Irano valstybės remiama APT42 įsilaužėlių grupė, nusitaikiusi į vyriausybę, NVO ir tarpvyriausybines organizacijas, kad gautų įgaliojimus

Kibernetinio saugumo srityje svarbiausia yra budrumas. Naujausi „Google Cloud“ „Mandiant“ apreiškimai atskleidė niekšišką APT42 – valstybės remiamos kibernetinio šnipinėjimo grupės, kuri, kaip manoma, veikia Islamo revoliucijos gvardijos korpuso (IRGC) Irane, vardu – veiklą. APT42, kurio istorija siekia bent 2015 m., iškilo kaip didelė grėsmė, nukreipta į daugybę subjektų, įskaitant NVO, vyriausybines institucijas ir tarpvyriausybines organizacijas.

Veikiant įvairiais slapyvardžiais, tokiais kaip Calanque ir UNC788, APT42 veikimo būdas yra toks pat sudėtingas, koks yra. Naudodama socialinės inžinerijos taktiką, grupė prisistato kaip žurnalistai ir renginių organizatoriai, kad įsiskverbtų į savo taikinių tinklus. Naudodamas šias apgaulingas strategijas, APT42 įgyja nieko neįtariančių aukų pasitikėjimą, leidžiančią joms gauti vertingus kredencialus neteisėtai prieigai.

Vienas iš APT42 metodo bruožų yra kelių užpakalinių durų naudojimas, siekiant palengvinti savo kenkėjišką veiklą. „Mandiant“ ataskaitoje pabrėžiamas dviejų naujų užpakalinių durų diegimas pastarųjų atakų metu. Šie slapti įrankiai leidžia APT42 įsiskverbti į debesų aplinką, išfiltruoti jautrius duomenis ir išvengti aptikimo naudojant atvirojo kodo įrankius ir integruotas funkcijas.

„Mandiant“ analizė taip pat atskleidžia sudėtingą infrastruktūrą, kurią APT42 naudoja savo veikloje. Grupė organizuoja plačias įgaliojimų rinkimo kampanijas, suskirstydama savo tikslus į tris skirtingas grupes. Nuo apsimetimo žiniasklaidos organizacijomis iki teisėtų paslaugų apsimetimo, APT42 taiko įvairias taktikas, siekdamas privilioti aukas atskleisti savo prisijungimo duomenis.

Be to, APT42 veikla apima ne tik tradicinį kibernetinį šnipinėjimą. Grupė pademonstravo norą pritaikyti savo taktiką , ką įrodo jos pritaikytos užpakalinės durys, tokios kaip Nicecurl ir Tamecat. Šie įrankiai, parašyti atitinkamai VBScript ir PowerShell, leidžia APT42 vykdyti savavališkas komandas ir išskirti neskelbtiną informaciją iš pažeistų sistemų.

Nepaisant geopolitinės įtampos ir regioninių konfliktų, APT42 ir toliau atkakliai siekia rinkti žvalgybos informaciją. „Mandiant“ išvados pabrėžia grupės atsparumą ir atkaklumą, nes ji ir toliau taikosi į subjektus, susijusius su opiomis geopolitinėmis problemomis JAV, Izraelyje ir už jos ribų. Be to, APT42 ir kitų Irano įsilaužėlių grupių, tokių kaip Charming Kitten, veiklos sutapimas išryškina koordinuotą ir daugialypį Irano kibernetinių operacijų pobūdį.

Tokių grėsmių akivaizdoje būtina imtis aktyvių kibernetinio saugumo priemonių. Organizacijos turi išlikti budrios, naudoti patikimus saugumo protokolus ir neatsilikti nuo naujausių kibernetinės gynybos pokyčių. Stiprindama bendradarbiavimą ir dalijimąsi informacija, pasaulinė bendruomenė gali geriau susidoroti su besikeičiančia grėsme, kurią kelia tokios grupės kaip APT42.

Galiausiai „Mandiant“ pateikti apreiškimai yra blaivus priminimas apie nuolatinį ir plačiai paplitusią kibernetinių grėsmių pobūdį. Tobulėjant technologijoms, turi veikti ir mūsų gynyba. Tik bendrais veiksmais ir nenutrūkstamu stropumu galime tikėtis sumažinti valstybės remiamų kibernetinio šnipinėjimo grupių, tokių kaip APT42, keliamą riziką.