Célpontban a közel-keleti védelmi ipar
A Mandiant kutatói egy feltételezett iráni kémkampányt azonosítottak, amely a Közel-Keleten, köztük Izraelben és az Egyesült Arab Emírségekben repülési és védelmi iparágakat céloz meg.
A Mandiant az UNC1549 néven nyomon követhető, állítólag az Iráni Forradalmi Gárdához kapcsolódó fenyegető szereplőt egy sor összehangolt támadással köti össze. A hackerek adathalász csalikat használtak a célzott rendszerekhez való kezdeti hozzáférés megszerzéséhez. Elsősorban a Microsoft Azure felhőinfrastruktúrát használták a kommunikációhoz az általuk telepített hátsó ajtókkal – ez a technika a felderítés elkerülésére szolgál.
A Teheránhoz kötődő hackerek egyre kifinomultabbak, és személyre szabott kiberkémkedési és pusztító kampányokat folytatnak. Úgy tűnik, hogy e kampány elsődleges célja a kémkedés, de más tevékenységeket is támogathat, például hack-and-leak műveleteket vagy a kinetikus hadviselés támadásainak lehetővé tételét.
A Mandiant kutatói megfigyelték, hogy az állítólagos iráni hackercsoport – amely TortoiseShell, Crimson Sandstorm és Imperial Kitten néven is ismert – a Bring Them Home Now mozgalom részének álcázza magát, amely egy izraeli vezetésű, a Hamász által elrabolt túszok visszatérését követelő akció. A fenyegető szereplők hamis álláskereső oldalakat, spear-phishing e-maileket és közösségi médiás levelezést is használtak, hogy manipulálják az áldozatokat, és rosszindulatú hasznos terhelést töltsenek le.
A jelentés szerint a hackerek a repülési és védelmi szektorban dolgozókat célozták meg hamis állásajánlatokkal, amelyek technológiai és védelmi vonatkozású állásokra vonatkoztak – konkrétan olyan emberekre, akik hőképpel dolgoznak. A hackerek egy sor technikával kerülték el a felderítést, többek között a célzott országokban található szerverek használatával, valamint a Microsoft Azure infrastruktúrával való visszaéléssel.
A Mandiant megosztotta a kampányhoz azonosításához szükséges mutatókat.