Állami célú műveletek kiberbűnözők eszközeivel
A Check Point Research elemzése szerint az iráni Ministry of Intelligence and Security (MOIS)-hez köthető kiberfenyegetési szereplők egy új taktikai irányba mozdultak el, egyre szorosabban integrálódnak a globális kiberbűnözők közé, és azok eszközeit, infrastruktúráját és üzleti modelljeit használják állami célú műveletekhez. A kiberbűnözés már nem csupán fedőtörténet vagy álcázási technika ezeknél az aktoroknál, hanem tényleges operatív erőforrás.
A jelentés szerint Irán hírszerző szervezetei hagyományosan is alkalmaztak tagadható közvetítőket és proxykat fizikai műveletekben, például bűnözői hálózatokat vagy félállami szereplőket. A most megfigyelt trend ennek a logikának a kibertérbe történő átültetése, az állami célokat egyre gyakrabban cybercrime-eszközökkel és szolgáltatásokkal hajtják végre. Ez különösen a MOIS-hez köthető fenyegetési klasztereknél figyelhető meg.
A kutatás kiemeli több ismert iráni aktor szerepét, például a Void Manticore (Handala Hack) és a MuddyWater csoportokat. Ezeknél a műveleteknél több alkalommal is azonosítottak átfedéseket kiberbűnözői eszközökkel, infrastruktúrával vagy malware-klaszterekkel. A támadók például kereskedelmi vagy bűnözői körökben terjedő malware-t, infostealereket vagy Ransomware-as-a-Service jellegű eszközöket használnak fel hírszerzési és geopolitikai célok érdekében.
Ez a megközelítés több stratégiai előnyt biztosít az állami aktorok számára. Egyrészt a kiberbűnözői ökoszisztéma fejlett malware-eszközkészletet és infrastruktúrát kínál, amelyet az állami szereplők gyorsan integrálhatnak saját műveleteikbe. Másrészt az ilyen műveletek jelentősen megnehezítik az attribúciót, mivel a támadások technikai mintázata gyakran hasonlít a klasszikus pénzügyi motivációjú kiberbűnözéshez. Ez növeli az operatív tagadhatóságot és zavart kelthet az incidensek elemzése során.
A Check Point értékelése szerint ez a tendencia egy szélesebb stratégiai változás része az iráni kiberhadviselésben. A kiberkémkedés, a destruktív támadások és az információs műveletek mellett a kiberbűnözői eszközök használata hibrid támadási modellt hoz létre, amely egyszerre szolgál hírszerzési, geopolitikai és esetenként pénzügyi célokat. Az ilyen műveletek különösen a kritikus infrastruktúra, a kormányzati szervezetek és a magánszektor ellen jelenthetnek kockázatot.
