Іранські хакери беруть участь у приховуванні компрометованої інформації про компанію

Одна з провідних іранських хакерських груп, що фінансується державою, потрапила в сумку, що продає доступ до скомпрометованих корпоративних мереж на підпільному форумі злому, повідомляє компанія з кібербезпеки.

участь

Компанія з кібербезпеки ідентифікувала групу під кодовою назвою Pioneer Kitten, іншим позначенням групи, також відомої як Fox Kitten або Parisite. Група, за якою Crowdstrike стверджує, що є підрядником іранського режиму, провела більшу частину 2019 та 2020 років у злому корпоративних мереж через уразливості в VPN та мережевому обладнанні.

Серед цих вразливих місць, якими користується група, є:

  • Імпульсні безпечні корпоративні VPN-мережі "Connect" (CVE-2019-11510)
  • VPN-сервери Fortinet під управлінням FortiOS (CVE-2018-13379)
  • Глобальний захист VPN-серверів Palo Alto Networks (CVE-2019-1579)
  • Сервери Citrix "ADC" та мережеві шлюзи Citrix (CVE-2019-19781)
  • Балансери навантаження BIG-IP для мереж F5 (CVE-2020-5902)

Насамперед фінансовий інтерес

Згідно з доповіддю фірми з кібербезпеки Dragos, група зламала мережеві пристрої, використовуючи згадані вище вразливості, встановивши бэкдори, а потім надавши доступ іншим іранським хакерським групам, таким як Shamoon (відомий як APT33), Oilrig (APT34) або Chafer.

Потім ці інші групи прийшли б розширити "початковий доступ", який Pioneer Kitten зміг отримати, роумінг боком по мережі, використовуючи шкідливе програмне забезпечення та більш просунуті експлойти, потім шукаючи та викрадаючи конфіденційну інформацію, яка могла б зацікавити іранський уряд. У своєму звіті Crowdstrike, зокрема, вказує, що Pioneer Kitten також був помічений як продавач доступу до деяких із цих скомпрометованих мереж на хакерських форумах, щонайменше, з липня 2020 року.

Для компанії з кібербезпеки цей раптовий відсоток передусім грошовий. Crowdstrike вважає, що група просто намагається диверсифікувати свої джерела доходу та монетизувати мережі, які не представляють цінності для іранської розвідки.

Типовими цілями хакерських груп, що підтримуються державою Ірану, зазвичай є компанії та уряди США, Ізраїлю та інших арабських країн на Близькому Сході. Загалом цільові сектори - це оборона, охорона здоров’я, технології та уряд. Все інше, швидше за все, недоступне іранським урядовим хакерам, і, швидше за все, буде доступне іншим бандам на хакерських форумах.