Спонсорирана от държавата APT42 хакерска група, насочена към правителство, НПО и междуправителствени организации за събиране на акредитивни данни

В областта на киберсигурността бдителността е от първостепенно значение. Скорошни разкрития от Mandiant на Google Cloud хвърлиха светлина върху престъпните дейности на APT42, държавно спонсорирана група за кибершпионаж, за която се смята, че действа от името на Корпуса на гвардейците на ислямската революция (IRGC) в Иран. С история, датираща поне от 2015 г., APT42 се очертава като значителна заплаха, насочена към широк спектър от субекти, включително НПО, държавни институции и междуправителствени организации.

Работейки под различни псевдоними като Calanque и UNC788, начинът на действие на APT42 е толкова сложен, колкото и тревожен. Използвайки тактики за социално инженерство, групата се представя за журналисти и организатори на събития, за да проникне в мрежите на своите цели. Използвайки тези измамни стратегии, APT42 печели доверието на нищо неподозиращите жертви, позволявайки им да събират ценни идентификационни данни за неоторизиран достъп.

Един от отличителните белези на подхода на APT42 е използването на множество задни врати за улесняване на злонамерените дейности. Докладът на Mandiant подчертава внедряването на две нови задни вратички при последните атаки. Тези тайни инструменти позволяват на APT42 да прониква в облачни среди, да ексфилтрира чувствителни данни и да избягва откриването чрез използване на инструменти с отворен код и вградени функции.

Анализът на Mandiant допълнително разкрива сложната инфраструктура, използвана от APT42 в неговите операции. Групата организира обширни кампании за събиране на удостоверения, като категоризира своите цели в три отделни групи. От маскиране като медийни организации до представяне на законни услуги, APT42 използва различни тактики, за да примами своите жертви да разкрият своите идентификационни данни за вход.

Освен това дейностите на APT42 се простират отвъд традиционния кибершпионаж. Групата демонстрира готовност да адаптира своите тактики , както се вижда от внедряването на персонализирани задни вратички като Nicecurl и Tamecat. Тези инструменти, написани съответно на VBScript и PowerShell, позволяват на APT42 да изпълнява произволни команди и да извлича чувствителна информация от компрометирани системи.

Въпреки геополитическото напрежение и регионалните конфликти, APT42 остава непоколебима в стремежа си за събиране на разузнавателна информация. Констатациите на Mandiant подчертават устойчивостта и постоянството на групата, тъй като тя продължава да се насочва към организации, свързани с чувствителни геополитически въпроси в САЩ, Израел и извън тях. Освен това, припокриването между дейностите на APT42 и тези на други ирански хакерски групи, като Charming Kitten, подчертава координирания и многостранен характер на кибероперациите на Иран.

Пред лицето на подобни заплахи проактивните мерки за киберсигурност са наложителни. Организациите трябва да останат бдителни, като използват стабилни протоколи за сигурност и са в крак с най-новите разработки в киберзащитата. Чрез подобряване на сътрудничеството и споделянето на информация глобалната общност може по-добре да се изправи срещу променящия се пейзаж на заплахите, породени от групи като APT42.

В крайна сметка разкритията, предоставени от Mandiant, служат като отрезвяващо напомняне за постоянния и широко разпространен характер на кибернетичните заплахи. Тъй като технологиите продължават да напредват, трябва да се развиват и нашите защити. Само чрез колективни действия и непоколебимо усърдие можем да се надяваме да смекчим рисковете, породени от спонсорираните от държавата групи за кибер шпионаж като APT42.