Hackerii iranieni atacă industriile cheie ale mai multor state
Un grup iranian de hackeri, APT33, atacă industriile aviatice şi petrochimice în Arabia Saudită, Statele Unite şi Coreea de Sud, avertizează compania FireEye.
Un grup de hackeri suspectat că lucrează în Iran pentru Guvern vizează industriile aviaţiei şi petrochimică în Arabia Saudită, Statele Unite şi Coreea de Sud, a avertizat miercuri o companie cu activitate în domeniul securităţii cibernetice, relatează The Associated Press.
FireEye afirmă în acest raport că presupuşii hackeri iranieni plasează un nou tip de malware care ar putea să fie folosit pentru a distruge computerele pe care le infectează, la fel ca în alte două atacuri cibernetice atribuite Iranului ce au vizat Arabia Saudită în 2012 şi 2016 şi care au distrus sistemele ţintite.
Biroul Iranului la ONU nu a răspuns imediat, miercuri, AP, iar presa de stat nu a difuzat aceste acuzaţii.
Însă presupuşii hackeri iranieni operează de mult timp fără să-şi facă griji că vor fi demascaţi sau că vor avea de suportat consecinţe, ceea ce-i face extrem de periculoşi, dă asigurări Stuart Davis, directorul unei filiale FireEye.
”Astăzi, în deplină impunitate, o ţară vecină poate compromite şi elimina 20 de instituţii”, a subliniat Davis.
FireEye, care cooperează adesea cu guverne şi corporaţii mari, numeşte acest grup APT33, acronimul "advanced persistent threat” (ameninţare persistentă avansată).
APT33 a comis atacuri de tip phishing prin e-mailuri în care oferă false oportunităţi de angajare companiilor afectate, recurgând la nume de domenii false precum Boeing Co sau contractori în domeniul apărării.
Hackerii au rămas în sistemele afectate timp de ”patru până la şase luni”, în care au putut să fure date şi să instaleze malware-ul Shapeshifter, potrivit FireEye.
Codul conţine referinţe în farsi, limba oficială în Iran, subliniază FireEye.
Datări din cadrul codului relevă un program al hackerilor de sâmbăta şi până miercurea - săptămâna irakiană de lucru, a precizat Davis.
Programele folosite în campanie sunt populare în rândul programatorilor iranieni, serverele au fost înregistrate prin companii iraniene, iar unul dintre spioni pare că şi-a lăsat în mod accidental numele online - "xman-1365-x" - în cod.
Acest nickname ”apare în forumuri ale hackerilor iranieni”, a declarat John Hultquist de la FireEye. ”Cred că nu-şi fac griji că o să fie prinşi (...). Par că n-au de ce să se simtă deranjaţi”.
The Associated Press scrie că a găsit şi alte indicii ale unei implicări iraniene.
Una dintre adresele de e-mail foloste în vederea înregistrării unui server malware îi aparţine lui Ali Mehrabian, care a folosit aceeaşi adresă pentru ca să înfiinţeze peste 130 de website-uri iraniene în ultimii şase ani.
Nici Mehrabian, care se prezintă ca un locuitor al Teheranului, şi nici "xman" nu au răspuns unor e-mailuri în care AP le cere să comenteze aceste acuzaţii.
Iranul şi-a dezvoltat capacităţile cibernetice în 2011, după ce virusul informatic Stuxnet a distrus mii de centrifuge implicate în controversatul program nuclear iranian la acea dată.
Stuxnet ar fi fost creat de americani şi israelieni.
Iranul este suspectat că se află în spatele răspândirii Shamoon, în 2012, care a afectat Saudi Arabian Oil Co. şi producătorul de gaze naturale RasGas din Qatar. Acest virus a şters hard drive-uri şi apoi a postat o imagine cu un steag american în flăcări pe monitoare. Compania saudită Aramco şi-a închis până la urmă reţeaua şi a distrus peste 30.000 de computere.
O a doua versiune a virusului Shamoon a ajuns în computerele Guvernului saudit la sfârşitul lui 2016 şi a afişat pe monitoarele computerelor distruse o imagine cu trupul neînsufleţit al lui Aylan Kurdi, un băiat sirian care s-a înecat, la vârsta de trei ani, în timp ce fugea din calea războiului civil din ţara sa. Iranul a fost din nou suspectat.
FireEye acuză în acest raport că APT33 ”pare să caute informaţii secrete strategice susceptibile să folosească unui Guvern sau unui comanditar militar”.
În capul listei unor eventuali suspecţi în Iran se află Gardienii Revoluţiei, forţele de elită ale regimului de la Teheran.
Procurori americani au acuzat în martie 2016 hackeri asociaţi unor companii care au legătură cu Gardienii Revoluţiei de atacarea câtorva zeci de bănci şi unui mic baraj situat în apropiere de New York.
Presupuşi hackeri cu legături cu Gardienii Revoluţiei sunt suspectaţi, de asemenea, că au vizat conturi de e-mail şi pe reţele de socializare ale unor oficiali din cadrul administraţiei fostului preşedinte american Barack Obama.