Íránská státem sponzorovaná skupina hackerů APT42 zaměřená na vládu, nevládní organizace a mezivládní organizace při získávání pověření

V oblasti kybernetické bezpečnosti je prvořadá ostražitost. Nedávná odhalení z Google Cloud's Mandiant vrhla světlo na hanebné aktivity APT42, státem podporované kybernetické špionážní skupiny, o které se předpokládá, že působí jménem Sboru islámských revolučních gard (IRGC) v Íránu. S historií sahající minimálně do roku 2015 se APT42 ukázal jako významná hrozba zaměřená na širokou škálu subjektů včetně nevládních organizací, vládních institucí a mezivládních organizací.

Operační režim APT42, který funguje pod různými aliasy, jako je Calanque a UNC788, je stejně sofistikovaný, jak se týká. S využitím taktiky sociálního inženýrství se skupina vydává za novináře a organizátory akcí, aby infiltrovala sítě svých cílů. Využitím těchto klamných strategií získává APT42 důvěru nic netušících obětí a umožňuje jim získat cenné přihlašovací údaje pro neoprávněný přístup.

Jedním z charakteristických rysů přístupu APT42 je jeho využití více zadních vrátek k usnadnění jeho škodlivých aktivit. Mandiantova zpráva zdůrazňuje nasazení dvou nových zadních vrátek při nedávných útocích. Tyto tajné nástroje umožňují APT42 proniknout do cloudových prostředí, exfiltrovat citlivá data a vyhnout se detekci využitím open source nástrojů a vestavěných funkcí.

Analýza společnosti Mandiant dále odhaluje složitou infrastrukturu, kterou APT42 využívá při svých operacích. Skupina organizuje rozsáhlé kampaně na získávání pověření a kategorizuje své cíle do tří odlišných skupin. Od vydávání se za mediální organizace až po vydávání se za legitimní služby, APT42 používá různé taktiky, aby nalákal své oběti, aby vyzradily své přihlašovací údaje.

Aktivity APT42 navíc přesahují rámec tradiční kybernetické špionáže. Skupina prokázala ochotu přizpůsobit svou taktiku , o čemž svědčí nasazení vlastních zadních vrátek, jako jsou Nicecurl a Tamecat. Tyto nástroje napsané v jazyce VBScript a PowerShell umožňují APT42 provádět libovolné příkazy a extrahovat citlivé informace z kompromitovaných systémů.

Navzdory geopolitickému napětí a regionálním konfliktům zůstává APT42 neochvějný ve svém úsilí o shromažďování zpravodajských informací. Zjištění společnosti Mandiant podtrhují odolnost a vytrvalost skupiny, protože se nadále zaměřuje na subjekty spojené s citlivými geopolitickými problémy v USA, Izraeli i mimo ně. Kromě toho překrývání mezi aktivitami APT42 a aktivitami jiných íránských hackerských skupin, jako je Charming Kitten, zdůrazňuje koordinovanou a mnohostrannou povahu íránských kybernetických operací.

Tváří v tvář takovým hrozbám jsou nezbytná proaktivní opatření v oblasti kybernetické bezpečnosti. Organizace musí zůstat ostražité, používat robustní bezpečnostní protokoly a držet krok s nejnovějším vývojem v oblasti kybernetické obrany. Díky lepší spolupráci a sdílení informací může globální komunita lépe čelit vyvíjejícím se hrozbám, které představují skupiny jako APT42.

Odhalení poskytnutá Mandiantem nakonec slouží jako střízlivá připomínka přetrvávající a všudypřítomné povahy kybernetických hrozeb. Jak se technologie neustále vyvíjí, musí se rozvíjet i naše obrana. Pouze prostřednictvím kolektivní akce a neochvějné píle můžeme doufat, že zmírníme rizika, která představují státem podporované skupiny kybernetické špionáže, jako je APT42.