กลุ่มแฮ็กเกอร์ APT42 ที่ได้รับการสนับสนุนจากรัฐอิหร่าน มุ่งเป้าไปที่รัฐบาล องค์กรพัฒนาเอกชน และองค์กรระหว่างรัฐบาลเพื่อเก็บเกี่ยวข้อมูลรับรอง
ในขอบเขตของความปลอดภัยทางไซเบอร์ ความระมัดระวังเป็นสิ่งสำคัญยิ่ง การเปิดเผยล่าสุดจาก Mandiant ของ Google Cloud เผยให้เห็นถึงกิจกรรมที่ชั่วร้ายของ APT42 ซึ่งเป็นกลุ่มจารกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ ซึ่งเชื่อว่าดำเนินการในนามของกองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC) ในอิหร่าน ด้วยประวัติศาสตร์ย้อนหลังไปถึงปี 2015 เป็นอย่างน้อย APT42 ได้กลายเป็นภัยคุกคามที่สำคัญ โดยมุ่งเป้าไปที่องค์กรต่างๆ มากมาย รวมถึง NGO สถาบันของรัฐ และองค์กรระหว่างรัฐบาล
การดำเนินงานภายใต้นามแฝงต่างๆ เช่น Calanque และ UNC788 วิธีการดำเนินการของ APT42 นั้นซับซ้อนไม่แพ้กัน กลุ่มนี้ใช้กลยุทธ์วิศวกรรมสังคมโดยปลอมตัวเป็นนักข่าวและผู้จัดงานเพื่อแทรกซึมเครือข่ายของเป้าหมาย ด้วยการใช้ประโยชน์จากกลยุทธ์หลอกลวงเหล่านี้ APT42 ได้รับความไว้วางใจจากเหยื่อที่ไม่สงสัย ช่วยให้พวกเขาเก็บเกี่ยวข้อมูลรับรองอันมีค่าสำหรับการเข้าถึงโดยไม่ได้รับอนุญาต
จุดเด่นประการหนึ่งของแนวทางของ APT42 คือการใช้ประโยชน์จากแบ็คดอร์หลายตัวเพื่ออำนวยความสะดวกในกิจกรรมที่เป็นอันตราย รายงานของ Mandiant เน้นย้ำถึงการใช้งานแบ็คดอร์ใหม่สองตัวในการโจมตีครั้งล่าสุด เครื่องมือลับเหล่านี้ช่วยให้ APT42 แทรกซึมสภาพแวดล้อมคลาวด์ ขโมยข้อมูลที่ละเอียดอ่อน และหลบเลี่ยงการตรวจจับโดยใช้ประโยชน์จากเครื่องมือโอเพ่นซอร์สและฟีเจอร์ในตัว
การวิเคราะห์ของ Mandiant ยังเผยให้เห็นเพิ่มเติมถึงโครงสร้างพื้นฐานที่ซับซ้อนที่ APT42 ใช้ในการดำเนินงาน กลุ่มนี้จัดเตรียมแคมเปญการเก็บเกี่ยวหนังสือรับรองอย่างกว้างขวาง โดยแบ่งประเภทเป้าหมายออกเป็นสามกลุ่มที่แตกต่างกัน ตั้งแต่การปลอมตัวเป็นองค์กรสื่อไปจนถึงการแอบอ้างเป็นบริการที่ถูกต้องตามกฎหมาย APT42 ใช้กลยุทธ์ที่หลากหลายเพื่อหลอกล่อเหยื่อให้เปิดเผยข้อมูลรับรองการเข้าสู่ระบบของพวกเขา
นอกจากนี้ กิจกรรมของ APT42 ยังขยายไปไกลกว่าการจารกรรมทางไซเบอร์แบบเดิมๆ กลุ่มนี้ได้แสดงให้เห็นถึงความเต็มใจที่จะ ปรับกลยุทธ์ ดังที่เห็นได้จากการติดตั้งแบ็คดอร์แบบกำหนดเอง เช่น Nicecurl และ Tamecat เครื่องมือเหล่านี้เขียนด้วย VBScript และ PowerShell ตามลำดับ ช่วยให้ APT42 สามารถรันคำสั่งที่กำหนดเองและดึงข้อมูลที่ละเอียดอ่อนออกจากระบบที่ถูกบุกรุกได้
แม้จะมีความตึงเครียดทางภูมิรัฐศาสตร์และความขัดแย้งในภูมิภาค แต่ APT42 ยังคงแน่วแน่ในการแสวงหาการรวบรวมข่าวกรอง การค้นพบของ Mandiant เน้นย้ำถึงความยืดหยุ่นและความอุตสาหะของกลุ่ม โดยยังคงมุ่งเป้าไปที่หน่วยงานที่เกี่ยวข้องกับปัญหาภูมิรัฐศาสตร์ที่มีความละเอียดอ่อนในสหรัฐอเมริกา อิสราเอล และที่อื่นๆ นอกจากนี้ ความทับซ้อนกันระหว่างกิจกรรมของ APT42 กับกิจกรรมของกลุ่มแฮ็กชาวอิหร่านอื่นๆ เช่น Charming Kitty เน้นให้เห็นถึงลักษณะการประสานงานและหลายแง่มุมของการปฏิบัติการทางไซเบอร์ของอิหร่าน
เมื่อเผชิญกับภัยคุกคามดังกล่าว มาตรการรักษาความปลอดภัยทางไซเบอร์เชิงรุกจึงมีความจำเป็น องค์กรต่างๆ จะต้องระมัดระวังการใช้โปรโตคอลความปลอดภัยที่แข็งแกร่ง และติดตามการพัฒนาล่าสุดในการป้องกันทางไซเบอร์ ด้วยการปรับปรุงการทำงานร่วมกันและการแบ่งปันข้อมูล ชุมชนทั่วโลกสามารถเผชิญหน้ากับภาพรวมภัยคุกคามที่เปลี่ยนแปลงไปจากกลุ่มต่างๆ เช่น APT42 ได้ดียิ่งขึ้น
ท้ายที่สุดแล้ว การเปิดเผยที่ Mandiant มอบให้นั้นทำหน้าที่เป็นเครื่องเตือนใจถึงธรรมชาติของภัยคุกคามทางไซเบอร์ที่แพร่หลายและต่อเนื่อง เมื่อเทคโนโลยีก้าวหน้าอย่างต่อเนื่อง การป้องกันของเราก็ต้องเช่นกัน มีเพียงการดำเนินการร่วมกันและความขยันหมั่นเพียรอย่างแน่วแน่เท่านั้นที่เราจะสามารถลดความเสี่ยงที่เกิดจากกลุ่มจารกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ เช่น APT42