فريق عفريتي
هذه مقالة غير مراجعة.(نوفمبر 2019) |
Advanced Persistent Threat 33 (APT33) هي مجموعة من المخترقين وصفتها FireEye بأنها مدعومة من قبل حكومة إيران .[1]
تم تسمية المجموعة أيضًا باسم Refined Kitten (بواسطة Crowdstrike ) و Magnallium (بواسطة Dragos) و Holmium (بواسطة Microsoft ).[2][3][4]
التاريخ
عدلمنذو عام 2017 تتبعت FireEye و الولايات المتحده المجموعة.تعتقد شركة الأمن FireEye أن المجموعة كانت نشطة منذو عام 2013 على الأقل . لدى FireEye دليل قوي على أنها تعمل نيابة عن الحكومة الإيرانية. وعلى الرغم من أنها مركزة إلى حد كبير على التجسس الخفي، فقد وجدت FireEye روابط لأنشطة بينها وبين قطعة من البرامج الضارة التي تدمر البيانات والتي حللها محللو الأمن منذو وقت سابق من عام 2017.[5]
أهداف
عدلوبحسب ما ورد استهدف APT33 أهداف حساسة صناعة الطيران والدفاع والبتروكيماويات في الولايات المتحدة وكوريا الجنوبية والمملكة العربية السعودية وفي الشرق الأوسط عموما .[1]
طريقة العمل
عدلوبحسب ما ورد تستخدم المجموعة برنامج قطارة يسمى DropShot ، والذي يمكنه نشر ماسحات الاقراص الصلبة تسمى ShapeShift ، أو تثبيت مستتر خلفي يسمى TurnedUp.
تم الكشف عن استخدام المجموعة لأداة ALFASHELL لإرسال رسائل بريد إلكتروني للتصيد العشوائي محملة بمواقع وهمية .[1]
المجالات التي تستهدفها المجموعة تستهدف العديد من الكيانات التجارية، بما في ذلك بوينغ ، وشركة السلام للطائرات، ونورثروب غرومان وفينيل .[1]
هوية
عدللاحظت FireEye و Kaspersky Lab أوجه التشابه بين ShapeShift و Shamoon ، وهو فيروس آخر مرتبط بإيران. كما استخدمت APT33 الفارسية في ShapeShift و DropShot ، وكانت أكثر نشاطًا خلال ساعات العمل في توقيت إيران الرسمي ، حيث ظلت غير نشطة في عطلة نهاية الأسبوع الإيرانية.[1]
تم ربط أحد المتطفلين المعروفين باسم مستعار xman_1365_x بكل من رمز أداة TurnedUp ومعهد النصر الإيراني، والذي تم ربطه بالجيش الإيراني الإلكتروني .[1][6] xman_1365_x لها حسابات على منتديات الهاكر الإيرانية، بما في ذلك Shabgard و Ashiyane .[7]
المراجع
عدل- ^ ا ب ج د ه و O'Leary، Jacqueline؛ Kimble، Josiah؛ Vanderlee، Kelli؛ Fraser، Nalani (20 سبتمبر 2017). "Insights into Iranian Cyber Espionage: APT33 Targets Aerospace and Energy Sectors and has Ties to Destructive Malware". FireEye. مؤرشف من الأصل في 2019-10-06.
- ^ Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S. | Symantec Blogs نسخة محفوظة 5 أكتوبر 2019 على موقع واي باك مشين.
- ^ Magnallium | Dragos نسخة محفوظة 2 سبتمبر 2019 على موقع واي باك مشين.
- ^ "Microsoft says Iran-linked hackers targeted businesses". مؤرشف من الأصل في 2019-09-02. اطلع عليه بتاريخ 2020-10-04.
- ^ Greenberg، Andy (20 سبتمبر 2017). "New Group of Iranian Hackers Linked to Destructive Malware". وايرد. مؤرشف من الأصل في 2019-08-16.
- ^ Auchard، Eric؛ Wagstaff، Jeremy؛ Sharafedin، Bozorgmehr (20 سبتمبر 2017). Heinrich (المحرر). "Once 'kittens' in cyber spy world, Iran gaining hacking prowess: security experts". رويترز. مؤرشف من الأصل في 2019-03-30.
FireEye found some ties between APT33 and the Nasr Institute - which other experts have connected to the Iranian Cyber Army, an offshoot of the Revolutionary Guards - but it has yet to find any links to a specific government agency, Hultquist said.
- ^ Cox، Joseph. "Suspected Iranian Hackers Targeted U.S. Aerospace Sector". ذا ديلي بيست. مؤرشف من الأصل في 2017-09-21.
Included in a piece of non-public malware APT33 uses called TURNEDUP is the username "xman_1365_x." xman has accounts on a selection of Iranian hacking forums, such as Shabgard and Ashiyane, although FireEye says it did not find any evidence to suggest xman was formally part of those site's hacktivist groups. In its report, FireEye links xman to the "Nasr Institute," a hacking group allegedly controlled by the Iranian government.