Nowa grupa hakerska powiązana z Iranem monitoruje działalność konkretnych osób powiązanych z branżą telekomunikacyjną oraz turystyczną. Według najnowszego raportu FireEye głównym motywem działania cyberprzestępców jest kradzież danych.
Specjaliści FireEye zidentyfikowaną grupę hakerów jako „APT39”. Eksperci nie mają pewności, że jest to podmiot sponsorowany przez państwo, jednak wiele wskazuje, iż hakerzy działają na rzecz interesów Iranu. Do tego wniosku przekonuje fakt używania przez cyberprzestępców podobnych narzędzi, jak te, którymi posługiwały się podobne grupy APT33, APT34, Newscaster i Chafer, silnie powiązane z Teheranem.
Cristiana Kittner, główny analityk FireEye, odnosząc się do sprawy APT39 stwierdziła, że skoncentrowanie się hakerów na branży telekomunikacyjnej i turystycznej sugeruje, iż zamierzają oni podejmować działania w zakresie monitorowania, śledzenia lub nadzoru nad konkretnymi osobami, które mają strategiczne znaczenie z punktu widzenia Iranu.
Działania APT39 mają zasięg globalny, jednak według specjalistów FireEye grupa jest skoncentrowana głównie na Bliskim Wschodzie. Raport wskazuje, że aktywność hakerów zaobserwowano w Arabii Saudyjskiej, Iraku, Egipcie, Turcji, Zjednoczonych Emiratach Arabskich, Katarze, Korei Południowej i Stanach Zjednoczonych. Podejrzewa się, że cele cyberprzestępców znajdują się również w Kuwejcie oraz Izraelu.
Eksperci FireEye podkreślają, że ukierunkowanie działań na sektor telekomunikacyjne i turystyczny umożliwia hakerom wyszukanie danych dotyczących m.in. konkretnych klientów. Jak zaznaczyła Cristiana Kittner – „Kluczową misją APT39 jest śledzenie lub monitorowanie celów, będących przedmiotem zainteresowania; gromadzenie danych osobowych, w tym planów podróży; oraz gromadzenie danych klientów od firm telekomunikacyjnych”. Idąc dalej ekspert FireEye tłumaczyła –„ Działalność APT39 stanowi nie tylko zagrożenie dla znanych, wyspecjalizowanych sektorów, ale rozciąga się również na klientów tych organizacji, którzy działają w różnych branżach w skali globalnej”.
Według FireEye APT39 wykorzystuje kombinację narzędzi hakerskich wykonanych na zamówienie i publicznie dostępnych w celu naruszenia systemów swoich celów. Jak mówi treść raportu, pierwszym krokiem hakerów jest prowadzenie kampanii spearphishingowej, w której używane są złośliwe pliki oraz linki do „domen udających legalne serwisy i organizacje”. Zainfekowanie urządzenia skutkuje uzyskaniem przez cyberprzestępców dostępu do systemu, a następnie monitorowanie działalności celu.
Jak wskazuje Cristiana Kittner, grupa APT39 działa od niedawna, jednak nieustannie rośnie poziom jej aktywności. Według ekspert „działalność grupy pokazuje potencjalny globalny zasięg operacyjny Iranu i sposób, w jaki wykorzystuje on cyberataki jako tanie oraz skuteczne narzędzie, ułatwiające gromadzenie kluczowych danych na temat regionalnych i globalnych rywali”.