Hôm nay, các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một chiến dịch gián điệp không gian mạng của Iran nhằm chống lại các cơ sở hạ tầng quan trọng ở Kuwait và Ả Rập Saudi.
Bitdefender cho biết các hoạt động thu thập thông tin tình báo được thực hiện bởi APT (cũng được biết đến như là APT39 hay Remix Kitten), một diễn viên đe dọa được biết đến với các cuộc tấn công vào các ngành công nghiệp viễn thông và du lịch ở Trung Đông để thu thập thông tin cá nhân phục vụ lợi ích địa chính trị của đất nước.
“Các nạn nhân của các chiến dịch được phân tích phù hợp với mô hình được nam diễn viên này ưa thích, chẳng hạn như vận tải hàng không và các lĩnh vực chính phủ ở Trung Đông,” các nhà nghiên cứu cho biết báo cáo (PDF) đã chia sẻ với The Hacker News, thêm ít nhất một trong số các cuộc tấn công đã không được phát hiện trong hơn một năm rưỡi kể từ năm 2018.
“Các chiến dịch được dựa trên một số công cụ, bao gồm các công cụ ‘sống ngoài đất’, điều này gây khó khăn cho việc phân bổ, cũng như các công cụ hack khác nhau và một cửa hậu được xây dựng tùy chỉnh.”
Được biết là hoạt động từ năm 2014, APT Chafer trước đây đã nhắm đến Chính phủ Thổ Nhĩ Kỳ tổ chức và đơn vị ngoại giao nước ngoài có trụ sở tại Iran với mục tiêu lọc dữ liệu nhạy cảm.
Một FireEye báo cáo năm ngoái đã thêm vào bằng chứng ngày càng tăng về sự tập trung của Chafer vào các ngành công nghiệp viễn thông và du lịch. “Các công ty viễn thông là mục tiêu hấp dẫn khi họ lưu trữ một lượng lớn thông tin cá nhân và khách hàng, cung cấp quyền truy cập vào cơ sở hạ tầng quan trọng được sử dụng để liên lạc và cho phép truy cập vào một loạt các mục tiêu tiềm năng trên nhiều ngành dọc”, công ty cho biết.
APT39 thỏa hiệp các mục tiêu của mình thông qua các email lừa đảo với các tệp đính kèm độc hại và sử dụng nhiều công cụ cửa sau để có chỗ đứng, nâng cao đặc quyền của họ, tiến hành trinh sát nội bộ và thiết lập sự bền bỉ trong môi trường nạn nhân.
Điều khiến cho cuộc tấn công Kuwait trở nên phức tạp hơn, theo Bitdefender, là khả năng tạo tài khoản người dùng trên máy của nạn nhân và thực hiện các hành động độc hại trong mạng, bao gồm quét mạng (CrackMapExec), thu thập thông tin xác thực (Mimikatz) và di chuyển vào bên trong các mạng sử dụng một kho công cụ rộng rãi theo ý của họ.
Hầu hết các hoạt động xảy ra vào thứ Sáu và thứ Bảy, trùng với cuối tuần ở Trung Đông, các nhà nghiên cứu cho biết.
Cuộc tấn công chống lại một thực thể Ả Rập Saudi, mặt khác, liên quan đến việc sử dụng kỹ thuật xã hội để lừa nạn nhân chạy một công cụ quản trị từ xa (RAT), với một số thành phần của nó có chung điểm tương đồng với những người được sử dụng chống lại Kuwait và gà tây.
Các nhà nghiên cứu cho biết: “Trong khi cuộc tấn công này không rộng như ở Kuwait, một số bằng chứng pháp y cho thấy những kẻ tấn công tương tự có thể đã dàn xếp nó”. “Mặc dù có bằng chứng cho việc phát hiện mạng, chúng tôi không thể tìm thấy bất kỳ dấu vết nào cho chuyển động bên, rất có thể là do các tác nhân đe dọa không thể tìm thấy bất kỳ máy móc dễ bị tổn thương nào.”
Các cuộc tấn công chống lại Kuwait và Ả Rập Saudi là một lời nhắc nhở rằng Những nỗ lực gián điệp không gian mạng của Iran đã không có dấu hiệu chậm lại. Với bản chất quan trọng của các ngành công nghiệp liên quan, hành động của Chafer tiếp tục xu hướng các quốc gia nổi bật hành động chống lại tham vọng quốc gia của nó.
“Mặc dù hai đây là những ví dụ tấn công gần đây nhất xảy ra ở Trung Đông, nhưng điều quan trọng là phải hiểu rằng loại tấn công này có thể xảy ra ở bất cứ đâu trên thế giới và các cơ sở hạ tầng quan trọng như chính phủ và vận tải hàng không vẫn là mục tiêu rất nhạy cảm”, Bitdefender nói.
