Proofpoint rapporteert over cyberaanvallen vanuit Iran

Recente gebeur­te­nissen hebben de vrees voor mogelijke cyber­aan­vallen uit Iran aange­wak­kerd. Iraanse cyber­aan­vallen kwamen voor het eerst aan het licht rond 2013. Sindsdien zijn cyber­aan­vallen die door de staat worden gespon­sord een perma­nente bedrei­ging. Deze zijn gericht op rege­ringen, orga­ni­sa­ties en burgers over de hele wereld, met alle gevolgen van dien. De meest recente bevin­dingen van het Proof­point Threat Research-team geven een inkijkje in de tactieken, maar bieden vooral een aantal veiligheidsadviezen.

Op dit moment ziet het onder­zoeks­team acti­vi­teiten die over­een­komen met de campagnes die begin december 2019 zijn gestart. Vanwege de metho­di­sche aard van Iraanse cyber­cri­mi­nelen is het onwaar­schijn­lijk dat er direct nieuwe aanvallen zullen plaats­vinden. En hoewel ze niet zo bekend zijn als vakge­noten uit andere landen, hebben ze in de loop der jaren veel succes­volle aanvallen uitge­voerd. Ze kiezen hun doel­witten zorg­vuldig en infil­treren orga­ni­sa­ties langzaam, vaak geruis­loos, om ze te bespi­o­neren of op een later moment aan te vallen. Hierbij wordt vaak gebruik gemaakt van gestolen inloggegevens.

Wereldwijd

Iraanse aanval­lers richten zich niet alleen op de Verenigde Staten, Israël en Saoedi-Arabië: ze opereren wereld­wijd. En hoewel overheids- en militaire doelen voor de hand liggen, richten ze zich ook op tele­com­be­drijven, finan­ciële orga­ni­sa­ties, mensen­rech­ten­or­ga­ni­sa­ties en scholen. Bekende cyber­cri­mi­nele groepen uit Iran zijn bijvoor­beeld Cleaver, die gebruik­maakt van valse LinkedIn-accounts bij zijn aanvallen in Frankrijk, Duitsland en de Verenigde Staten. Of Silent Librarian, een groep die sinds 2013 univer­si­teiten over de hele wereld aanvalt.

Geavan­ceerde Iraanse cyber­aan­vallen vragen om een zorg­vul­dige interne en externe focus om de houding ten opzichte van cyber­se­cu­rity binnen een orga­ni­satie te verbe­teren. Een directe effec­tieve maatregel is om de effecten van gestolen inlog­ge­ge­vens te beperken, bijvoor­beeld door wacht­woord­re­sets te forceren. Ook moeten orga­ni­sa­ties hun beveiligingsprogramma’s bijwerken en mede­wer­kers trainen om mogelijke bedrei­gingen te iden­ti­fi­ceren. Tot slot moeten bedrijven actief samen­werken met security-experts. Zo kan een respons­plan worden geïm­ple­men­teerd dat niet alleen betrek­king heeft op de orga­ni­satie, maar ook op de mede­wer­kers, leve­ran­ciers en partners.

Volledige lijst

De volledige lijst met Iraanse cyber­cri­mi­nelen, in welke branches en landen ze opereren, en wat hun favoriete tactieken zijn vind je hieronder. Deze lijst bevat infor­matie uit het ATT&CK-framework van MITRE over cyber­cri­mi­nele groepen, openbaar beschik­bare infor­matie en Proof­points drei­gings­on­der­zoek. Indien je meer wilt weten over de Iraanse cyber­drei­gingen, dan regel ik graag een gesprek voor je met iemand van het Proof­point Threat Research-team. 

Iraanse cybercriminele groepen

1. APT 33/​Elfin: Een groep die zich sinds 2013 richt op de luchtvaart‑, energie‑, overheids‑, gezond­heids­zorg- en trans­port­sector in Saoedi-Arabië, Zuid-Korea en de Verenigde Staten. Sommigen geloven dat deze groep verant­woor­de­lijk is voor de Shamoon-aanvallen. Proof­point noemt deze groep TA451 en was in december 2019 nog actief.
2. APT 39/​Chafer: Een groep die zich sinds 2014 richt op de overheids‑, tele­com­mu­ni­catie- en reis­branche met als doel om persoon­lijke infor­matie te verza­melen. Deze groep was voor het laatst in juni 2019 actief en wordt door Proof­point aangeduid als TA454.
3. Charming Kitten: Een groep die zich sinds 2014 richt op mensen binnen de acade­mi­sche wereld, overheid, mensen­rech­ten­or­ga­ni­sa­ties, media, het leger en de tech­no­lo­gie­sector. Dit gebeurt in Iran, de Verenigde Staten, Israël en het Verenigd Konink­rijk door toegang te verschaffen tot persoon­lijke e‑mail- en Facebook­ac­counts. De groep staat bekend als TA453 en was in september 2019 actief.
4. Cleaver: Een groep of operatie die wordt gevolgd sinds 2014 en zich richt op de luchtvaart‑, energie‑, militaire, transport‑, gezond­heids­zorg- en nuts­be­drijven in China, Frankrijk, Duitsland, India, Israël, Saoedi-Arabië en de Verenigde Staten. Er wordt aange­nomen dat ze valse LinkedIn-accounts hebben gebruikt als onderdeel van hun aanvallen.
5. Copy­Kit­tens: Een groep die zich sinds 2013 richt op gebrui­kers in Duitsland, Jordanië, Turkije, Saoedi-Arabië en de Verenigde Staten.
6. Groep5 (vermoe­de­lijk): Toeschrij­ving aan Iran is niet defi­ni­tief, maar deze groep richt zich op personen die verbonden zijn met de Syrische oppositie met malware dat wordt verspreid via spearphis­hing- en watering hole-aanvallen.
7. LeafMiner: Een groep die sinds 2017 de e‑mailaccounts van mensen in de regering en het bedrijfs­leven in het Midden-Oosten aanvalt.
8. Magic Hound: Een groep die zich sinds 2014 richt op de energie‑, overheids- en tech­no­lo­gie­sector in Saoedi-Arabië.
9. Muddy­Water: Een groep die zich sinds 2017 richt op de energie‑, overheids‑, media- en tele­com­mu­ni­ca­tie­sector in Europa, het Midden-Oosten en Noord-Amerika. Muddy­Water was in januari 2020 nog actief en Proof­point volgt de groep als TA450.
10. OilRig: Een groep die zich sinds 2014 richt op de luchtvaart‑, energie‑, finan­ciële, overheids‑, media‑, technologie‑, tele­com­mu­ni­catie- en trans­port­sector in het Midden-Oosten. Proof­point volgt deze groep als TA452 en de groep was in december 2019 nog actief.
11. Silent Librarian/​Cobalt Dickens: Silent Librarian is een groep die zich sinds 2013 richt op univer­si­teiten over de hele wereld. Proof­point volgt deze groep als TA407. Een verwante groep die bekend staat als Cobalt Dickens richt zich op de bouw, de media, de gezond­heids­zorg, het hoger onderwijs, en de trans­port­sector. Proof­point volgt die groep als TA4900. Deze groepen waren respec­tie­ve­lijk in december 2019 en september 2019 nog actief.

Doelwitten van Iraanse aanvalsgroepen

• De overheid: APT 33/​Elfin, APT 39/​Chafer, Charming Kitten, LeafMiner, Magic Hound, Muddy­Water, OilRig
• Ener­gie­sector: APT 33/​Elfin, Cleaver, Magic Hound, Muddy­Water, OilRig
• Media: Charming Kitten, Muddy­Water, OilRig, Silent Librarian/​Cobalt Dickens
• Tele­com­mu­ni­ca­tie­sector: APT 39/​Chafer, Muddy­Water, OilRig
• Lucht­vaart­sector: APT 33/​Elfin, Cleaver, OilRig
• Gezond­heids­zorg: APT 33/​Elfin, Cleaver, Silent Librarian/​Cobalt Dickens
• Tech­no­lo­gie­sector: Charming Kitten, Magische Hond, OilRig
• Trans­port­sector: APT 33/​Elfin, Cleaver, OilRig, Silent Librarian/​Cobalt Dickens
• Bouw­sector: Silent Librarian/​Cobalt Dickens
• Hoger onderwijs/​academisch onderzoek: Charming Kitten, Silent Librarian/​Cobalt Dickens
• Militaire sector: Charming Kitten, Cleaver
• Finan­ciële sector: OilRig
• Mensen­rech­ten­groepen: Charming Kitten
• Reis­sector: APT 39/​Chafer
• Nuts­be­drijven: Cleaver

Landen en regio’s

• Saoedi-Arabië: APT 33/​Elfin, Cleaver, Copy­Kit­tens, Magic Hound, OilRig
• Verenigde Staten: APT 33/​Elfin, Charming Kitten, Cleaver, CopyKittens
• Israël: Charming Kitten, Cleaver, CopyKittens
• China: Cleaver
• Frankrijk: Cleaver
• Duitsland: Cleaver, CopyKittens
• India: Cleaver
• Iran: Charming Kitten
• Jordanië: Copy­Kit­tens
• Zuid-Korea: APT 33/​Elfin
• Turkije: Copy­Kit­tens
• Verenigd Konink­rijk: Charming Kitten
• Europese Unie: Muddy­Water
• Midden-Oosten: LeafMiner, Muddy­Water, OilRig
• Noord-Amerika: LeafMiner, MuddyWater

Favoriete tactieken van Iraanse aanvallers

• Gestolen inlog­ge­ge­vens: APT 33/​Elfin, APT 39/​Chafer, Magic Hound, Muddy­Water, OilRig, Silent Librarian
• E‑mail-aanvallen: Charming Kitten, LeafMiner, Magic Hound, Silent Librarian
• Malware: Copy­Kit­tens, Group5, Magic Hound
• Verza­melen van persoon­lijke infor­matie: Charming Kitten
• Social media-aanvallen: Charming Kitten, Cleaver
• Phishing: Group5, Magic Hound, Silent Librarian
• Watering hole-aanvallen: Group5