Temmuz 2022’nin ortalarında Arnavut hükümet hizmetlerine yönelik bir dizi yıkıcı siber saldırının arkasında İran hedeflerine yönelik çalışan bir tehdit aktörünün olduğu söyleniyor.
Siber güvenlik firması Mandiant söz konusu bir NATO devletine yönelik kötü niyetli faaliyet, “İran’ın yıkıcı siber operasyonlarının coğrafi genişlemesini” temsil ediyordu.
bu 17 Temmuz saldırılarıArnavutluk Ulusal Bilgi Toplumu Ajansı’na göre, hükümeti “Arnavutluk dışından gelen senkronize ve karmaşık bir siber suç saldırısı” nedeniyle “çevrimiçi kamu hizmetlerine ve diğer hükümet web sitelerine erişimi geçici olarak kapatmaya” zorladı.
Mandiant’a göre siyasi güdümlü yıkıcı operasyon, ROADSWEEP adlı yeni bir fidye yazılımı ailesinin konuşlandırılmasını gerektirdi.
HomeLand Justice adlı bir cephe, o zamandan beri siber saldırının sorumluluğunu üstlendi ve grubun da saldırılarda kötü amaçlı bir kötü amaçlı yazılım kullandığını iddia ettiği iddia ediliyor. Sileceklerin tam olarak ne olduğu henüz belli olmasa da Mandiant, Arnavut bir kullanıcının, saldırılarla aynı zamana denk gelen 19 Temmuz’da ZeroCleare adlı şey için bir örnek gönderdiğini söyledi.
SıfırTemizlik, ilk belgelenmiş IBM tarafından Aralık 2019’da Orta Doğu’daki sanayi ve enerji sektörlerini hedefleyen bir kampanyanın parçası olarak, Windows tabanlı makinelerde ana önyükleme kaydını (MBR) ve disk bölümlerini silmek için tasarlanmıştır. Aşağıdakiler de dahil olmak üzere farklı İran ulus-devlet aktörleri arasında ortak bir çaba olduğuna inanılıyor. Sondaj kulesi (aka APT34, ITG13 veya Helix Kitten).
Arnavut saldırılarında ayrıca, ekran görüntüsü alma, dosyaları listeleme ve toplama, ters bir kabuk oluşturma ve tuş kaydetme işlevini destekleme yeteneğine sahip, CHIMNEYSWEEP adlı önceden bilinmeyen bir arka kapı kullanıldı.
İmplant, ROADSWEEP ile çok sayıda kod çakışmasını paylaşmanın yanı sıra, sisteme ait görüntüleri içeren sahte Microsoft Word belgelerinin yanı sıra kendi kendine açılan bir arşiv aracılığıyla sisteme teslim edilir. Mesud Rajaviİran Halkın Mücahitleri Örgütü’nün (MEK) eski lideri.
CHIMNEYSWEEP’in en eski yinelemeleri 2012’ye kadar uzanıyor ve belirtiler, kötü amaçlı yazılımın Farsça ve Arapça konuşanları hedef alan saldırılarda kullanılmış olabileceği yönünde.
Bu yılın başlarında Google tarafından satın alınan siber güvenlik firması, izinsiz girişleri adlandırılmış bir muhalif topluluğa bağlayan yeterli kanıta sahip olmadığını söyledi, ancak İran’ın hedeflerini desteklemek için faaliyet gösteren bir veya daha fazla kötü aktörün dahil olduğuna ılımlı bir güvenle dikkat çekti.
İran’la bağlantılar, saldırıların, 23-24 Temmuz’da liman kenti Durres yakınlarında, İran hükümetine karşı çıkan kuruluşlar, özellikle de MEK üyeleri tarafından Özgür İran Dünya Zirvesi konferansından bir haftadan kısa bir süre önce gerçekleştirilmiş olmasından kaynaklanıyor. .
“Bir İranlı muhalif grupların konferansının yapılacağı aynı hafta içinde bir NATO üye devletinin hükümet web sitelerine ve vatandaş hizmetlerine karşı siyasi güdümlü yıkıcı bir operasyon yürütmek için fidye yazılımının kullanılması, İran-bağ tehdidi tarafından özellikle küstah bir operasyon olacaktır. aktörler,” dedi araştırmacılar.
Bulgular ayrıca Charming Kitten (diğer adıyla Fosfor) olarak izlenen İranlı gelişmiş kalıcı tehdit (APT) grubunun tespit edilmesinden iki ay sonra geldi. bağlantılı güney ABD’de adı açıklanmayan bir inşaat şirketine yönelik bir saldırıya