Reklama

Cyberbezpieczeństwo

Ujawniono szczegóły o hakerach z Iranu. "Rozumieją możliwości inżynierii wstecznej"

Firma cyberbezpieczeństwa Mandiant zidentyfikowała duże grono backdoorów i narzędzi wykorzystywanych przez irańskich hakerów. Jak konkretnie działają?
Firma cyberbezpieczeństwa Mandiant zidentyfikowała duże grono backdoorów i narzędzi wykorzystywanych przez irańskich hakerów. Jak konkretnie działają?
Autor. By آرش - Own work, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=15516638

Hakerzy z grupy UNC1860 opracowali specjalistyczne narzędzia i backdoory, które wykorzystują na całym Bliskim Wschodzie – ostrzega Mandiant. Eksperci wskazują, że adwersarza wspiera irańskie Ministerstwo Wywiadu i Bezpieczeństwa, a cele obejmują sieci o wysokim priorytecie.

W ciągu ostatnich dwóch lat pojawiły się doniesienia o operacjach przeprowadzonych w Albanii oraz Izraelu. Pierwszą z nich opisywaliśmy na naszych łamach we wrześniu 2022 roku; ówczesne informacje wskazywały hakerów z Iranu jako sprawców incydentu.

Czytaj też

Reklama

Znamy szczegóły działań hakerów z Iranu

Teraz jednak pojawiły się informacje, które rzucają nieco więcej światła na tamte zdarzenia. Jak bowiem ujawnili eksperci z Mandiant, narzędzia użyte w ówczesnych atakach wskazują, że początkowy dostęp w ramach tych operacji zapewnił aktor zagrożeń UNC1860.

Co istotne, hakerzy należący do tej grupy dysponują dosłownym arsenałem narzędzi i backdoorów, stworzonych do uzyskiwania stałego dostępu w sieciach swoich ofiar. Jednym z nich jest przeprojektowany sterownik trybu jądra systemu Windows, pochodzący z irańskiego antywirusa.

„Możliwości te pokazują, że UNC1860 jest potężnym aktorem, który prawdopodobnie wspiera różne cele, od szpiegostwa po operacje ataków sieciowych” – wskazał Mandiant.

Zasięg ich działań obejmuje cały Bliski Wschód.

Czytaj też

Reklama

Współpraca z innymi aktorami. „Doskonale rozumieją system Windows"

Ekspertom z firmy zajmującej się cyberbezpieczeństwem udało się ustalić, że hakerzy dysponują dwoma kontrolerami malware: TEMPLEPLAY oraz VIROGREEN. Ten pierwszy komunikuje się z backdoorem TEMPLEDOOR, który jest instalowany za pośrednictwem droppera SASHEYAWAY. Z kolei VIROGREEN utrzymuje łączność z modułami BASEWALK oraz STAYSHANTE. Oba są sterowane za pomocą specjalnego GUI.

Mandiant wskazuje, że UNC1860 utrzymuje cały zbiór pasywnych narzędzi umożliwiających dostęp i ruch boczny, co jest kluczową cechą grupy. „Grupa doskonale rozumie system operacyjny Windows i rozwiązania do wykrywania sieci, możliwości inżynierii wstecznej komponentów jądra Windows oraz unikania wykrywania” – napisano w stanowisku.

Dodatkowo, eksperci znaleźli również dowody na wykorzystanie przez hakerów takich samych narzędzi, co grupa APT34. Ich zdaniem, jest to wyraźny dowód na współpracę obu aktorów i status UNC1860 jako agenta początkowego dostępu.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Komentarze

    Reklama