Proofpoint rapporteert over cyberaanvallen vanuit Iran

16 januari 2020

Recente gebeurtenissen hebben de vrees voor mogelijke cyberaanvallen uit Iran aangewakkerd. Iraanse cyberaanvallen kwamen voor het eerst aan het licht rond 2013. Sindsdien zijn cyberaanvallen die door de staat worden gesponsord een permanente bedreiging. Deze zijn gericht op regeringen, organisaties en burgers over de hele wereld, met alle gevolgen van dien. De meest recente bevindingen van het Proofpoint Threat Research-team geven een inkijkje in de tactieken, maar bieden vooral een aantal veiligheidsadviezen.

Op dit moment ziet het onderzoeksteam activiteiten die overeenkomen met de campagnes die begin december 2019 zijn gestart. Vanwege de methodische aard van Iraanse cybercriminelen is het onwaarschijnlijk dat er direct nieuwe aanvallen zullen plaatsvinden. En hoewel ze niet zo bekend zijn als vakgenoten uit andere landen, hebben ze in de loop der jaren veel succesvolle aanvallen uitgevoerd. Ze kiezen hun doelwitten zorgvuldig en infiltreren organisaties langzaam, vaak geruisloos, om ze te bespioneren of op een later moment aan te vallen. Hierbij wordt vaak gebruik gemaakt van gestolen inloggegevens.

Wereldwijd

Iraanse aanvallers richten zich niet alleen op de Verenigde Staten, Israël en Saoedi-Arabië: ze opereren wereldwijd. En hoewel overheids- en militaire doelen voor de hand liggen, richten ze zich ook op telecombedrijven, financiële organisaties, mensenrechtenorganisaties en scholen. Bekende cybercriminele groepen uit Iran zijn bijvoorbeeld Cleaver, die gebruikmaakt van valse LinkedIn-accounts bij zijn aanvallen in Frankrijk, Duitsland en de Verenigde Staten. Of Silent Librarian, een groep die sinds 2013 universiteiten over de hele wereld aanvalt.

Geavanceerde Iraanse cyberaanvallen vragen om een zorgvuldige interne en externe focus om de houding ten opzichte van cybersecurity binnen een organisatie te verbeteren. Een directe effectieve maatregel is om de effecten van gestolen inloggegevens te beperken, bijvoorbeeld door wachtwoordresets te forceren. Ook moeten organisaties hun beveiligingsprogramma’s bijwerken en medewerkers trainen om mogelijke bedreigingen te identificeren. Tot slot moeten bedrijven actief samenwerken met security-experts. Zo kan een responsplan worden geïmplementeerd dat niet alleen betrekking heeft op de organisatie, maar ook op de medewerkers, leveranciers en partners.

Volledige lijst

De volledige lijst met Iraanse cybercriminelen, in welke branches en landen ze opereren, en wat hun favoriete tactieken zijn vind je hieronder. Deze lijst bevat informatie uit het ATT&CK-framework van MITRE over cybercriminele groepen, openbaar beschikbare informatie en Proofpoints dreigingsonderzoek. Indien je meer wilt weten over de Iraanse cyberdreigingen, dan regel ik graag een gesprek voor je met iemand van het Proofpoint Threat Research-team. 

Iraanse cybercriminele groepen

  1. APT 33/Elfin: Een groep die zich sinds 2013 richt op de luchtvaart-, energie-, overheids-, gezondheidszorg- en transportsector in Saoedi-Arabië, Zuid-Korea en de Verenigde Staten. Sommigen geloven dat deze groep verantwoordelijk is voor de Shamoon-aanvallen. Proofpoint noemt deze groep TA451 en was in december 2019 nog actief.
  2. APT 39/Chafer: Een groep die zich sinds 2014 richt op de overheids-, telecommunicatie- en reisbranche met als doel om persoonlijke informatie te verzamelen. Deze groep was voor het laatst in juni 2019 actief en wordt door Proofpoint aangeduid als TA454.
  3. Charming Kitten: Een groep die zich sinds 2014 richt op mensen binnen de academische wereld, overheid, mensenrechtenorganisaties, media, het leger en de technologiesector. Dit gebeurt in Iran, de Verenigde Staten, Israël en het Verenigd Koninkrijk door toegang te verschaffen tot persoonlijke e-mail- en Facebookaccounts. De groep staat bekend als TA453 en was in september 2019 actief.
  4. Cleaver: Een groep of operatie die wordt gevolgd sinds 2014 en zich richt op de luchtvaart-, energie-, militaire, transport-, gezondheidszorg- en nutsbedrijven in China, Frankrijk, Duitsland, India, Israël, Saoedi-Arabië en de Verenigde Staten. Er wordt aangenomen dat ze valse LinkedIn-accounts hebben gebruikt als onderdeel van hun aanvallen.
  5. CopyKittens: Een groep die zich sinds 2013 richt op gebruikers in Duitsland, Jordanië, Turkije, Saoedi-Arabië en de Verenigde Staten.
  6. Groep5 (vermoedelijk): Toeschrijving aan Iran is niet definitief, maar deze groep richt zich op personen die verbonden zijn met de Syrische oppositie met malware dat wordt verspreid via spearphishing- en watering hole-aanvallen.
  7. LeafMiner: Een groep die sinds 2017 de e-mailaccounts van mensen in de regering en het bedrijfsleven in het Midden-Oosten aanvalt.
  8. Magic Hound: Een groep die zich sinds 2014 richt op de energie-, overheids- en technologiesector in Saoedi-Arabië.
  9. MuddyWater: Een groep die zich sinds 2017 richt op de energie-, overheids-, media- en telecommunicatiesector in Europa, het Midden-Oosten en Noord-Amerika. MuddyWater was in januari 2020 nog actief en Proofpoint volgt de groep als TA450.
  10. OilRig: Een groep die zich sinds 2014 richt op de luchtvaart-, energie-, financiële, overheids-, media-, technologie-, telecommunicatie- en transportsector in het Midden-Oosten. Proofpoint volgt deze groep als TA452 en de groep was in december 2019 nog actief.
  11. Silent Librarian/Cobalt Dickens: Silent Librarian is een groep die zich sinds 2013 richt op universiteiten over de hele wereld. Proofpoint volgt deze groep als TA407. Een verwante groep die bekend staat als Cobalt Dickens richt zich op de bouw, de media, de gezondheidszorg, het hoger onderwijs, en de transportsector. Proofpoint volgt die groep als TA4900. Deze groepen waren respectievelijk in december 2019 en september 2019 nog actief.

Doelwitten van Iraanse aanvalsgroepen

  • De overheid: APT 33/Elfin, APT 39/Chafer, Charming Kitten, LeafMiner, Magic Hound, MuddyWater, OilRig
  • Energiesector: APT 33/Elfin, Cleaver, Magic Hound, MuddyWater, OilRig
  • Media: Charming Kitten, MuddyWater, OilRig, Silent Librarian/Cobalt Dickens
  • Telecommunicatiesector: APT 39/Chafer, MuddyWater, OilRig
  • Luchtvaartsector: APT 33/Elfin, Cleaver, OilRig
  • Gezondheidszorg: APT 33/Elfin, Cleaver, Silent Librarian/Cobalt Dickens
  • Technologiesector: Charming Kitten, Magische Hond, OilRig
  • Transportsector: APT 33/Elfin, Cleaver, OilRig, Silent Librarian/Cobalt Dickens
  • Bouwsector: Silent Librarian/Cobalt Dickens
  • Hoger onderwijs/academisch onderzoek: Charming Kitten, Silent Librarian/Cobalt Dickens
  • Militaire sector: Charming Kitten, Cleaver
  • Financiële sector: OilRig
  • Mensenrechtengroepen: Charming Kitten
  • Reissector: APT 39/Chafer
  • Nutsbedrijven: Cleaver

Landen en regio’s

  • Saoedi-Arabië: APT 33/Elfin, Cleaver, CopyKittens, Magic Hound, OilRig
  • Verenigde Staten: APT 33/Elfin, Charming Kitten, Cleaver, CopyKittens
  • Israël: Charming Kitten, Cleaver, CopyKittens
  • China: Cleaver
  • Frankrijk: Cleaver
  • Duitsland: Cleaver, CopyKittens
  • India: Cleaver
  • Iran: Charming Kitten
  • Jordanië: CopyKittens
  • Zuid-Korea: APT 33/Elfin
  • Turkije: CopyKittens
  • Verenigd Koninkrijk: Charming Kitten
  • Europese Unie: MuddyWater
  • Midden-Oosten: LeafMiner, MuddyWater, OilRig
  • Noord-Amerika: LeafMiner, MuddyWater

Favoriete tactieken van Iraanse aanvallers

  • Gestolen inloggegevens: APT 33/Elfin, APT 39/Chafer, Magic Hound, MuddyWater, OilRig, Silent Librarian
  • E-mail-aanvallen: Charming Kitten, LeafMiner, Magic Hound, Silent Librarian
  • Malware: CopyKittens, Group5, Magic Hound
  • Verzamelen van persoonlijke informatie: Charming Kitten
  • Social media-aanvallen: Charming Kitten, Cleaver
  • Phishing: Group5, Magic Hound, Silent Librarian
  • Watering hole-aanvallen: Group5

 

 

Robbert Hoeffnagel

Robbert Hoeffnagel

Editor and consultant @ Belgium Cloud, DatacenterWorks, InfosecurityMagazine.be, Green IT Amsterdam and Mepax

Pin It on Pinterest

Share This