A Mandiant átfogó jelentést tett közzé, amelyben részletesen bemutatja az iráni állam által támogatott, APT42 nevű hackercsoportot, melynek elsődleges feladata az iráni kormány számára stratégiai érdekeltségű személyek és szervezetekről információgyűjtési és megfigyelési műveletek végrehajtása.
Az APT42 az Iszlám Forradalom Gárdájának hadserege (Islamic Revolutionary Guard Corps – IRGC) berkein belül működő saját hírszerző szervezetének (Islamic Revolutionary Guard Corps – Intelligence Organization, azaz IRGC-IO) nevében tevékenykedik. A csoport műveletei során – minden valószínűség szerint- bizalmas kapcsolatokat épít ki áldozataival, többek között kormányzati tisztviselőkkel, korábbi iráni döntéshozókkal vagy politikusokkal, az iráni diaszpóra tagjaival és ellenzéki csoportok vezetőivel, valamint újságírókkal. Kiberkémkedési tevékenységük kiterjed még az Iránnal kapcsolatos kutatásokban részt vevő tudósok személyes és vállalati e-mail fiókjainak feltörésére, és az ott található szenzitív információk megszerzésére. A Mandiant által felállított minták szerint a csoport a hozzáférés megszerzése után olyan mobil kártevőket telepít az áldozatok eszközeire, amelyek képesek a tartózkodási helyük meghatározására, a videókhoz és képekhez való hozzáférésre, valamint teljes SMS fiók monitorozására.
A teljes közzétett jelentés kitér az APT42 közelmúltbeli és korábbi, legalább 2015-ig visszanyúló tevékenységére, részletesebb bemutatja a csoport taktikáit, technikáit és eljárásait (TTP-k), a célzott támadási mintákat, és megvilágítja az APT35-höz fűződő történelmi kapcsolatát.
APT42 műveletek
Az APT42 rendkívül célzott spear-phishing és social engineering technikákat használ annak érdekében, hogy bizalmat és kapcsolatot építsen ki áldozataival. Céljuk, hogy hozzáférjenek az áldozatok személyes vagy vállalati e-mail fiókjaihoz, vagy Androidos eszközeikre malware-t telepítsenek. Mindezek mellett az APT42 ritkább esetekben Windows-os malware-t is használ, hogy kiegészítse a hitelesítő adatok begyűjtésére és megfigyelésére irányuló erőfeszítéseit.
Az APT42 műveletei nagyjából három kategóriába sorolhatók:
1. Hitelesítési adatok begyűjtése
Az APT42 gyakran rendkívül célzott spear-phishing kampányok révén fér hozzá vállalati és személyes e-mail fiókokhoz, amelyek során fokozott hangsúlyt fektetnek a célpontokkal való bizalomépítésre és kapcsolatépítésre. Természetesen ezt még az előtt teszik, mielőtt megpróbálják ellopni a hitelesítő adatokat. A Mandiantnak arra utaló jelek is vannak, hogy a csoport a hitelesítő adatok begyűjtésével többfaktoros hitelesítési (MFA) kódokat is gyűjt a hitelesítési módszerek megkerülésére. A kompromittált hitelesítő adatokat arra használja, hogy hozzáférjen az áldozat kapcsolati hálójához (munkáltató, munkatársak, rokonainak, legjobb barátok), valamint az ő eszközeikhez és fiókjaikhoz. Vagy legalábbis képbe kerüljenek velük kapcsolatosan, akár egy terjedelmesebb profilt felépítve az illetőről.
3. Megfigyelési műveletek
Legalább 2015 végétől kezdve az APT42 infrastruktúrájának egy része command-and-control (C2) szerverként szolgált az Android mobilos rosszindulatú szoftverek számára, amelyek célja a tartózkodási helyek nyomon követése, a kommunikáció megfigyelése és általában az iráni kormány számára érdekes személyek, köztük az Iránon belüli aktivisták és másként gondolkodók tevékenységének megfigyelése.
3. Kártékony programok telepítése
Bár az APT42 elsősorban a hitelesítő adatok begyűjtését részesíti előnyben, számos egyéni back door-ral és káros kóddal egészíti ki az arzenálját. A csoport valószínűleg egyre sűrűbben építi be ezeket az eszközöket a műveleteibe, főleg akkor, amikor a céljaik túlmutatnak a hitelesítő adatok begyűjtésén.
APT42 műveletek kategóriák szerint
A Mandiant 2015 eleje óta több mint 30 megerősített APT42 célzott műveletet figyelt meg, amelyek ezeket a kategóriákat ölelik fel. Az APT42 műveleteinek – pláne behatolási kísérleteinek – teljes száma szinte biztosan sokkal magasabb.
APT42 célzási mintái
Az APT42 műveleteinek célzási mintái hasonlóak más iráni kiberkémkedési szereplőkéhez, és tevékenységének nagy része a közel-keleti régióra összpontosít. Az IRGC-hez köthető más feltételezett kiberkémkedő csoportokkal ellentétben az APT42 elsősorban a rezsim ellenfeleinek vagy ellenségeinek tartott szervezeteket és személyeket veszi célba, különösen a személyes fiókokhoz és mobileszközhoz való hozzáférést tartják szem előtt. A csoport következetesen nyugati agytrösztöket, kutatókat, újságírókat, jelenlegi nyugati kormánytisztviselőket, volt iráni kormánytisztviselőket és a külföldi iráni diaszpórát veszi célba.
Az APT42 egyes tevékenységei arra utalnak, hogy a csoport az iráni prioritások alakulásának megfelelően változtatja operatív fókuszát, így tett például a 2020 márciusában – a COVID-19 járvány kezdetén -, mikor a gyógyszeripari ágazat ellen irányultak célzott műveleteik, valamint az iráni elnökválasztás előtt is, amikor pedig a belföldi és külföldi székhelyű ellenzéki csoportokról gyűjtött információkat. Ez azt jelzi, hogy az iráni kormány megbízik az APT42-ben és a csoport rugalmasságát, eszközeit saját operatív érdekeihez igazítja, úgy, hogy a célpontok a legtöbb esetben valamilyen úton-módon az iráni kormány bírálói, elenségei, ellenzői közül kerülnek ki.
Az APT42 a következő ágazatokat vette célba:
- Civil társadalom és nonprofit szervezetek
- Oktatás
- Kormányok
- Egészségügy
- Jogi és szakmai szolgáltatások
- Gyártás
- Média és szórakoztatás
- Gyógyszeripar
Az APT42 2015-ös első megfigyelése óta legalább 14 országban vett célba szervezeteket Ausztráliától kezdve, Európán és a Közel-Keleten keresztül egészen az Egyesült Államokig.
Az APT42 által közvetlenül megcélzott országok és iparágak
Az APT42 és a zsarolóprogramok közötti lehetséges kapcsolatok
A Mandiant elemzésében kiemeli, hogy az APT42 és az UNC2448 között – nagy valószínűség szerint –fennáll valamilyen kapcsolat, bár technikai átfedéseket nem észleltek kötük. Az UNC2448 nevű csoport egy Iránnal kapcsolatban álló fenyegetettségi szereplő, amely arról ismert, hogy széles körben szkenneli a a Fast Reverse Proxy eszköz használóit, és támadásaik során a BitLocker nevű zsarolóprogramot használja. Róluk szintén elmondható, hogy kapcsolatban IRGC-IO-val.
A Mandiant – nyílt forrásból származó információk és a fenyegetettségi szereplők által elkövetett operatív biztonsági hibák alapján – mérsékelt bizonyossággal állítja, hogy az UNC2448-at és a Revengers nevű Telegram felhasználóhoz köthető profilt legalább két iráni fedőcég, a Najee Technology és az Afkar System működteti. A Revengers néven „posztoló” személy 2021 februárja és szeptembere között – Telegram csatornáján – szenzitív adatokat és hozzáféréseket kínált eladásra, elsősorban izraeli vállalatoknak.
Mindezeket tovább erősíto, hogy a Lab Dookhtegan nevű Telegram csatorna 2022 júliusában közzétett egy nyilvános bejegyzést, miszerint az Afkar System és a Najee Technology szervezetek az IRGC fedőcégei, és az IRCG nevében végeznek különféle kiberműveleteket.
Előre tekintve
Az APT42 tevékenysége veszélyt jelent a külpolitikai tisztviselőkre, kommentátorokra és újságírókra, különösen az Egyesült Államokban, az Egyesült Királyságban és Izraelben. Leginkább az Iránnal kapcsolatos projekteken dolgozó tisztviselőket, újságírókat és véleményvezéreket érinthetik a hacker csoport tevékenységei. A csoport megfigyelési tevékenysége arra is rávilágít, hogy az APT42 műveleteinek célpontjai között iráni kettős állampolgárok, korábbi kormánytisztviselők és disszidensek is szerepelhetnek.
A Mandiant nem számít jelentős változásra az APT42 operatív taktikájában és célpontjaikat tekintve. A csoport az elmúlt évek során bebizonyította, hogy minden helyzetre képes gyorsan reagálni és gyorsan tudja megváltoztatni operatív fókuszát, kiemelten Irán belpolitikai és geopolitikai törekvéseit prioritásként kezelve.