Operacija ''Cleaver'': Iranski hakerski tim za dve godine napao 50 organizacija širom sveta

Vesti, 02.12.2014, 22:01 PM

Tokom protekle dve godine, tim iranskih hakera kompromitovao je računare i mreže više od 50 organizacija iz 16 zemalja, među kojima su avio kompanije, vojni dobavljači, univerziteti, bolnice, aerodromi, telekomunikacijske kompanije, državne institucije i kompanije koje posluju u sektoru energetike.

Za operaciju nazvanu “Cleaver”, hakerska grupa za koju se veruje da deluje iz Teherana je koristila različite alate.

Tokom istrage koju je sprovela firma Cylance identifikovano je 50 žrtava ove operacije, a među njima je desetak kompanija sa sedištem u SAD. Druge žrtve su u Kanadi, Kini, Velikoj Britaniji, Francuskoj, Nemačkoj, Indiji, Izraelu, Kuvajtu, Meksiku, Pakistanu, Kataru, Saudijskoj Arabiji, Južnoj Koreji, Turskoj i Ujedinjenim Arapskim Emiratima.

Napadači su koristili javno dostupne alate i exploite, kao i specijalizovane maliciozne programe koje su sami razvili.

Stručnjaci Cylancea veruju da je reč o timu koji ima najmanje 20 hakera i programera koji podržavaju iranske interese i koji su možda regrutovani sa univerziteta ove zemlje.

Infrastruktura korišćena u ovoj kampanji je suviše značajna da bi bio u pitanju pojedinac ili manja grupa, smatraju istraživači koji veruju da je država pokrovitelj ovih napada.

Podaci koje su hakeri ukrali od napadnutih organizacija su raznovrsni. U slučaju univerziteta, oni su krali informacije o istraživanjima, studentima, studentskom smeštaju, identifikacione podatke, fotografije i pasoše. Kada je reč o važnoj infrastrukturi, oni su krali osetljive informacije koje im mogu omogućiti sabotažu industrijskih kontrolnih sistema i SCADA okruženja.

Iako nema dokaza da je bilo takve sabotaže do sada, istraživači veruju da bi to mogao biti krajnji cilj kampanje, kao odmazda Irana za napade malverima Stuxnet, Duqu i Flame. Veruje se da je Stuxnet, koji se smatra prvim sajber oružjem u svetu, zajedničko delo SAD i Izraela koje je nastalo sa ciljem sabotaže iranskog nuklearnog programa.

Iranski hakerski tim koji je nazvan "Tarh Andishan" što znači “mislioci” ili “inovatori”, koristi SQL injection, spear fišing i watering hole napade da bi dobio početni pristup jednom ili za više računara organizacije koja je cilj napada. Hakeri zatim koriste exploite i druge alate da bi kompromitoavali i druge sisteme i ušli dublje u mrežu. Međutim, ova grupa do sada nije koristila 0-day exploite za nepoznate propuste u softveru.

Glavni alat grupe je trojanski program TinyZBot koji se delo programera koji su članovi grupe. Cylance je objavio više od 150 alata, uzoraka malvera i indikatora kompromitovanja koji su povezani sa delovanjem grupe kako bi se pomoglo bezbednosnoj industriji da otkrije tekuće i buduće aktivnosti ove grupe.

Otkriće operacije Cleaver pokazuje kako je Iran veoma motivisan za pokretanje ozbiljnih napada protiv globalne infrastrukture, i to ne samo one koja se nalazi u SAD, već i infrastrukture u drugim zemljama širom sveta. Oni ne traže kreditne kartice ili dizajn mikročipova, oni utvrđuju svoj položaj u desetinama mreža čije bi osakaćivanje uticalo na živote milijardi ljudi, kažu stručnjaci.

Više o operaciji Cleaver možete naći u izveštaju koji je objavio Cylance (pdf).