Een eliteteam van door de Iraanse staat gesponsorde hackers heeft volgens de Fed met succes honderdduizenden werknemersaccounts bij Amerikaanse bedrijven en overheidsinstanties geïnfiltreerd als onderdeel van een meerjarige cyberspionagecampagne gericht op het stelen van militaire geheimen.

De Amerikaanse ministeries van Financiën en Buitenlandse Zaken behoren tot degenen die gecompromitteerd zijn tijdens de uitgebreide campagne, die van 2016 tot 2021 duurde, volgens een aanklacht van het Amerikaanse ministerie van Justitie die deze week werd vrijgegeven. Volgens de documenten werden ook verschillende defensie-aannemers met hoogwaardige veiligheidsmachtigingen, een in New York gevestigd accountantskantoor en een in New York gevestigd horecabedrijf getroffen.

In totaal werden bij de aanvallen meer dan een dozijn entiteiten en honderdduizenden werknemersaccounts gecompromitteerd, waaronder meer dan 200,000 accounts bij het horeca-slachtoffer.

Vier Iraanse staatsburgers – waaronder een vermeend lid van de regering Islamitische Revolutionaire Garde (IRGC) Electronic Warfare-divisie – zijn aangeklaagd voor de aanslagen. De beklaagden worden ervan beschuldigd zich voor te doen als een in Iran gevestigd bedrijf dat beweerde ‘cyberbeveiligingsdiensten’ te leveren in een reeks speerphishing-aanvallen op hun doelwitten. Hun doel was om e-mailontvangers te misleiden om op een kwaadaardige link te klikken die een niet nader genoemde aangepaste malware uitvoerde en accountovername mogelijk maakte.

In één geval slaagden ze erin om naar verluidt een e-mailaccount van een beheerder over te nemen bij een defensie-aannemer, die ze vervolgens gebruikten om andere ongeautoriseerde accounts aan te maken om spearphishing-e-mails te sturen naar werknemers van een andere defensie-aannemer en een adviesbureau.

In sommige gevallen deden ze zich ook met succes voor als vrouwen die geïnteresseerd waren in romantische connecties, waarbij ze zich via sociale media op de slachtoffers richtten. Deze gok was volgens hem ook gericht op het uiteindelijk inzetten van malware op de computers van slachtoffers de aanklacht (PDF).

Beide benaderingen sluiten aan bij de al lang bestaande werkwijze van Iran het creëren van slimme social-engineeringcampagnes om het vertrouwen van de doelen te winnen. Een recente poging van Charming Kitten betrof bijvoorbeeld de creatie van een volledig nep-webinarplatform om de beoogde slachtoffers in gevaar te brengen. Over het algemeen zijn de Iran-nexus-bedreigingsactoren “met een aanzienlijke marge geavanceerder en geavanceerder” in hun inspanningen op het gebied van social engineering, aldus Steven Adair, medeoprichter en president van Volexity, die sprak na de onthulling van de Charming Kitten-campagne. "Het is een niveau van inspanning en toewijding... dat is absoluut anders en ongewoon."

De omvang van de datacompromis is onduidelijk

In de campagne die deze week werd onthuld, zou het hackteam, nadat de accounts waren gecompromitteerd, een complexe back-endinfrastructuur en een aangepaste applicatie genaamd "Dandelion" hebben gebruikt om de aanval te beheren. Dandelion zorgde voor een dashboard waarop de slachtoffers, hun IP-adressen, fysieke locaties, webbrowsers en besturingssystemen werden opgesomd; of ze op de kwaadaardige spearphishing-links hebben geklikt; en of de accounts bestemd moeten zijn voor verdere activiteiten.

Het ministerie van Justitie heeft niet veel andere details over de inspanning bekendgemaakt; Ook werd niet onthuld of de door de staat gesponsorde aanvallers toegang konden krijgen tot geheime gegevens en deze konden stelen. Het blijft dus onduidelijk hoeveel compromissen ze hebben weten te bereiken in de vijf jaar dat ze op de loer lagen in de hoogwaardige netwerken.

Helaas zal er waarschijnlijk geen gevangenisstraf worden aangeboden in het geval van een veroordeling in de zaak: Hossein Harooni (حسین هارونی), Reza Kazemifar (رضا کاظمی فر), Komeil Baradaran Salmani (کمیل برادران سلمانی) en Alire za Shafie Nasab (علیرضا شفیعی نسب) blijven allemaal op vrije voeten. Het ministerie van Buitenlandse Zaken looft een beloning uit van maximaal 10 miljoen dollar voor informatie die kan helpen bij hun aanhouding.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cyberattacks-data-breaches/iran-dupes-military-contractors-govt-agencies-cybercampaign