Nel dicembre dello scorso anno FireEye è riuscita a identificare il gruppo di cyber spionaggio iraniano APT39, che ha rubato migliaia di informazioni personali. FireEye ha iniziato il monitoraggio delle attività legate a questo gruppo da novembre 2014, al fine di proteggere le organizzazioni dalle attività di APT39 fino ad oggi.
Benjamin Read, Senior Manager of Cyber Espionage Analysis di FireEye APT39 è il quarto gruppo di cyber threat iraniano che FireEye ha elevato al titolo di Advanced Persistent Threat. APT39 si distingue dalle altre attività di cyber spionaggio iraniane, in quanto si concentra sul furto di informazioni personali, mentre altri gruppi iraniani, generalmente, hanno come obiettivo informazioni governative e commerciali e a supporto di attacchi distruttivi. L’attenzione alle informazioni personali di APT39 probabilmente è a supporto di attività di pianificazione, monitoraggio e tracciamento di operazioni di intelligence al servizio delle priorità nazionali dell’Iran. FireEye ha aiutato a proteggere i propri clienti da questo gruppo e ne monitora le attività dal novembre 2014.
Intento operativo L’attenzione di APT39 per le industrie delle telecomunicazioni e del turismo suggerisce l’intenzione di effettuare operazioni di monitoraggio, tracciamento o sorveglianza nei confronti di specifici individui, di raccogliere dati proprietari o dei clienti per scopi commerciali od operativi, che rispondano a requisiti strategici legati alle priorità nazionali, o di creare ulteriori accessi e vettori per facilitare campagne di attacco future. Gli enti governativi che vengono presi di mira suggeriscono un potenziale intento secondario di raccogliere dati geopolitici che possano giovare al processo decisionale degli Stati.
Indicatori del legame con l’Iran FireEye ritiene con una moderata fiducia che le operazioni di APT39 siano condotte a sostegno degli interessi nazionali iraniani sulla base del fatto che gli obiettivi erano concentrati nel Medio Oriente, infrastrutture, tempistiche e somiglianze con APT34, un gruppo che si allinea vagamente con l’attività riportata pubblicamente come “OilRig”. Mentre APT39 e APT34 condividono alcune similitudini, tra cui i metodi di distribuzione del malware, l’utilizzo della backdoor POWBAT, le nomenclature usate per l’infrastruttura e le sovrapposizioni a livello di obiettivi, FireEye considera APT39 come un gruppo diverso da APT34 dato l’uso di una diversa variante di POWBAT.
Ciclo di vita dell’attacco APT39 utilizza diversi malware e tool sia proprietari sia pubblicamente disponibili in tutte le fasi del ciclo di vita dell’attacco.
Initial Compromise: per la compromissione iniziale, FireEye Intelligence ha osservato che APT39 sfrutta email di spear phishing con allegati e/o link malevoli, che comportano un’infezione con POWBAT. APT39 spesso registra e sfrutta domini che si fingono servizi web legittimi e organizzazioni di rilievo per le vittime.
Establish Foothold, Escalate Privileges, and Internal Reconnaissance: Dopo la fase della compromissione, APT39 sfrutta backdoor proprietarie come SEAWEED, CACHEMONEY e una specifica variante di POWBAT per stabilire un punto di appoggio nell’ambiente della vittima. Durante la fase di “escalation” dei privilegi, sono stati usati strumenti liberamente disponibili come Mimikatz e Ncrack, oltre a strumenti legittimi come Windows Credential Editor e ProcDump.
Lateral Movement, Maintain Presence, and Complete Mission: APT39 effettua movimenti laterali attraverso tantissimi strumenti come Remote Desktop Protocol (RDP), Secure Shell (SSH), PsExec, RemCom e xCmdSvc. Sono stati utilizzati anche strumenti proprietari come REDTRIP, PINKTRIP e BLUETRIP per creare proxy SOCKS5 tra host infetti. Sono presenti alcuni indicatori che dimostrano una certa propensione di APT39 al bypass dei sistemi di detection messi in campo dai difensori della rete delle vittime.
Previsioni FireEye ritiene che gli obiettivi principali di APT39 nel settore delle telecomunicazioni e del turismo, riflettano la volontà di raccogliere informazioni personali su obiettivi di interesse e dati dei clienti, a fini di controllo per facilitare operazioni future. Le società di telecomunicazione sono obiettivi di interesse in quanto conservano grandi quantità di informazioni personali e di clienti, forniscono l’accesso a infrastrutture critiche utilizzate per le comunicazioni e consentono l’accesso a un’ampia gamma di possibili obiettivi in diversi settori industriali.
