Em relação ao recente assassinato do Soleimani general iraniano, muitos especialistas em segurança e usuários voltaram sua atenção para o potencial Irã ou grupos de hackers Irã-relacionados. O país é conhecido por ter um monte de especialistas experientes do computador, incluindo hackers maliciosos. Este artigo dá uma visão geral dos métodos mais utilizados eo que podemos esperar como conseqüências.
Existem vários grupos de hackers que se acredita é originária do país - alguns deles podem ser patrocinado pelo Estado, outros podem ser recrutados pelo Irã e ligado a agenda que podem beneficiar as empresas Irã ou indivíduos.
Um dos exemplos mais bem conhecidos é o grupo pirataria conhecido como Plataforma de petróleo que é famoso para o desenvolvimento do BondUpdater Trojan. O grupo é famoso por ter vários nomes alternativos, e realizando os ataques em larga escala contra alvos de alto perfil. Este grupo patrocinado pelo Estado é acreditado para ser ligada à agência de inteligência do país. O ataque observado foi focada sobre um “escritório de alto escalão” localizado em um país do Oriente Médio. A principal tática de distribuição utilizado por eles estava sob a forma de documentos infectados com macro.
O grupo de hackers Oilrig e outro coletivo conhecido como “Instituto Rana” são conhecidos por terem publicado os dados vazaram on-line nos mercados de hackers ou repositórios de informação especiais. O sucesso de suas campanhas de confiar principalmente no fato de que eles têm tentativa de intrusão por dois meios - a realização de phishing campanhas e exploração de vulnerabilidades em servidores web operado pelas vítimas.
O que é interessante sobre os hackers iranianos é que eles usam várias técnicas que são pesquisados, a fim de fornecer o máximo de alta taxa de sucesso possível. Um bom exemplo é o grupo oilrig que trabalhada um site controlado por hackers especialmente concebido que representa um rede profissional e arquivos associados. Em seguida, eles vão usar a engenharia social através da personificação de um professor da Universidade de Cambridge e convidando os utilizadores-alvo para a rede controlado por hackers. Quando abrir o link e interagir com o conteúdo de um script irá ativar a entrega de vírus.
Iranianas grupos de hackers usar táticas elaboradas
Os hackers iranianos são conhecidos por produzir muitos tipos diferentes de documentos maliciosos que podem ser de todos os formatos populares de arquivo do Microsoft Office. Assim que eles são abertos os usuários será mostrado um prompt de notificação que irá pedir-lhes para executar o built-in macros. Se isso for feito o código Trojan associado será executado. comportamento típico será esperado - configurar o servidor como uma tarefa agendada, recuperação de informações sensíveis e configurar uma conexão que permite que hackers para assumir o controle das máquinas infectadas.
servidores web de propriedade da vítima são direcionados principalmente por exploits e ataque de força bruta com kits de ferramentas automatizadas. Os criminosos também podem comprar todo “embalagens” de credenciais de contas roubadas de mercados subterrâneos de hackers. Estas credenciais também podem ser carregados nas ferramentas e tentativas de login pode ser feita com eles.
Os hackers também foram encontrados para servidores de destino que executam serviços do Outlook e Exchange. Eles são usados para e-mails e comunicações de groupware. Isto será feito pela colocação de um backdoor que irá colocar código de malware em todos os navegadores que se abrem as páginas. Executando o código malicioso associado vai levar a conseqüências comuns:
- Roubo de dados - O código de Tróia e backdoor é programado para coletar informações que podem revelar as credenciais da conta ou informações pessoais sobre eles. Isso pode ser usado para outras campanhas de engenharia social, ou para fins de chantagem.
- Janelas modificação do Registro - Algumas das amostras capturadas foram encontrados para ter a capacidade de editar a campos existentes no Registro do Windows. Isso pode causar problemas no sistema a ponto de tornar as máquinas praticamente inutilizável. Os usuários que acessam eles também podem encontrar erros inesperados e perda de dados.
- Transmissão de dados - Todos sequestrado arquivos serão enviados automaticamente para os hackers através da conexão estabelecida. Isto também permite a hackers para ultrapassar o controlo das máquinas. Eles serão capazes de espionar as vítimas, manipular campos e também instalar outras ameaças.
Outros ataques iranianos devem estar próxima. Devido ao fato de que existem vários grupos altamente experientes que podem planejar campanhas personalizadas contra alvos de alto perfil. Eles podem usar diferentes tecnologias e melhorar constantemente em suas estratégias.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: