Sectorul energetic european a fost luat în vizor de presupuși hackeri iranieni
#„A fost probabil o misiune de recunoaștere”, a declarat Priscilla Moriuchi, de la firma de cibersecuritate Recorded Future.
O companie europeană din domeniul energiei a fost vizată în ultimele luni de hackeri despre care se crede că aveau legături cu Iranul. Acțiunile hackerilor au fost depistate de firma Recorded Future, care a explicat că intenția infractorilor cibernetici pare să fi fost să colecteze informații sensibile, ulterior probabil pregătind un atac informatic major.
PupyRAT, programul cu scop distructiv (malware) folosit în această operațiune de infiltrare, le permite hackerilor să acceseze sistemul informatic al țintei, putând obține inclusiv parole și informații sensibile din rețea.
În ciuda naturii open-source a acestui program malware, PupyRAT este preponderent asociat cu atacuri informatice efectuate de grupuri care au legături cu Iranul, în special de entitatea cunoscută drept APT 33.
Cercetătorii au descoperit că hackerii au acționat în perioada noiembrie 2019-ianuarie 2020, lucru ce indică faptul că operațiunea a început înainte de amplificarea crizei din Orientul Mijlociu ca urmare a eliminării generalului iranian Qassem Soleimani.
Firma de cibersecuritate a depistat un transfer intens de date de la compania afectată spre sistemul de comandă și control asociat cu campaniile anterioare în care a fost utilizat PupyRAT, lucru ce indică faptul că rețeaua a fost compromisă ca parte a unei campanii de spionaj.
„A fost probabil o misiune de recunoaștere”, a declarat pentru Priscilla Moriuchi, de la Recorded Future, pentru ZDNet.
Firma de cibersecuritate a informat compania vizată de hackeri și a ajutat firma de energie să elimine intrușii înainte ca aceștia să provoace alte daune.
„Pentru a permite operațiuni sau atacuri distructive, este nevoie de luni de zile de recunoaștere și înțelegere a comportamentului angajaților acestor companii și a modului în care o anumită abilitate ar putea afecta (…) distribuirea resurselor energetice”, a completat Moriuchi.
Recorded Future nu a oferit alte informații despre identitatea companiei de energie.
După asasinarea lui Soleimani, experți în domeniul securității cibernetice au avertizat că Iranul are dorința și capacitatea de a perturba sistemele informatice americane, și ar putea încerca inclusiv să distrugă bazele de date guvernamentale.
Divizia de cibersecuritate a Departamentului de Securitate Internă a avertizat recent că Iranul are capacitatea de a lansa atacuri informatice devastatoare și nu caută doar să sustragă „bani și date”.
Capacitățile Teheranului sunt mult mai avansate decât în 2009, când un raport confidențial, întocmit de serviciile de informații americane, concluziona că Iranul avea dorința de a provoaca daune, dar nu avea abilitățile și resursele necesare pentru a realiza acest lucru.
De atunci, hackerii iranieni au folosit programe malware pentru a infecta 30.000 de computere ale firmei Saudi Aramco, cea mai mare companie petrolieră din lume, distrugând date, și înlocuindu-le cu imaginea unui steag american în flăcări.
În 2013, hackerii iranieni au blocat activitatea băncilor americane, prin intermediul unui atac masiv de tip „denial of service” (blocare a accesului). De asemenea, au infectat mii de calculatoare ale companiei de cazionuri Las Vegas Sands Corp., după ce directorul său general, Sheldon G. Adelson, s-a pronunțat în favoarea bombardării Iranului.
În trecut, regimul de la Teheran a folosit mișcările islamiste Hezbollah și Hamas pentru acțiuni cibernetice, a declarat James A. Lewis, un expert în domeniul cibersecurității la Centrul pentru Studii Strategice și Internaționale din Washington. În caz de represalii, acest lucru oferă Iranului posibilitatea de nega la nivel public implicarea în astfel de acțiuni, a explicat expertul.