Cyberbezpieczeństwo
Ujawniono szczegóły o hakerach z Iranu. "Rozumieją możliwości inżynierii wstecznej"
Autor. By آرش - Own work, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=15516638
Hakerzy z grupy UNC1860 opracowali specjalistyczne narzędzia i backdoory, które wykorzystują na całym Bliskim Wschodzie – ostrzega Mandiant. Eksperci wskazują, że adwersarza wspiera irańskie Ministerstwo Wywiadu i Bezpieczeństwa, a cele obejmują sieci o wysokim priorytecie.
W ciągu ostatnich dwóch lat pojawiły się doniesienia o operacjach przeprowadzonych w Albanii oraz Izraelu. Pierwszą z nich opisywaliśmy na naszych łamach we wrześniu 2022 roku; ówczesne informacje wskazywały hakerów z Iranu jako sprawców incydentu.
Czytaj też
Znamy szczegóły działań hakerów z Iranu
Teraz jednak pojawiły się informacje, które rzucają nieco więcej światła na tamte zdarzenia. Jak bowiem ujawnili eksperci z Mandiant, narzędzia użyte w ówczesnych atakach wskazują, że początkowy dostęp w ramach tych operacji zapewnił aktor zagrożeń UNC1860.
Co istotne, hakerzy należący do tej grupy dysponują dosłownym arsenałem narzędzi i backdoorów, stworzonych do uzyskiwania stałego dostępu w sieciach swoich ofiar. Jednym z nich jest przeprojektowany sterownik trybu jądra systemu Windows, pochodzący z irańskiego antywirusa.
„Możliwości te pokazują, że UNC1860 jest potężnym aktorem, który prawdopodobnie wspiera różne cele, od szpiegostwa po operacje ataków sieciowych” – wskazał Mandiant.
Zasięg ich działań obejmuje cały Bliski Wschód.
Czytaj też
Współpraca z innymi aktorami. „Doskonale rozumieją system Windows"
Ekspertom z firmy zajmującej się cyberbezpieczeństwem udało się ustalić, że hakerzy dysponują dwoma kontrolerami malware: TEMPLEPLAY oraz VIROGREEN. Ten pierwszy komunikuje się z backdoorem TEMPLEDOOR, który jest instalowany za pośrednictwem droppera SASHEYAWAY. Z kolei VIROGREEN utrzymuje łączność z modułami BASEWALK oraz STAYSHANTE. Oba są sterowane za pomocą specjalnego GUI.
Mandiant wskazuje, że UNC1860 utrzymuje cały zbiór pasywnych narzędzi umożliwiających dostęp i ruch boczny, co jest kluczową cechą grupy. „Grupa doskonale rozumie system operacyjny Windows i rozwiązania do wykrywania sieci, możliwości inżynierii wstecznej komponentów jądra Windows oraz unikania wykrywania” – napisano w stanowisku.
Dodatkowo, eksperci znaleźli również dowody na wykorzystanie przez hakerów takich samych narzędzi, co grupa APT34. Ich zdaniem, jest to wyraźny dowód na współpracę obu aktorów i status UNC1860 jako agenta początkowego dostępu.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
