Разрушительные атаки хакеров

30
FTC предупреждает о вымогателях, нацеленных на ЛГБТК + сообщество в приложениях для знакомств

Разрушительные атаки, нацеленные на министерство транспорта и национальную железнодорожную систему Ирана, координировал злоумышленник по имени Индра , который ранее развернул вредоносное ПО в сетях нескольких сирийских организаций.

В прошлом месяце министерство железных дорог и транспорта Ирана подверглось кибератаке, в результате которой были отключены их веб-сайты и нарушено движение поездов по всей стране.

«Было установлено, что атаки на Иран тактически и технически схожи с предыдущими действиями против нескольких частных компаний в Сирии, которые осуществлялись как минимум с 2019 года» , – заявили аналитики Check Point Research, которые установили связь .

«Нам удалось связать эту деятельность с группой угроз, которая идентифицирует себя как оппозиционная группа режима, по имени Индра».

Злоумышленники применили невидимый ранее очиститель файлов под названием Meteor в системах целей. Они разместили сообщения на досках сообщений железной дороги, в которых говорилось, что поезда были отменены или задержаны, и просили пассажиров обратиться в офис Верховного лидера Али Хаменеи за дополнительной информацией.

Группа хактивистов или киберпреступников, нацеленная на организации, связанные с КСИР

Стеклоочистители, Nuke-it-From-Orbit -ware, как их назвала Check Point Research, предназначены для уничтожения данных или взломанных устройств, обычно в качестве прикрытия для других атак, происходящих в то же время.

Индра разработал и развернул как минимум три различных варианта дворника, получившего название Meteor, Stardust и Comet, в сетях жертв за годы, прошедшие с тех пор, как они впервые появились в 2019 году.

Несмотря на это, методы работы группы, качество ее инструментов и готовность заявлять о нападениях на социальные сети делают маловероятным, что Индра является спонсируемым государством лицом угрозы.

Однако, как заметил исследователь безопасности SentinelOne Хуан Андрес Герреро-Сааде в отчете, анализирующем иранскую атаку, опубликованном две недели назад, злоумышленник смог остаться незамеченным на этапе разведки своей атаки, несмотря на общее отсутствие навыков.

«Существует избыточность функций между различными компонентами атаки, что предполагает несогласованное разделение ответственности между командами», – сказал Герреро-Сааде. «И файлы распространяются неуклюже, многословно и неорганизованно, что не подходит для продвинутых злоумышленников».

Независимо от уровня своих навыков, Индра идентифицирует себя как группу, противостоящую иранскому режиму. Судя по сообщениям иранских СМИ за прошлый год, они также связаны с киберпреступными или хактивистскими группами, которые нацелены на организации, связанные с Корпусом стражей исламской революции (КСИР), подразделением вооруженных сил Ирана.

Атаки остаются невостребованными

Индра ранее сообщал об успешных атаках на социальные сети на нескольких платформах, включая Twitter, Facebook, Telegram и Youtube.

Основываясь на активности Индры в социальных сетях с 2019 года, Check Point Research обнаружила, что Индра заявлял о следующих атаках:

  • Сентябрь 2019 г .: атака на Alfadelex Trading, компанию по обмену валют и денежных переводов, расположенную в Сирии.
  • Январь 2020 года: атака на сирийскую частную авиакомпанию Cham Wings Airlines.
  • Февраль 2020 г. и апрель 2020 г.: захват сетевой инфраструктуры Afrada и Katerji Group. Обе компании также находятся в Сирии.
  • Ноябрь 2020 г .: Индра угрожает атаковать сирийский нефтеперерабатывающий завод Banias Oil, хотя неясно, была ли угроза осуществлена.

Однако хакерская группа предпочла не брать на себя ответственность за атаки в прошлом месяце на Иранские железные дороги и Министерство дорог и городского развития.

Несмотря на это, Check Point Research смогла найти множество общих черт (инструменты и тактики, методы и процедуры (TTP), а также узконаправленный характер атаки), напрямую связавшее их с этими инцидентами.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here