Az iráni állam által támogatott APT42 hackercsoport, amely a kormányt, a nem kormányzati szervezeteket és a kormányközi szervezeteket célozza meg a bizonyítványok begyűjtésével

A kiberbiztonság területén az éberség a legfontosabb. A Google Cloud Mandiant nemrégiben megjelent felfedezései rávilágítottak az APT42 aljas tevékenységére, egy államilag támogatott kiberkémcsoportra, amelyről úgy gondolják, hogy az iráni Iszlám Forradalmi Gárda (IRGC) nevében működik. Az APT42 legalább 2015-ig nyúlik vissza, és jelentős fenyegetésként jelent meg, és az entitások széles körét célozza meg, beleértve a civil szervezeteket, kormányzati intézményeket és kormányközi szervezeteket.

A különféle álnevekkel, például Calanque és UNC788 alatt működő APT42 működési módja olyan kifinomult, mint amilyenről van szó. A social engineering taktikáját alkalmazva a csoport újságíróknak és rendezvényszervezőknek adja ki magát, hogy beszivárogjon célpontjai hálózatába. E megtévesztő stratégiák kiaknázásával az APT42 elnyeri a gyanútlan áldozatok bizalmát, lehetővé téve számukra, hogy értékes hitelesítő adatokat gyűjtsenek be az illetéktelen hozzáféréshez.

Az APT42 megközelítésének egyik jellemzője, hogy több hátsó ajtót használ rosszindulatú tevékenységeinek elősegítésére. A Mandiant jelentése kiemeli két új hátsó ajtó bevetését a közelmúlt támadásai során. Ezek a titkos eszközök lehetővé teszik az APT42 számára, hogy beszivárogjon a felhőkörnyezetekbe, kiszűrje az érzékeny adatokat, és a nyílt forráskódú eszközök és a beépített funkciók kihasználásával elkerülje az észlelést.

A Mandiant elemzése tovább tárja fel az APT42 által a működése során alkalmazott bonyolult infrastruktúrát. A csoport kiterjedt hitelesítő begyűjtési kampányokat szervez, célpontjait három különálló csoportba sorolva. A médiaszervezetnek álcázástól a törvényes szolgáltatások megszemélyesítéséig az APT42 különféle taktikákat alkalmaz, hogy rávegye áldozatait bejelentkezési adataik felfedésére.

Ezenkívül az APT42 tevékenysége túlmutat a hagyományos kiberkémkedésen. A csoport hajlandóságot mutatott taktikájának átalakítására , amit az egyedi hátsó ajtók, például a Nicecurl és a Tamecat bevetése is bizonyít. Ezek a VBScript-ben, illetve PowerShell-ben írt eszközök lehetővé teszik az APT42 számára, hogy tetszőleges parancsokat hajtson végre, és érzékeny információkat nyerjen ki a feltört rendszerekből.

A geopolitikai feszültségek és a regionális konfliktusok ellenére az APT42 továbbra is állhatatosan törekszik a hírszerzési információgyűjtésre. A Mandiant megállapításai alátámasztják a csoport rugalmasságát és kitartását, mivel továbbra is olyan entitásokat céloz meg, amelyek érzékeny geopolitikai problémákkal kapcsolatosak az Egyesült Államokban, Izraelben és azon kívül. Ezenkívül az APT42 és más iráni hackercsoportok, például a Charming Kitten tevékenységei közötti átfedés rávilágít Irán kiberműveleteinek összehangolt és sokrétű jellegére.

Az ilyen fenyegetésekkel szemben a proaktív kiberbiztonsági intézkedések elengedhetetlenek. A szervezeteknek ébernek kell maradniuk, robusztus biztonsági protokollokat kell alkalmazniuk, és lépést kell tartaniuk a kibervédelem legújabb fejleményeivel. Az együttműködés és az információmegosztás fokozásával a globális közösség jobban szembe tud szállni az olyan csoportok, mint az APT42 által jelentett fejlődő fenyegetésekkel.

Végső soron a Mandiant által nyújtott leleplezések kijózanító emlékeztetőül szolgálnak a kiberfenyegetések tartós és mindent átható természetére. A technológia fejlődésével a védelmünknek is fejlődnie kell. Csak kollektív fellépéssel és megingathatatlan szorgalommal remélhetjük, hogy mérsékelni tudjuk az olyan államilag támogatott kiberkémkedési csoportok által jelentett kockázatokat, mint az APT42.