FireEye mette in guardia contro gli hacker iraniani di APT33, gruppo attivo almeno dal 2013 che si è focalizzato sui settori energetico e dell’aviazione.
FireEye ha recentemente trasmesso il profilo dettagliato di un gruppo hacker iraniano con capacità potenzialmente distruttive, denominato proprio da FireEye APT33. L’APT33 starebbe effettuando operazioni di spionaggio informatico almeno dal 2013 ed è possibile che lavori direttamente per il governo iraniano. Fin qui, il gruppo ha mostrato particolare interesse per le organizzazioni del settore aeronautico in ambito militare e commerciale, nonché per le organizzazioni del settore energetico legate alla produzione petrolchimica.
Tra 2016 e inizio 2017, l’APT33 ha colpito un’organizzazione statunitense nel settore dell’aviazione e una società sudcoreana attiva nel settore petrolchimico. Il gruppo si è inoltre rivolto contro imprese con partecipazioni nel settore aeronautico e sede in Arabia Saudita. Nel maggio 2017, l’APT33 sembra aver attaccato almeno un’organizzazione saudita, forse nel tentativo di ottenere informazioni sui rivali regionali. Un altro attacco contro delle aziende sudcoreane potrebbe essere stato finalizzato alla raccolta di informazioni sulla collaborazione della Corea del Sud con organizzazioni nevralgiche nell’area iraniana e saudita. Secondo FireEye, il gruppo può aver preso di mira queste organizzazioni come risultato del desiderio dell’Iran di espandere la propria produzione petrolchimica e migliorare la propria competitività all’interno della regione.
Il gruppo ha inviato email di phishing a dipendenti di aziende aeronautiche. Queste email includevano esche a tema reclutamento e comprendevano link a file HTML malevoli. In alcuni casi l’APT33 ha inviato le email di phishing non personalizzate e con parametri predefiniti. Questo comportamento sembra essere stato un errore in quanto pochi minuti dopo l’invio di queste email, il gruppo ha inviato nuovamente le email agli stessi destinatari questa volta con i valori predefiniti rimossi.
L’APT33 ha registrato diversi domini apparentemente associabili a società di aviazione saudite e organizzazioni occidentali che hanno partnership per fornire formazione, manutenzione e supporto per la flotta militare e commerciale dell’Arabia Saudita. Sulla base dei modelli di target osservati, l’APT33 ha probabilmente utilizzato questi domini nelle email di spear phishing indirizzate ai bersagli prescelti.
L’obiettivo dell’APT33 è quello di individuare le organizzazioni che operano nel settore dell’aviazione e dell’energia più strettamente vicine con gli interessi degli stati nazionali, il che implica che l’attore della minaccia è molto probabilmente sponsorizzato dal governo. Questo, unitamente alla tempistica delle operazioni, che coincide con l’orario di lavoro iraniano e all’uso di molteplici strumenti e nomi di server degli hacker iraniani rafforza la valutazione di FireEye secondo cui è probabile che l’APT33 abbia operato per conto del governo iraniano.
John Hultquist, Director of Intelligence Analysis, FireEye
L’Iran ha ripetutamente dimostrato la volontà di sfruttare globalmente le sue capacità di spionaggio informatico. L’uso aggressivo di questo strumento, unito al mutamento della geopolitica, sottolinea il pericolo che l’APT33 rappresenta per i governi e gli interessi in Medio Oriente e nel mondo. Identificare questo gruppo e la sua capacità distruttiva rappresenta un’opportunità per le organizzazioni di rilevare e affrontare in modo proattivo le minacce correlate.