Cotton Sandstorm olarak da bilinen İranlı siber operasyon grubu Emennet Pasargad, saldırılarını genişleterek hedeflerini İsrail ve ABD’nin ötesine genişletti ve IP kameralar gibi yeni BT varlıklarını hedef aldı.
Geçen hafta yayınlanan bir danışma belgesinde, ABD Adalet ve Hazine Bakanlıkları – İsrail Ulusal Siber Müdürlüğü (INCD) ile birlikte – taktiklerdeki değişime çağrıda bulundu ve grubun Ortadoğu’daki tehdit gruplarına operasyonlar yoluyla kaynak ve altyapı hizmetleri sağladığını kaydetti. meşru bir şirket olarak Aria Sepehr Ayandehsazan (ASA). Buna ek olarak, yılın başından bu yana Emennet Pasargad, hükümet tavsiyesine göre IP kameraları, Fransa ve İsveç’teki kuruluşları hedef aldı ve çeşitli seçim sitelerini ve sistemlerini aktif olarak araştırdı.
“FBI, 2020 ABD Başkanlık seçimlerini hedef alan Emennet kampanyasına benzer şekilde, grubun son kampanyalarının, bilgisayarlara izinsiz giriş faaliyetleri ve operasyonlarının psikolojik etkilerini artırmak için kurban ağlarına veya çalınan verilere erişime ilişkin abartılı veya hayali iddiaların bir karışımını içerdiğine hükmetti. ” belirtilen tavsiye.
Son istihbarat, İran’ın düşman olarak algıladığı kişileri hedef almanın bir yolu olarak siber operasyonları giderek daha fazla kullandığını vurguluyor. Emennet Pasargad, 2020 ve 2022’de ABD başkanlığını hedef alan dezenformasyon kampanyaları başlattı ve ara seçimlerProud Boys gönüllüleri gibi davranıp Cumhuriyetçi milletvekillerine sahte videolar gönderiyorlar. ABD Adalet Bakanlığı iki İran uyrukluyu suçlardan dolayı suçladıe-posta yoluyla tehdit göndermek ve seçim web sitelerini hacklemeye çalışmak gibi.
Tehdit tespit ve müdahale firması Trellix’in tehdit istihbaratı başkanı John Fokker, geçtiğimiz yıl İran’ın daha cesur taktikler kullanarak düşmanlarını sekteye uğratmak için siber saldırıları kullanma girişimlerini artırdığını söylüyor.
“İsrail-Filistin krizinin başlangıcı olan Ekim 2023’ten bu yana İranlı hackerlar, hükümet, enerji ve finans gibi kritik sektörleri hedef alarak ABD ve İsrail’e yönelik faaliyetlerini yoğunlaştırdılar” diyor. “İran bağlantılı aktörlerin hassas verileri çalarak, hizmet reddi saldırıları gerçekleştirerek ve ayrıca fidye yazılımı veya silme türleri gibi yıkıcı kötü amaçlı yazılımları dağıtarak organizasyonları aksattığını gözlemledik. Handala silecek“
İranlı Siber Saldırganlar Görüşlerini Genişletiyor
Emennet Pasargad genellikle meşru bir BT hizmetleri şirketi olan ASA gibi davranarak, büyük dil modeli (LLM) hizmetlerine erişim ve IP kameralardaki verileri tarayıp toplama için bir paravan olarak faaliyet gösteriyor. Ortak Siber Güvenlik Danışmanlığı, grubun “altyapı yönetimi ve gizleme için çeşitli kapak barındırma sağlayıcıları kullandığını” ekledi.
Tel Aviv’de ofisleri bulunan ihlal ve saldırı simülasyon platformu sağlayıcısı SafeBreach’in güvenlik araştırmalarından sorumlu başkan yardımcısı Tomer Bar, operasyonları gizlemek ve meşru göstermek için bir kapak örgütünün kullanılmasının İranlı tehdit aktörleri için yaygın bir yaklaşım olduğunu söylüyor. Örneğin, Charming Kitten veya APT35, Najee Technology ve Afkar System adlı iki şirketin kisvesi altında keşif ve saldırılar gerçekleştirdi. ABD Hazine Bakanlığı tarafından 2022’de onaylandı.
Bar, “Gösterge şirketinin kullanımı yeni değil ve İran tarafından hem casusluk hem de dikkat dağıtma amacıyla kullanıldı” diyor.
Trellix’ten Fokker, bunun aynı zamanda gruplara altyapılarının bir parçası olarak ticari hizmetleri kullanma ve faaliyetlerini bir süreliğine gizleme yeteneği verdiğini söylüyor.
“Tehdit aktörlerinin yasa dışı faaliyetleri için kaynak, yazılım ve barındırma satın alması gerekiyor” diyor. “‘Meşru’ bir paravan şirkete sahip olmak, bu hizmetleri almayı kolaylaştıracak ve makul bir inkar edilebilirlik sağlamak için ek bir destek görevi görebilir.”
Hükümetler ve İşletmeler Durum Değerlendirmesi Yapmalı
Değişen taktikler, kuruluşların tehdit gruplarını savuşturmak için savunmalarını sürekli olarak ayarlamaları gerektiğinin altını çiziyor. Şirketler ve devlet kurumları yalnızca güvenilir satıcılardan teknoloji ve yazılım satın almalı ve bu satıcıların kendi tedarik zinciri doğrulama ve güvenlik açığı giderme süreçlerine sahip olduğundan emin olmalıdır.
Ortak Siber Güvenlik Danışma Belgesi, kuruluşlara Özel İnternet Erişimi, ExpressVPN ve NordVPN gibi sanal özel ağ hizmetlerinden gelen ağ veya bulut hizmetlerine yönelik başarılı kimlik doğrulamalarını incelemeleri çağrısında bulundu. Şirketler, güncellemeleri düzenli olarak uygulamaya ve esnek bir yedekleme süreci oluşturmanın yanı sıra, internete yönelik tüm varlıklar ile kurumsal ağ arasında bir “silahtan arındırılmış bölge” (DMZ) kurmayı, kullanıcı girişini doğrulamayı ve ağları genelinde en az ayrıcalıklı politikaları uygulamayı düşünmelidir. uygulamalar.
SafeBreach, profillerini yeni bir pozisyonla güncelleyen çalışanları bulmak için LinkedIn’i düzenli olarak tarayan saldırganlarla, şirket yöneticisi olarak kurumsal bir sisteme giriş yapmalarını isteyen hedef odaklı kimlik avı mesajı veya e-posta gönderen saldırganlarla karşılaştı. Saldırganlar daha sonra kötü amaçlı bir bağlantı aracılığıyla kurbanın kimlik bilgilerini ele geçirir.
Trellix’ten Fokker ayrıca şirketlerin bağlı cihazlarına odaklanması, kameralar ve diğer donanımlar için yamalar uygulaması, bunları korumak için ağ bölümlendirmeyi kullanması ve bir saldırgandan önce kendi IP alanlarını düzenli olarak taraması gerektiğini vurguladı.
“Giderek daha fazla hükümet, daha güçlü üretici gerekliliklerine ek olarak ek bir katman olarak IP alanlarının proaktif olarak taranmasını ve yerel kuruluşların bilgilendirilmesini araştırıyor” diyor. “Her şeyden önce bu, kuruluşun kendisinin sorumluluğunda olmalıdır. Ancak hükümetin bu sürece yardımcı olması ve bilmeyen kuruluşları savunmasız kameraları konusunda uyarması yardımcı olacaktır.”