Irānas valsts sponsorētā APT42 hakeru grupa, kuras mērķis ir valdība, NVO un starpvaldību organizācijas, lai iegūtu akreditācijas datus

Kiberdrošības jomā modrība ir vissvarīgākā. Nesenie Google Cloud Mandiant atklājumi atklāj APT42 — valsts sponsorētas kiberspiegošanas grupas, kas, domājams, darbojas Islāma revolūcijas gvardes korpusa (IRGC) uzdevumā, — negodīgās darbības Irānā. Tā kā vēsture aizsākās vismaz 2015. gadā, APT42 ir kļuvis par nopietnu apdraudējumu, kas ir vērsts uz plašu subjektu loku, tostarp NVO, valdības iestādēm un starpvaldību organizācijām.

Darbojoties ar dažādiem aizstājvārdiem, piemēram, Calanque un UNC788, APT42 darbības veids ir tikpat sarežģīts, cik tas attiecas. Izmantojot sociālās inženierijas taktiku, grupa uzdodas kā žurnālisti un pasākumu rīkotāji, lai iefiltrētos savu mērķu tīklos. Izmantojot šīs maldinošās stratēģijas, APT42 iegūst nenojaušot upuru uzticību, ļaujot tiem iegūt vērtīgus akreditācijas datus nesankcionētai piekļuvei.

Viena no APT42 pieejas iezīmēm ir vairāku aizmugures durvju izmantošana, lai veicinātu ļaunprātīgas darbības. Mandiant ziņojumā uzsvērta divu jaunu aizmugures durvju izvietošana pēdējos uzbrukumos. Šie slepenie rīki ļauj APT42 iefiltrēties mākoņa vidē, izfiltrēt sensitīvus datus un izvairīties no atklāšanas, izmantojot atvērtā koda rīkus un iebūvētās funkcijas.

Mandiant analīze vēl vairāk atklāj sarežģīto infrastruktūru, ko APT42 izmanto savās darbībās. Grupa organizē plašas akreditācijas datu vākšanas kampaņas, klasificējot savus mērķus trīs atšķirīgās kopās. No maskēšanās par mediju organizācijām līdz uzdošanās par likumīgiem pakalpojumiem, APT42 izmanto dažādas taktikas, lai mudinātu savus upurus izpaust savus pieteikšanās akreditācijas datus.

Turklāt APT42 darbības pārsniedz tradicionālo kiberspiegošanu. Grupa ir izrādījusi gatavību pielāgot savu taktiku , par ko liecina tās pielāgoto aizmugures durvju, piemēram, Nicecurl un Tamecat, izvietošana. Šie rīki, kas rakstīti attiecīgi VBScript un PowerShell, ļauj APT42 izpildīt patvaļīgas komandas un iegūt sensitīvu informāciju no apdraudētām sistēmām.

Neskatoties uz ģeopolitisko spriedzi un reģionālajiem konfliktiem, APT42 joprojām ir nelokāms, cenšoties vākt izlūkdatus. Mandiant atklājumi uzsver grupas noturību un neatlaidību, jo tā turpina mērķēt uz vienībām, kas saistītas ar jutīgiem ģeopolitiskiem jautājumiem ASV, Izraēlā un ārpus tās. Turklāt APT42 un citu Irānas hakeru grupu, piemēram, Charming Kitten, darbību pārklāšanās izceļ Irānas kiberoperāciju koordinēto un daudzpusīgo raksturu.

Saskaroties ar šādiem draudiem, obligāti ir jāveic proaktīvi kiberdrošības pasākumi. Organizācijām ir jāsaglabā modrība, jāizmanto stabili drošības protokoli un jāseko līdzi jaunākajiem sasniegumiem kiberaizsardzības jomā. Uzlabojot sadarbību un informācijas apmaiņu, globālā sabiedrība var labāk stāties pretī mainīgajiem draudiem, ko rada tādas grupas kā APT42.

Galu galā Mandiant sniegtās atklāsmes kalpo kā prātīgs atgādinājums par kiberdraudu pastāvīgo un visaptverošo raksturu. Tā kā tehnoloģija turpina attīstīties, ir jāattīstās arī mūsu aizsardzībai. Tikai ar kolektīvu rīcību un nelokāmu centību mēs varam cerēt mazināt riskus, ko rada valsts sponsorētas kiberspiegošanas grupas, piemēram, APT42.