSIGHT Threat Intelligence.
APT33 a țintit organizații – din mai multe industrii – cu sediul în SUA, Arabia Saudită și Coreea de Sud. APT33 a arătat un interes deosebit pentru organizațiile din sectorul aviatic care sunt implicate în domeniul militar și în cel comercial, precum și pentru organizații din sectorul energetic care au legătură cu industria petrochimică.
De la jumătatea lui 2016 până la începutul lui 2017, APT33 a compromis o organizație din SUA din industria aerospațială și a țintit un grup de companii din Arabia Saudită care dețin propietăți în domeniul aviației. În aceeași perioadă, grupul de hackeri a atacat și o companie din Coreea de Sud implicată în rafinarea petrolului și petrochimie. Mai recent, în mai 2017, APT33 părea să atace o organizație din Arabia Saudită și un grup de firme din Coreea de Sud folosind un fișier malțios care încerca să momească victimele cu locuri de muncă la compania petrochimică din Arabia Saudită.
FireEye presupune că atacarea companiilor ce au un parteneriat cu aviația din Arabia Saudită indică că grupul de hackeri vrea să afle ce capacități are aviația din această țară.
APT33 s-a folosit de sper phishing pentru ataca angajații legați de industria aviației. Acele e-mail-uri includeau anunțuri de angajare și conțineau link-uri către aplicații HTML malițioase. Datele accesate conțineau descrierea postului și link-uri legitime către site-uri populare de angajare, care ar fi relevante pentru persoanele țintite.
APT33 a înregistrat mai multe domenii care să dea impresia că aparțin companiilor de aviație din Arabia Saudită și unor organizații occidentale care împreună au un parteneriat pentru oferirea de pregătire, întreținere și susținere a flotei militare și comerciale din această țară.
FireEye a aflat că malware-ul folosit de APT33 este legat de o persoană din Iran care ar putea fi angajată de guvernul iranian pentru a realiza activități de atac cibernetic asupra adversarilor.
