Buzz
Cơ quan tình báo quốc tế luôn quan tâm đặc biệt đến hoạt động hack của Iran. Và nghiên cứu mới được công bố bởi công ty an ninh FireEye vào thứ Năm cho thấy nỗ lực của đất nước này không có dấu hiệu chậm lại. Trên thực tế, một nhóm khảo sát mạng lưới mới - FireEye gọi họ là Mối Đe Dọa Kiên Định Tiến Tiến 34 - đã dành vài năm qua để xâm nhập sâu vào các công ty hạ tầng quan trọng.
Với cách Iran đã chủ động theo đuổi việc hack hạ tầng, trước đây hướng tới ngành tài chính và thậm chí là một con đập ở Upstate New York, các phát hiện mới đây đóng vai trò như một cảnh báo, nhấn mạnh sự tiến hóa của mối đe dọa.
Các nhà nghiên cứu FireEye đã theo dõi 34 cuộc tấn công của nhóm này vào các tổ chức ở bảy quốc gia Trung Đông từ năm 2015 đến giữa năm 2017, nhưng cho biết APT 34 đã hoạt động ít nhất từ năm 2014. Nhóm này có vẻ như nhắm vào các công ty tài chính, năng lượng, viễn thông và hóa chất, và FireEye nói rằng họ có mức độ tin cậy trung bình rằng các tin tặc của họ là người Iran. Họ đăng nhập vào VPN từ địa chỉ IP của Iran, tuân theo giờ làm việc thông thường của người Iran, công việc của họ đôi khi rò rỉ địa chỉ và số điện thoại của người Iran, và nỗ lực của họ phù hợp với lợi ích của Iran. Cụ thể, nhắm vào các đối thủ của đất nước này.
Kẻ Tin Tặc Mới Trong Khu Vực
Không có bằng chứng xác định về một liên kết trực tiếp giữa APT 34 và APT 33, một nhóm tin tặc Iran và nhà phân phối phần mềm độc hại FireEye đã công bố các phát hiện vào tháng 9. Nhưng các nhà nghiên cứu đã thấy APT 34 hoạt động đồng thời bên trong nhiều mạng mục tiêu giống như các tin tặc Iran khác.
"Chúng tôi đã thấy, và điều này xảy ra với nhiều nhóm tin tặc Iran, một tư thế rất đáng lo ngại hoặc quyết liệt đối với các tổ chức hạ tầng quan trọng," nói John Hultquist, giám đốc phân tích tình báo tại FireEye. "APT 33 đã nhắm vào nhiều tổ chức trong hạ tầng quan trọng ở Trung Đông và APT 34 cũng vậy. Họ rõ ràng đại diện cho cơ hội thu thập thông tin tình báo. Nhưng chúng ta luôn phải suy nghĩ về việc sử dụng thay thế của những xâm nhập hoặc truy cập đó như là phương tiện có thể gây rối loạn và phá hủy, đặc biệt là khi chúng ta đã thấy các vụ việc phá hủy đã xảy ra với các nhóm tin tặc Iran khác."
Để thành lập những gì Hultquist mô tả là các điểm đầu cầu, APT 34 sử dụng các hoạt động phức tạp để tiến sâu hơn và sâu hơn vào một mạng, hoặc tận dụng một lỗ hổng trong một tổ chức để chuyển đổi sang một tổ chức khác. FireEye đã quan sát nhóm này xâm nhập vào tài khoản email của một công ty mục tiêu, lục lọi qua hồ sơ của họ và khởi động lại các thảo luận cũ tới một năm, để đánh lừa người nhận nhấp vào một tập tin đính kèm độc hại. Các tin tặc cũng sử dụng các tài khoản email bị chiếm đóng để tấn công spearphish các công ty khác, và chuyển đến hệ thống của họ nốt.
Mặc dù hoạt động hack của APT 34 từ Iran không có vẻ nhắm vào Hoa Kỳ, nhưng mọi nỗ lực từ Iran trong không gian đó đều đáng chú ý. Hai quốc gia này có một lịch sử dài về mâu thuẫn cyber, bao gồm triển khai Stuxnet, phần mềm độc hại được cho là sản phẩm của NSA và các đối tác Israel của họ, để làm suy yếu hoạt động làm giàu uranium của Iran. Căng thẳng giữa các quốc gia cũng đã leo thang gần đây, với Tổng thống Donald Trump gần đây đã thực hiện các bước để không chứng nhận thỏa thuận hạt nhân giữa Mỹ và Iran.
'Một Phương pháp Đa Tầng'
APT 34 sử dụng các macro Excel độc hại và khai thác dựa trên PowerShell để di chuyển trong các mạng. Nhóm cũng có các hoạt động truyền thông xã hội khá rộng lớn, triển khai các tài khoản giả mạo hoặc bị chiếm đóng để nắm bắt các mục tiêu có tầm quan trọng cao, và sử dụng kỹ thuật xã hội để tiếp cận gần hơn với các tổ chức cụ thể. Các nhà nghiên cứu của FireEye suy đoán rằng APT 34 có thể là một đơn vị khảo sát và duy trì, tập trung vào việc tìm cách vào các mạng mới và mở rộng quyền truy cập trong các mục tiêu hiện có. Một số bằng chứng cho thấy nhóm có thể làm việc trực tiếp cho chính phủ Iran, nhưng cũng có khả năng rằng các tin tặc hiệu quả là những nhà thầu, bán các lối tắt cho chính phủ khi họ tìm thấy chúng.
"Khi bạn nhìn vào điều này, đó là một phương pháp đa tầng," nói Jeff Bardin, giám đốc tình báo chính của công ty theo dõi mối đe dọa Treadstone 71, một tổ chức theo dõi hoạt động hack của Iran. "Họ xâm nhập và thực hiện rất nhiều sửa đổi, tải xuống phần mềm độc hại mới, can thiệp vào bộ nhớ, vì vậy chắc chắn là khá phức tạp. Và hoạt động Powershell gần đây đã phần lớn trở thành đặc điểm của hoạt động của Iran. Họ thay đổi chiến thuật của họ liên tục. Càng tiết lộ nhiều điều chúng ta biết về họ, họ sẽ chuyển đổi và thay đổi nhiều hơn."
Mặc dù còn rất nhiều điều chưa biết về APT 34, nhưng khả năng và tài năng của nhóm làm cho sự quan tâm của họ đến các mục tiêu hạ tầng quan trọng trở nên đáng chú ý hơn, dù họ được giao nhiệm vụ thực hiện hoạt động đầy đủ hay được giao nhiệm vụ chuẩn bị điều kiện cho người khác làm vậy.
"Đây là một ví dụ khác về khả năng cyber của Iran, mà chỉ dường như ngày càng phát triển," Hultquist của FireEye nói. "Đây là một thách thức đối với những người quan tâm đến các hoạt động của các nhóm tin tặc Iran, và khi địa chính trị thay đổi, số lượng người quan tâm đến các nhóm tin tặc Iran cũng có thể sẽ tăng lên."
