Iránski hekeri útočili cez VPN, špehovali spoločnosti z celého sveta

Iránski hekeri útočili cez VPN, špehovali spoločnosti z celého sveta

Za kampaňou stojí zrejme spolupráca minimálne dvoch nechválne známych skupín.

Výskumníci zo spoločnosti ClearSky koncom minulého roku objavili novú iránsku špionážnu kampaň, ktorá zasiahla spoločnosti po celom svete. Zameriava sa predovšetkým na organizácie v oblasti IT, telekomunikácii, nerastných surovín, letectva či na vládne a bezpečnostné sektory.

Hekeri sa snažili získať trvalý prístup k interným systémom a sieťam svojich obetí cez chyby vo VPN nástrojoch a protokole na vzdialenú správu. Následne si vytvárali viacero ďalších prístupových bodov, kradli cenné informácie či napádali ďalšie spoločnosti cez útoky na dodávateľský reťazec. Pri útokoch využívali popri verejne dostupných nástrojov aj nástroje vlastnej výroby, ako napríklad backdoor POWSSHNET či STSRCheck na mapovanie portov.

Kampaň, ktorú ClearSky pomenoval Fox Kitten pochádza pravdepodobne z Iránu a spája sa so skupinou OilRig (APT34). Výskumníci však nevylučujú ani možnosť, že skupina spolupracovala aj s ďalšími iránskymi skupinami Elfin Team (APT33) a Chafer (APT39).

„S miernou istotou odhadujeme, že iránske skupiny APT34 a APT33 medzi sebou spolupracujú od roku 2017, vzhľadom na použitú infraštruktúru, ktorú sme objavili pri veľkom počte prípadov spoločností z Izraela a iných častí sveta.“

(RS)