Met betrekking tot de recente moord op de Iraanse algemene Soleimani, veel security experts en gebruikers hebben hun aandacht gericht op de toekomstige Iran of Iran-gerelateerde hacking groepen. Het land staat bekend om veel van ervaren computer experts, inclusief kwaadwillige hackers. Dit artikel geeft een overzicht van de meest gebruikte methodes en wat we mogen verwachten als gevolgen.
Er zijn meerdere hacking groepen die vermoedelijk afkomstig zijn van het land - een aantal van hen kan de staat gesponsorde zijn, anderen kunnen worden geworven door Iran en gekoppeld aan agenda die Iran bedrijven of individuen kunnen profiteren.
Een van de meest bekende voorbeelden is de hacken groep die bekend staat als booreiland die beroemd is om de ontwikkeling van de BondUpdater Trojan. De groep is berucht om met meerdere aliassen en uitvoeren van grootschalige aanvallen high-profieldoelen. Deze groep staat gesponsorde wordt verondersteld te worden gekoppeld aan inlichtingendienst van het land. De waargenomen aanval was gericht op een “hooggeplaatste office” gelegen in een Midden-Oosten land. De hoofdverdeler tactiek van hen was in de vorm van -Macro geïnfecteerde documenten.
De Boorplatform hacking groep en een ander collectief bekend als “Rana Institute” bekend zijn de gelekte data online te hebben geplaatst op hacker markten of speciale informatie repositories. Het succes van hun campagnes zijn overwegend gebaseerd op het feit dat zij inbreuk hebben geprobeerd door twee manieren - het uitvoeren van phishing-campagnes en zwakke plekken in web servers die worden aangedreven door de slachtoffers.
Wat interessant is aan de Iraanse hackers is dat ze gebruik maken van verschillende technieken die worden onderzocht om te voorzien in zo veel hoog succespercentage mogelijk. Een goed voorbeeld is de boorplatform groep die een speciaal ontworpen-hacker gecontroleerde website gemaakt dat imiteert een professioneel netwerk en de bijbehorende bestanden. Dan zullen zij social engineering gebruiken uit naam van een universiteit van Cambridge docent en het uitnodigen van de beoogde gebruikers in de hacker gecontroleerd netwerk. Toen ze de koppeling en interactie met de inhoud op het scherm zal een script het virus levering activeren.
Iraanse Hacker groepen gebruiken Uitgebreide Tactics
De Iraanse hackers is bekend dat veel verschillende soorten produceren kwaadaardige documenten dat van alle populaire bestandsformaten van Microsoft Office kan zijn. Zodra ze worden geopend de gebruikers zal worden getoond een melding prompt die hen zal vragen om te draaien van de ingebouwde macro's. Als dit wordt gedaan de bijbehorende Trojan code zal worden uitgevoerd. Typisch gedrag wordt verwacht - het opzetten van de server als een geplande taak, ophalen van gevoelige gegevens en het instellen van een verbinding die hackers mogelijk controle over de geïnfecteerde computers overnemen.
-Slachtoffer eigendom webservers zijn primair doelwit van exploits en brute gedwongen met geautomatiseerde toolkits. De criminelen kunnen ook geheel “packs” gestolen accountgegevens van hacker underground markten. Deze referenties kunnen ook in de instrumenten worden geladen en inlogpogingen kunnen worden gemaakt met hen.
De hackers zijn ook gevonden op doel servers met Outlook en Exchange-services. Ze worden gebruikt voor e-mail en groupware communicatie. Dit zal gebeuren door het plaatsen van een backdoor die malware code zal plaatsen in de browsers die de pagina's openen. Het uitvoeren van de bijbehorende kwaadaardige code zal leiden tot gemeenschappelijke gevolgen:
- Diefstal van gegevens - Het Trojaanse paard en backdoor-code is geprogrammeerd om te oogsten informatie die accountreferenties of persoonlijke informatie over hen kan uitwijzen. Dit kan worden gebruikt voor verdere social engineering campagnes of voor chantage doeleinden.
- Windows-register Wijziging - Een deel van de gevangen monsters zijn gevonden om de mogelijkheid te bewerken uit bestaande velden in het Windows-register. Dit kan het systeem problemen veroorzaken op het punt het bewijzen van de machines praktisch onbruikbaar. De gebruikers toegang tot hen ook onverwachte fouten en verlies van gegevens.
- Dataoverdracht - Alle gekaapte bestanden worden automatisch geüpload naar de hackers via de opgebouwde verbinding. Dit maakt ook de hackers om in te halen de controle over de machines. Zij zullen in staat te bespioneren de slachtoffers zal zijn, manipuleren velden en ook andere bedreigingen te installeren.
Andere Iraanse aanvallen zullen naar verwachting aanstaande te zijn. Vanwege het feit dat er meerdere zeer ervaren groepen die kunnen plannen nu naar de campagnes tegen high-profile doelen. Ze kunnen verschillende technologieën gebruiken en voortdurend verbeteren van hun strategieën.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: