A fenyegetettség-felderítéssel foglalkozó Recorded Future a múlt héten tett közzé a 2019 november végétől 2020 január elejéig terjedő időszakról szóló jelentését, amelyben a hálózati forgalom elemzése alapján azonosították egy államilag szponzorált, Iránhoz köthető szervezet újabb kampányát. A legaktívabb iráni hekkercsoportként jellemzett APT33 (máshol Holmium, Refined Kitten, Elfin) már a Microsoft előző tavalyi figyelmeztetése szerint is taktikát váltott, amennyiben hagyományos IT-hálózatok helyett újabban már energetikai és olajipari, illetve gyártórendszerek vezérlői ellen indít támadásokat.

A november végi CyberwarCon konferencián elhangzottak alapján a hekkerek szándéka a felderítés lehet az esetleges későbbi, már fizikai károkat is okozó támadások előtt. A Microsoft minderre nem szolgált közvetlen bizonyítékokkal, mint ahogy a ilyen esetekben ez csak ritkán áll rendelkezésre, a korábbi tapasztalatok és a felhasznált szoftverek mintái azonban gyakran utalnak egyértelműen egy-egy konkrét forrásra. Az APT33 részéről is jegyeztek már korábban hasonló felderítő kampányokat, amelyeket akkor egy adattörlést célzó támadás követett.

A Recorded Future oldala most a Windows, Linux, OSX vagy Android rendszerek megfertőzésére is képes, nyílt forrású PupyRAT malware-ről ír, amely a felhasználónevek, jelszavak és érzékeny információk megszerzésére is alkalmas hozzáférést biztosíthat az érintett hálózatokon. Bár a rosszindulatú szoftver tényleg nyílt természetű, használatát jellemzően az iráni hátterű hekkertevékenységhez szokták kapcsolni – ezen belül is at APT33 csoporthoz, amely már korábban is használta a kritikus infrastruktúrák elleni támadásokra.

A kibertérben is egyre aktívabbak

A kutatók a friss jelentésben ismét arról írnak, hogy a fenti időszakban olyan akciókat figyeltek meg, amelyek során újra felbukkant a PupyRAT malware, az időpontok pedig egybeesést is mutatnak a nemzetközi feszültség feltámadásával Kászim Szulejmáni iráni tábornok meggyilkolását követően. A Recorded Future csak valószínűsíti, hogy a rosszindulatú kódot a spear-phishingnek nevezett precíziós adathalászati módszer segítségével terjesztették. Az egyik célpont, egy kucsfontosságú energiaipari szervezet rendszeréből viszont nagy volumenű adatforgalmat mértek a korábbi PupyRAT kampányokban is azonosított vezérlő infrastruktúrával, ez pedig több mint valószínűvé teszi, hogy kiberkémkedésről van szó.

A ársaság állítólag azonnal tájékoztatta az érintett vállalatot és annak biztonsági szolgáltatóját, hogy még idejében megtehessék a szükséges lépéseket a nagypbb károk elkerülésére. A Recorded Future a jelentésben megállapítja, hogy az iráni és más, államilag szponzorált hekkercsoportok az Egyesült Államokban és Európában is az iparágak széles körében próbálkoznak, az utóbbi időben azonban olyan az energiaszektorban működő társaságok vezérlői és általában a területen koordinációját meghatározó intézmények újabban kiemelt célponttá váltak.

Ahogy arról minden beszámoló rendszeresen megemlékezik, Irán volt az egyik első olyan ország, amelynek hadserege formálisan is külön fegyvernemnek minősítette a kibernetikai hadviselést. Bár még egy-két évvel ezelőtt is arról lehetett olvasni, hogy az általuk jelentett fenyegetés nem mérhető az orosz vagy kínai képességekkel, nagyon is komoly fenyegetésről van szó, ami az idő múlásával egyre számottevőbb lesz. Az ország folyamatosan fejleszti ilyen irányú készségeit, az APT33 pedig már az USA-ban, Szaúd-Arábiában és a jelek szerint Európában is végrehajtott akciókat. A Microsoft fenti közlése szerint a például az előző két hónapban már 2-2 ezer szervezetetnél próbálkoznak a gyakori jelszavakat tartalmazó listákkal, az adott szervezeteknél megtámadott felhasználói profilok száma pedig a tízszeresére nőtt ez alatt az idő alatt.