Аналитики IBM докладывают, что иранские правительственные хакеры разработали новое семейство вредоносных программ, предназначенное для атак на промышленный и энергетический секторы.
За последними атаками стоят две группировки, одна из которых — APT34, а другую точно идентифицировать не удалось (известно, что она также действует из Ирана). В этот раз злоумышленники выбрали себе в качестве цели объекты на Среднем Востоке.
Киберпреступная группа APT34, деятельность которой связывают с Корпусом стражей исламской революции, используовала LinkedIn для распространения вредоносной программы. Основные цели APT34 были из нефтяной, энергетической и газовой сфер, также преступники атаковали государственные организации. В июне появлялась информация о сливе инфраструктуры группы, но уже через месяц она была снова в строю.
Что касается другой группы, участвовавшей в последних атаках, у исследователей есть основания считать, что это APT33 — наиболее известная иранская правительственная группировка. APT33 стояла за кампаниями, в ходе которых использовался эксплойт для Microsoft Outlook, а также атаковала нефтяную и газовую отрасли в США. IBM предупреждает, что в недавних операациях две группы использовали программу вайпер. Специалисты назвали её «ZeroCleare». Водоносы такого класса преследуют лишь одну цель — уничтожить всю информацию жертвы, не оставив возможность восстановления.
Ранее в этом году Пентагон выпустил для американских компаний памятку о необходимости защитить сотрудников и производство от иранских кибератак.
Специалисты CISA предупреждают об излюбленных методах действия иранских хакеров: это целевой фишинг, credential stuffing, брутфорс паролей и — специфически иранских штрих — вайперы (wiper) — малварь, ориентированная не просто на кражу данных, но их целенаправленное уничтожение и саботаж.
Читайте также на АКБ:
Иранские хакеры атакуют ветеранов в США