Hakerska skupina APT42 sponzorirana od strane iranske države cilja na vladu, nevladine i međuvladine organizacije kako bi skupila vjerodajnice

U području kibernetičke sigurnosti, budnost je najvažnija. Nedavna otkrića Mandianta iz Google Clouda rasvijetlila su opake aktivnosti APT42, kibernetičke špijunaže koju sponzorira država za koju se vjeruje da djeluje u ime Islamske revolucionarne garde (IRGC) u Iranu. S poviješću koja seže najmanje u 2015., APT42 se pojavio kao značajna prijetnja, ciljajući na široku lepezu subjekata, uključujući nevladine organizacije, vladine institucije i međuvladine organizacije.

Radeći pod različitim aliasima kao što su Calanque i UNC788, modus operandi APT42 je sofisticiran koliko i zabrinjavajući. Koristeći se taktikama društvenog inženjeringa, skupina se predstavlja kao novinari i organizatori događaja kako bi se infiltrirali u mreže svojih meta. Korištenjem ovih obmanjujućih strategija, APT42 stječe povjerenje žrtava koje ništa ne sumnjaju, omogućujući im da prikupe vrijedne vjerodajnice za neovlašteni pristup.

Jedno od obilježja pristupa APT42 je korištenje višestrukih stražnjih vrata za olakšavanje zlonamjernih aktivnosti. Mandiantovo izvješće naglašava korištenje dva nova stražnja vrata u nedavnim napadima. Ovi tajni alati omogućuju APT42 da se infiltrira u okruženja oblaka, izvuče osjetljive podatke i izbjegne otkrivanje korištenjem alata otvorenog koda i ugrađenih značajki.

Mandiantova analiza dalje otkriva zamršenu infrastrukturu koju koristi APT42 u svojim operacijama. Grupa orkestrira opsežne kampanje prikupljanja vjerodajnica, kategorizirajući svoje mete u tri različite grupe. Od maskiranja u medijske organizacije do lažnog predstavljanja u legitimne usluge, APT42 koristi razne taktike kako bi namamio svoje žrtve da otkriju svoje podatke za prijavu.

Štoviše, aktivnosti APT42 nadilaze tradicionalnu kibernetičku špijunažu. Grupa je pokazala spremnost da prilagodi svoju taktiku , što dokazuje njezina implementacija prilagođenih stražnjih vrata kao što su Nicecurl i Tamecat. Ovi alati, napisani u VBScriptu i PowerShellu, omogućuju APT42 izvršavanje proizvoljnih naredbi i izvlačenje osjetljivih informacija iz ugroženih sustava.

Unatoč geopolitičkim napetostima i regionalnim sukobima, APT42 ostaje uporan u svojoj potrazi za prikupljanjem obavještajnih podataka. Nalazi Mandianta naglašavaju otpornost i upornost grupe, jer nastavlja ciljati na subjekte povezane s osjetljivim geopolitičkim pitanjima u SAD-u, Izraelu i šire. Nadalje, preklapanje između aktivnosti APT42 i onih drugih iranskih hakerskih skupina, kao što je Charming Kitten, naglašava koordiniranu i višestruku prirodu iranskih cyber operacija.

Suočeni s takvim prijetnjama, proaktivne mjere kibernetičke sigurnosti su imperativ. Organizacije moraju ostati na oprezu, primjenjivati robusne sigurnosne protokole i biti u toku s najnovijim razvojem kibernetičke obrane. Poboljšanjem suradnje i razmjene informacija, globalna zajednica može se bolje suočiti s prijetnjama koje se razvijaju i predstavljaju skupine poput APT42.

Naposljetku, otkrića koja daje Mandiant služe kao otrežnjujući podsjetnik na upornu i sveprisutnu prirodu cyber prijetnji. Kako tehnologija napreduje, tako moraju i naše obrane. Samo kroz kolektivnu akciju i nepokolebljivu marljivost možemo se nadati da ćemo ublažiti rizike koje predstavljaju skupine za kibernetičku špijunažu koju sponzorira država poput APT42.