Правительство Ирана активно координирует действия с группами киберпреступников, специализирующимися на вымогательстве, для проведения атак на организации в США, Израиле, Азербайджане и Объединенных Арабских Эмиратах, сообщает ФБР. Источник: The Record
В своем отчете, опубликованном в среду, федеральные агентства США заявили о тесной связи иранских властей с этими хакерскими группировками.
ФБР подчеркивает, что значительная часть операций направлена на получение и развитие сетевого доступа, который затем используется для сотрудничества с группами, занимающимися распространением программ-вымогателей. Эти действия включают попытки получить и сохранить доступ к сетям жертв, прежде чем продавать этот доступ на криминальных рынках.
Иранские хакеры, как правило, скрывают свое происхождение и не раскрывают, что работают в интересах правительства Ирана. В своих атаках они нацелены не только на распространение программ-вымогателей, но и на кражу конфиденциальных технических данных у организаций в Израиле и Азербайджане.
Читайте также: Иранские хакеры заманивали сотрудников спецслужб для шпионажа
Особое внимание уделяется деятельности группы Pay2Key, которая, согласно данным ФБР, не занимается сбором выкупа, а стремится дискредитировать израильские организации. Иранская ИТ-компания Danesh Novin Sahand используется как прикрытие для киберактивности, и многие атаки основаны на уязвимостях интернет-активов.
Хакеры активно используют уязвимости в продуктах Ivanti, Citrix и BIG-IP F5, используя поисковую систему Shodan для нахождения уязвимых устройств. После проникновения в сети жертв, они создают учетные записи и пытаются получить более высокий уровень привилегий, чтобы расширить доступ к сети.
ФБР также обнаружило, что хакеры отключают антивирусное и защитное программное обеспечение или пытаются получить исключения из правил безопасности, чтобы свободно перемещаться по сети. В одном из случаев хакеры создали учетную запись с именем «Джон Маккейн» в честь покойного сенатора США.
Кроме того, злоумышленники используют доступ к облачным вычислительным ресурсам жертв как прикрытие для других атак, что, по мнению ФБР, применялось против академических учреждений и оборонных компаний. В некоторых случаях предыдущие взломы используются для передачи украденных данных от других жертв.
Напомним, ФБР расследует возможные связи APT42 с попытками вмешательства в выборы в США 2024 года.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet