Iraani riiklikult toetatud APT42 häkkerirühm, mis sihib volituste kogumist valitsust, valitsusväliseid organisatsioone ja valitsustevahelisi organisatsioone

Küberjulgeoleku vallas on valvsus esmatähtis. Google Cloudi Mandiant'i hiljutised paljastused heidavad valgust riigi toetatud küberspionaažirühmituse APT42 pahatahtlikule tegevusele, mis arvatakse tegutsevat Iraani Islami revolutsioonilise kaardiväekorpuse (IRGC) nimel. APT42, mille ajalugu ulatub tagasi vähemalt 2015. aastasse, on kujunenud oluliseks ohuks, mis on suunatud paljudele üksustele, sealhulgas valitsusvälistele organisatsioonidele, valitsusasutustele ja valitsustevahelistele organisatsioonidele.

Erinevate varjunimede (nt Calanque ja UNC788) all töötav APT42 tegevusviis on sama keerukas kui ka puudutav. Kasutades sotsiaalse inseneri taktikat, poseerib rühm ajakirjanike ja ürituste korraldajatena, et tungida oma sihtmärkide võrgustikesse. Neid petlikke strateegiaid kasutades saavutab APT42 pahaaimamatute ohvrite usalduse, võimaldades neil koguda volitamata juurdepääsuks väärtuslikke mandaate.

APT42 lähenemisviisi üheks tunnuseks on mitme tagaukse kasutamine pahatahtliku tegevuse hõlbustamiseks. Mandianti raport tõstab esile kahe uue tagaukse kasutuselevõtu viimaste rünnakute käigus. Need salajased tööriistad võimaldavad APT42-l tungida pilvekeskkondadesse, välja filtreerida tundlikke andmeid ja vältida tuvastamist, kasutades avatud lähtekoodiga tööriistu ja sisseehitatud funktsioone.

Mandianti analüüs paljastab veelgi keeruka infrastruktuuri, mida APT42 oma tegevuses kasutab. Rühm korraldab ulatuslikke mandaatide kogumise kampaaniaid, kategoriseerides oma sihtmärgid kolme erinevasse klastrisse. Alates meediaorganisatsioonidena maskeerimisest kuni seaduslike teenustena esinemiseni kasutab APT42 mitmesuguseid taktikaid, et meelitada oma ohvreid oma sisselogimismandaate avaldama.

Lisaks ulatub APT42 tegevus traditsioonilisest küberspionaažist kaugemale. Grupp on näidanud üles valmisolekut oma taktikat kohandada , mida tõendab kohandatud tagauste, nagu Nicecurl ja Tamecat, kasutuselevõtt. Need tööriistad, mis on kirjutatud vastavalt VBScriptis ja PowerShellis, võimaldavad APT42-l täita suvalisi käske ja eraldada ohustatud süsteemidest tundlikku teavet.

Vaatamata geopoliitilistele pingetele ja piirkondlikele konfliktidele on APT42 jälitusteabe kogumise poole püüdlemisel vankumatu. Mandianti leiud rõhutavad grupi vastupidavust ja püsivust, kuna see on jätkuvalt suunatud üksustele, mis on seotud tundlike geopoliitiliste probleemidega USA-s, Iisraelis ja mujal. Lisaks toob APT42 ja teiste Iraani häkkimisrühmituste (nt Charming Kitten) tegevuse kattumine esile Iraani küberoperatsioonide koordineeritud ja mitmetahulisuse.

Selliste ohtude korral on ennetavad küberjulgeolekumeetmed hädavajalikud. Organisatsioonid peavad jääma valvsaks, kasutama tugevaid turvaprotokolle ja hoidma end kursis küberkaitse viimaste arengutega. Koostööd ja teabe jagamist tõhustades saab ülemaailmne kogukond paremini toime tulla areneva ohumaastikuga, mida kujutavad sellised rühmad nagu APT42.

Lõppkokkuvõttes on Mandiandi paljastused kainestava meeldetuletusena küberohtude püsivast ja laiaulatuslikust olemusest. Kuna tehnoloogia areneb jätkuvalt, peavad arenema ka meie kaitsemehhanismid. Ainult kollektiivse tegevuse ja vankumatu hoolsuse abil saame maandada riske, mida põhjustavad riiklikult toetatud küberspionaažirühmad nagu APT42.