Iránska štátom sponzorovaná skupina hackerov APT42 zameraná na vládu, mimovládne organizácie a medzivládne organizácie pri získavaní poverení

V oblasti kybernetickej bezpečnosti je prvoradá ostražitosť. Nedávne odhalenia z Google Cloud's Mandiant vrhli svetlo na hanebné aktivity APT42, štátom podporovanej kyberšpionážnej skupiny, o ktorej sa predpokladá, že pôsobí v mene Zboru islamských revolučných gárd (IRGC) v Iráne. S históriou siahajúcou minimálne do roku 2015 sa APT42 ukázal ako významná hrozba zameraná na široké spektrum subjektov vrátane mimovládnych organizácií, vládnych inštitúcií a medzivládnych organizácií.

Spôsob fungovania APT42, ktorý funguje pod rôznymi aliasmi ako Calanque a UNC788, je taký sofistikovaný, ako sa týka. Pomocou taktiky sociálneho inžinierstva sa skupina vydáva za novinárov a organizátorov podujatí, aby infiltrovala siete svojich cieľov. Využitím týchto klamlivých stratégií si APT42 získava dôveru nič netušiacich obetí, čo im umožňuje získať cenné poverenia pre neoprávnený prístup.

Jedným z charakteristických znakov prístupu APT42 je jeho využitie viacerých zadných vrátok na uľahčenie jeho škodlivých aktivít. Mandiantova správa zdôrazňuje nasadenie dvoch nových zadných vrátok pri nedávnych útokoch. Tieto tajné nástroje umožňujú APT42 preniknúť do cloudových prostredí, exfiltrovať citlivé údaje a vyhnúť sa detekcii využitím open source nástrojov a vstavaných funkcií.

Analýza spoločnosti Mandiant ďalej odhaľuje zložitú infraštruktúru, ktorú APT42 využíva vo svojich prevádzkach. Skupina organizuje rozsiahle kampane na získavanie poverení a kategorizuje svoje ciele do troch odlišných skupín. Od maskovania sa za mediálne organizácie až po vydávanie sa za legitímne služby, APT42 využíva rôzne taktiky, aby nalákal svoje obete, aby prezradili svoje prihlasovacie údaje.

Okrem toho, aktivity APT42 presahujú tradičnú kybernetickú špionáž. Skupina preukázala ochotu prispôsobiť svoju taktiku , o čom svedčí aj nasadenie vlastných zadných vrátok, ako sú Nicecurl a Tamecat. Tieto nástroje napísané v jazyku VBScript a PowerShell umožňujú APT42 vykonávať ľubovoľné príkazy a extrahovať citlivé informácie z napadnutých systémov.

Napriek geopolitickému napätiu a regionálnym konfliktom zostáva APT42 vytrvalý v snahe o zhromažďovanie spravodajských informácií. Zistenia spoločnosti Mandiant podčiarkujú odolnosť a vytrvalosť skupiny, keďže sa naďalej zameriava na subjekty spojené s citlivými geopolitickými problémami v USA, Izraeli a mimo nich. Okrem toho prekrývanie aktivít APT42 a aktivít iných iránskych hackerských skupín, ako je Charming Kitten, zdôrazňuje koordinovanú a mnohostrannú povahu iránskych kybernetických operácií.

Zoči-voči takýmto hrozbám sú nevyhnutné proaktívne opatrenia v oblasti kybernetickej bezpečnosti. Organizácie musia zostať ostražité, používať robustné bezpečnostné protokoly a držať krok s najnovším vývojom v oblasti kybernetickej obrany. Posilnením spolupráce a zdieľania informácií môže globálna komunita lepšie čeliť vyvíjajúcim sa hrozbám, ktoré predstavujú skupiny ako APT42.

V konečnom dôsledku slúžia odhalenia poskytnuté Mandiantom ako triezva pripomienka pretrvávajúcej a všadeprítomnej povahy kybernetických hrozieb. Ako technológia neustále napreduje, tak musí napredovať aj naša obrana. Len prostredníctvom kolektívnej akcie a neochvejnej usilovnosti môžeme dúfať, že zmiernime riziká, ktoré predstavujú štátom sponzorované skupiny kybernetických špionáží, ako je APT42.