Hackeri iranieni ataca firmele occidentale
FireEye a urmărit activitatea unui grup de hackeri iranieni care au trecut de la modificarea site-urilor la atacul firmelor occidentale din domeniul apărării.
Compania de securitate FireEye a urmărit activitatea grupului Ajax Security Team pe forumuri online și susține că a luat naștere din activitatea unor indivizi care au colaborat pentru a descoperi vulnerabilități în site-uri care ar permite modificarea acestora, înlocuindu-le cu mesaje pro-iraniene, scrie The Register.
Ultimul atac raportat asupra site-urilor a fost în decembrie 2013, iar AST a trecut la vizarea afacerilor de spionaj, folosind propriul malware. Grupul a creat malware-ul Stealer care, deși nu este avansat, s-a dovedit a fi foarte eficient. Malware-ul permite adăugarea unui backdoor în sistemul vizat și poate comunica cu serverele de control prin keylogger.
Primele ținte ale grupului au fost firmele specializate în domeniul apărării, în special cele din industria aerospațială. Grupul a înregistrat domeniul aeroconf2014.org , similar cu site-ul conferinței IEEA Aerospace și a trimis email-uri companiilor din domeniu, care conțineau o pagină falsă de autentificare.
Dacă destinatarul încearcă să se înscrie la conferință, i se cere să descarce software proxy pentru a accesa site-ul, care permite instalarea malware-ului Stealer. Directorul de cercetări ale amenințărilor, Darien Kindlund, FireEye, a declarat că acest tip de atacuri încă sunt realizate de către grup.
Kindlund a explicat că malware-ul este primitiv deoarece nu caută să exploateze vulnerabilități zero-day, dar se bazează pe inginerie socială pentru a face utilizatorii să instaleze malware-ul. Acesta a spus că este o tactică eficientă, iar mai multe companii au fost atacate, ca rezultat al acestei proceduri.
A doua țintă a grupului este reprezentată de cetățenii Iranului care caută informații necenzurate prin servicii proxy libere. FireEye a descoperit numeroase cazuri de malware încorporat în software precum Proxifier sau Psiphon. Pe parcursul cercetării, FireEye a descoperit datele a 77 de utilizatori infectați, ale căror computere erau setate pe timpul standard Iranian și utilizau limba persană.
În funcție de țintele alese, Kindlund a spus că este posibil ca grupul să fie sponsorizat de stat sau susținut de stat. Deși un membru al grupului a încercat să împrăștie malware pentru câștiguri proprii, o mare parte din activitatea grupului a reprezentat-o adunarea informațiilor.
,, Politizarea crescândă a Ajax Security Team și tranziția de la deformări ale site-urilor la operațiuni împotriva dizidenților interni și țintele străine coincide cu acțiuni ale Iranului, menite să îmbunătățească tacticile cibernetice ofensive”, scrie în raportul FireEye.
