ABD Hazine Bakanlığı Dış Varlıkları Kontrol Ofisi (OFAC) Çarşamba günü, İran İslam Devrim Muhafızları (IRGC) tarafından desteklenen on kişi ve iki kuruluşa, en az Ekim 2020’den bu yana fidye yazılımı saldırılarına katıldıkları için kapsamlı yaptırımlar uygulandığını duyurdu.
Ajans, bireyler tarafından oluşturulan siber faaliyetin kısmen APT35, Charming Kitten, Nemesis Kitten, Phosphorus ve TunnelVision isimleri altında izlenen izinsiz giriş setlerine atfedilebileceğini söyledi.
Hazine, “Bu grup, özellikle ABD ve Orta Doğu savunma, diplomatik ve hükümet personelinin yanı sıra medya, enerji, ticari hizmetler ve telekomünikasyon dahil olmak üzere özel sektörleri hedef alarak dünya genelindeki kuruluşlara ve yetkililere karşı kapsamlı kampanyalar başlattı.” söz konusu.
Cobalt Mirage, DEV-0270 ve UNC2448 olarak da bilinen Nemesis Kitten oyuncusu, Microsoft’un yerleşik BitLocker aracını kullanarak fırsatçı gelir elde etmek için fidye yazılımı saldırıları modeli nedeniyle son aylarda tarayıcının altına girdi. cihazlar.
Microsoft ve Secureworks, DEV-0270’i TunnelVision olarak adlandırılan başka bir aktörle bağları olan bir Fosfor (aka Kobalt İllüzyonu) alt grubu olarak nitelendirdi. Windows yapımcısı ayrıca, “DEV-0270’in bazı fidye yazılımı saldırılarının, kişisel veya şirkete özel gelir üretimi için bir tür ay ışığı olduğunu” düşük bir güvenle değerlendirdi.
Dahası, Google’a ait Mandiant’ın yanı sıra iki siber güvenlik firmasının bağımsız analizleri, grubun her ikisi de ABD yaptırımlarına tabi olan Najee Technology (Secnerd ve Lifeweb takma adları altında faaliyet gösteren) ve Afkar System adlı iki şirketle bağlantılarını ortaya çıkardı. .
Najee Technology ve Afkar System’in İran istihbarat teşkilatıyla olan bağlantılarının ilk olarak Lab Dookhtegan adlı anonim bir İran karşıtı rejim kuruluşu tarafından işaretlendiğini belirtmekte fayda var. daha erken Bu yıl.
Secureworks, “İran hükümetinin müteahhitleri kullanan istihbarat fonksiyonları modeli, hükümet tarafından görevlendirilen eylemler ile özel şirketin kendi inisiyatifiyle gerçekleştirdiği eylemler arasındaki çizgileri bulanıklaştırıyor.” Dedi. yeni rapor Kobalt Mirage’ın faaliyetlerini detaylandırma.
İki şirket ile Devrim Muhafızları arasındaki kesin bağlantılar belirsizliğini koruyor olsa da, özel İran firmalarının cephe görevi görme veya istihbarat operasyonları için destek sağlama yöntemi, yıllar içinde iyi bir şekilde kurulmuştur. ITSecTeam (ITSEC), MersadEmennet Pasargad ve Rana Intelligence Computing Company.
Bunun üzerine, Secureworks’ün Haziran 2022’deki bir Kobalt Mirage olayına ilişkin soruşturması, fidye metnini içeren bir PDF dosyasıyla ilişkili meta verilerin, İran şirketi Afkar System’in CEO’su ve sahibi olan Ahmed Khatibi’yi yaratıcısı olarak etiketlediğini gösterdi.
Ahmad Khatibi Aghda ayrıca, Najee Technology CEO’su Mansour Ahmadi ve iki şirketin tanınmış güvenlik açıklarından yararlanarak çeşitli ağları hedef almakta suç ortağı olduğu söylenen diğer çalışanların yanı sıra ABD tarafından yaptırım uygulanan 10 kişi arasında yer alıyor. sonraki saldırılara ilk erişim elde etmek için.
Bazıları istismar edilen kusurlargöre ortak siber güvenlik danışmanlığı Avustralya, Kanada, Birleşik Krallık ve ABD tarafından IRGC’ye bağlı aktör faaliyetinin bir parçası olarak yayınlananlar aşağıdaki gibidir:
- Fortinet FortiOS yol geçiş güvenlik açığı (CVE-2018-13379)
- Fortinet FortiOS varsayılan yapılandırma güvenlik açığı (CVE-2019-5591)
- Fortinet FortiOS SSL VPN 2FA atlama güvenlik açığı (CVE-2020-12812)
- ProxyShell (CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207) ve
- Log4Shell (CVE-2021-44228, CVE-2021-45046 ve/veya CVE-2021-45105)
ABD hükümeti, onu FBI’a eklemenin yanı sıra, “Khatibi, ağı BitLocker ile şifrelemek için kurban ağlarına yetkisiz erişim elde eden ve şifre çözme anahtarları için fidye talep eden siber aktörler arasında” dedi. En Çok Arananlar listesi.
“Bu kötü niyetli siber grubun faaliyetlerini ilerletmek için kullanılan ağ altyapısını kiraladı, kurbanların ağlarını tehlikeye atmaya katıldı ve kurbanlarla fidye görüşmeleri yaptı.”
Yaptırımlarla aynı zamana denk gelen Adalet Bakanlığı ayrı ayrı ücretli Ahmedi, Khatibi ve Amir Hossein Nickaein Ravari adlı üçüncü bir İran vatandaşı, ABD, İsrail ve İran’da bulunan kurbanlara zarar ve ziyan vermek için suç teşkil eden bir gasp planına giriştikleri için.
Her üç kişi de bilgisayar sahtekarlığı ve bilgisayarlarla bağlantılı faaliyetlerde bulunmak için komplo kurmakla suçlandı; korunan bir bilgisayara kasıtlı olarak zarar vermenin bir sayısı; ve korunan bir bilgisayara zarar vermeyle ilgili olarak bir talebin iletilmesinin bir sayısı. Ahmadi ayrıca korumalı bir bilgisayara kasten zarar vermekle suçlanıyor.
Hepsi bu değil. ABD Dışişleri Bakanlığı da ilan edilen parasal ödüller hakkında herhangi bir bilgi için 10 milyon dolara kadar Mansur, Hatibi ve Nikaeen ve nerede oldukları.
Başsavcı Yardımcısı Matthew, “Bu sanıklar, kritik altyapı sağlayıcıları da dahil olmak üzere kurbanları kişisel kazançları için hackliyor ve gasp ediyor olabilir, ancak suçlamalar, suçluların İran Hükümeti’nin yarattığı ve sorumlu olduğu güvenli bölgede nasıl gelişebileceğini yansıtıyor.” dedi Olsen.
Gelişme, ABD’nin İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) ve İstihbarat Bakanı Esmaeil Khatib’e ülkeye ve müttefiklerine karşı siber etkin faaliyetlerde bulundukları için uyguladığı yaptırımların hemen ardından geliyor.