ABD Hazine Bakanlığı Dış Varlıkları Kontrol Ofisi (OFAC) Çarşamba günü, İran İslam Devrim Muhafızları (IRGC) tarafından desteklenen on kişi ve iki kuruluşa, en az Ekim 2020’den bu yana fidye yazılımı saldırılarına katıldıkları için kapsamlı yaptırımlar uygulandığını duyurdu.
Ajans, bireyler tarafından oluşturulan siber faaliyetin kısmen APT35, Charming Kitten, Nemesis Kitten, Phosphorus ve TunnelVision isimleri altında izlenen izinsiz giriş setlerine atfedilebileceğini söyledi.
Hazine, “Bu grup, dünya genelindeki kuruluşlara ve yetkililere karşı, özellikle ABD ve Orta Doğu savunma, diplomatik ve hükümet personelinin yanı sıra medya, enerji, ticari hizmetler ve telekomünikasyon dahil olmak üzere özel sektörleri hedef alan kapsamlı kampanyalar başlattı.” Dedi.
Cobalt Mirage, DEV-0270 ve UNC2448 olarak da bilinen Nemesis Kitten oyuncusu, Microsoft’un yerleşik BitLocker aracını kullanarak fırsatçı gelir elde etmek için fidye yazılımı saldırıları modeli nedeniyle son aylarda tarayıcının altına girdi. cihazlar.
Microsoft ve Secureworks, DEV-0270’i TunnelVision olarak adlandırılan başka bir aktörle bağları olan bir Fosfor (aka Kobalt İllüzyonu) alt grubu olarak nitelendirdi. Windows yapımcısı ayrıca, “DEV-0270’in bazı fidye yazılımı saldırılarının, kişisel veya şirkete özel gelir üretimi için bir tür ay ışığı olduğunu” düşük bir güvenle değerlendirdi.
Dahası, Google’a ait Mandiant’ın yanı sıra iki siber güvenlik firmasının bağımsız analizleri, grubun her ikisi de ABD yaptırımlarına tabi olan Najee Technology (Secnerd ve Lifeweb takma adları altında faaliyet gösteren) ve Afkar System adlı iki şirketle bağlantılarını ortaya çıkardı. .
Najee Technology ve Afkar System’in İran istihbarat teşkilatıyla olan bağlantılarının ilk olarak Lab Dookhtegan adlı anonim bir İran karşıtı rejim kuruluşu tarafından işaretlendiğini belirtmekte fayda var. daha erken Bu yıl.
Secureworks, Cobalt Mirage’ın faaliyetlerini detaylandıran yeni bir raporda, “İran hükümetinin müteahhitleri kullanan istihbarat fonksiyonları modeli, hükümet tarafından görevlendirilen eylemler ile özel şirketin kendi inisiyatifiyle gerçekleştirdiği eylemler arasındaki çizgileri bulanıklaştırıyor.” Dedi.
İki şirket ile IRGC arasındaki kesin bağlantılar belirsizliğini koruyor olsa da, ITSecTeam (ITSEC), Mersad, Emennet Pasargad ve Rana Intelligence da dahil olmak üzere, cephe görevi gören veya istihbarat operasyonlarına destek sağlayan özel İranlı firmaların yöntemi yıllar içinde iyi kurulmuş durumda. Bilgisayar Şirketi.
Bunun üzerine, Secureworks’ün Haziran 2022’deki bir Kobalt Mirage olayına ilişkin soruşturması, fidye metnini içeren bir PDF dosyasıyla ilişkili meta verilerin, İran şirketi Afkar System’in CEO’su ve sahibi olan Ahmed Khatibi’yi yaratıcısı olarak etiketlediğini gösterdi.
Ahmad Khatibi Aghda ayrıca, Najee Technology CEO’su Mansour Ahmadi ve iki şirketin tanınmış güvenlik açıklarından yararlanarak çeşitli ağları hedef almakta suç ortağı olduğu söylenen diğer çalışanların yanı sıra ABD tarafından yaptırım uygulanan 10 kişi arasında yer alıyor. sonraki saldırılara ilk erişim elde etmek için.
IRGC’ye bağlı aktör faaliyetinin bir parçası olarak Avustralya, Kanada, İngiltere ve ABD tarafından yayınlanan ortak bir siber güvenlik tavsiyesine göre, istismar edilen kusurlardan bazıları şunlardır:
- Fortinet FortiOS yol geçiş güvenlik açığı (CVE-2018-13379)
- Fortinet FortiOS varsayılan yapılandırma güvenlik açığı (CVE-2019-5591)
- Fortinet FortiOS SSL VPN 2FA atlama (CVE-2020-12812)
- ProxyShell (CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207) ve
- Log4Shell (CVE-2021-44228, CVE-2021-45046 ve/veya CVE-2021-45105)
ABD hükümeti, onu FBI’ın En Çok Arananlar listesine eklemenin yanı sıra, “Khatibi, ağı BitLocker ile şifrelemek ve şifre çözme anahtarları için fidye talep etmek için kurban ağlarına yetkisiz erişim elde eden siber aktörler arasında yer alıyor” dedi.
“Bu kötü niyetli siber grubun faaliyetlerini ilerletmek için kullanılan ağ altyapısını kiraladı, kurbanların ağlarını tehlikeye atmaya katıldı ve kurbanlarla fidye görüşmeleri yaptı.”
Yaptırımlarla aynı zamana denk gelen Adalet Bakanlığı, ayrı ayrı Ahmedi, Khatibi ve Amir Hossein Nickaein Ravari adlı üçüncü bir İranlıyı ABD, İsrail ve İran’da bulunan mağdurlara zarar ve ziyan vermek için cezai bir gasp planına katılmakla suçladı.
Her üç kişi de bilgisayar sahtekarlığı ve bilgisayarlarla bağlantılı faaliyetlerde bulunmak için komplo kurmakla suçlandı; korunan bir bilgisayara kasıtlı olarak zarar vermenin bir sayısı; ve korunan bir bilgisayara zarar vermeyle ilgili olarak bir talebin iletilmesinin bir sayısı. Ahmadi ayrıca korumalı bir bilgisayara kasten zarar vermekle suçlanıyor.
Hepsi bu değil. ABD Dışişleri Bakanlığı ayrıca Mansour, Khatibi ve Nikaeen ve nerede oldukları hakkında herhangi bir bilgi için 10 milyon dolara kadar para ödülü açıkladı.
Başsavcı Yardımcısı Matthew, “Bu sanıklar, kritik altyapı sağlayıcıları da dahil olmak üzere kurbanları kişisel kazançları için hackliyor ve gasp ediyor olabilir, ancak suçlamalar, suçluların İran Hükümeti’nin yarattığı ve sorumlu olduğu güvenli bölgede nasıl gelişebileceğini yansıtıyor.” dedi Olsen.
Gelişme, ABD’nin İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) ve İstihbarat Bakanı Esmaeil Khatib’e ülkeye ve müttefiklerine karşı siber etkin faaliyetlerde bulundukları için uyguladığı yaptırımların hemen ardından geliyor.