Хакери поврзани со Иран ја пробиле личната е-пошта на директорот на ФБИ, го нападнаа Stryker со „wiper“ напад

Актери со врски со Иран успешно влегле во личната е-пошта на Каш Пател, директор на Федералното биро за истраги на САД (ФБИ), и објавиле збирка фотографии и други документи на интернет.

Handala Hack Team, кој го извршил пробивот, на својата веб-страница соопшти дека Пател „сега ќе го најде своето име меѓу листата на успешно хакирани жртви“. Во изјава споделена со Reuters, ФБИ потврди дека е-поштата на Пател била цел на напад и нагласи дека се преземени неопходни чекори за „намалување на потенцијалните ризици поврзани со оваа активност“.

Агенцијата исто така соопшти дека објавените податоци се „од историска природа и не вклучуваат владини информации“. Протекувањето вклучува е-пораки од 2010 и 2019 година, наводно испратени од Пател.

Се проценува дека Handala Hack е проиранска, пропалестинска хактивистичка група, поврзана со Министерството за разузнавање и безбедност на Иран (MOIS). Во сајбер-безбедносната заедница е позната и под имињата Banished Kitten, Cobalt Mystique, Red Sandstorm и Void Manticore, а групата управува и со друга „персона“ наречена Homeland Justice, насочена кон албански цели од средината на 2022 година.

Трета персона поврзана со MOIS е Karma, за која се смета дека од крајот на 2023 година целосно е заменета со Handala Hack.

Податоци од StealthMole покажуваат дека присуството на Handala на интернет се протега надвор од апликации за пораки и сајбер-криминални форуми како BreachForums, со слоевита инфраструктура која вклучува јавни веб-домени, Tor услуги и надворешни платформи за хостирање фајлови како MEGA.

„Handala постојано таргетира ИТ и сервис провајдери со цел да дојде до креденцијали, главно користејќи компромитирани VPN сметки за почетен пристап“, соопшти Check Point. „Во последните месеци идентификувавме стотици обиди за најава и brute-force напади врз организациски VPN инфраструктури поврзани со Handala.“

Нападите на оваа група користат RDP за латерално движење и иницираат деструктивни операции со „wiper“ малвери како Handala Wiper и Handala PowerShell Wiper преку Group Policy скрипти. Се користат и легитимни алатки за енкрипција на диск како VeraCrypt за да се отежни обновувањето.

„За разлика од финансиски мотивираните сајбер-криминални групи, активностите поврзани со Handala историски се фокусираат на нарушување, психолошко влијание и геополитичко сигнализирање“, соопшти Flashpoint. „Операциите често се совпаѓаат со периоди на зголемени геополитички тензии и таргетираат организации со симболична или стратешка вредност.“

Овој развој се случува во контекст на конфликтот меѓу САД, Израел и Иран, при што Иран започнал одмаздничка сајбер офанзива кон западни цели. Handala Hack презеде одговорност за парализирање на мрежите на компанијата Stryker преку бришење огромна количина податоци и уништување на илјадници уреди на вработени. Ова е првиот потврден деструктивен „wiper“ напад врз компанија од Fortune 500 во САД.

Во ажурирање, Stryker соопшти дека „инцидентот е ставен под контрола“ и дека брзо реагирале за да го отстранат неовластениот пристап, демонтирајќи ги механизмите за упорност. Пробивот бил ограничен на нивната интерна Microsoft околина.

Напаѓачите користеле злонамерен фајл за извршување команди и прикривање на активностите, но фајлот немал можност да се шири низ мрежата.

Според Palo Alto Networks Unit 42, главниот вектор за напад бил злоупотреба на идентитет преку фишинг и административен пристап преку Microsoft Intune. Hudson Rock пронашол докази дека компромитирани креденцијали добиени преку infostealer малвер биле искористени во нападот.

По инцидентот, Microsoft и CISA објавија препораки за зајакнување на Windows домени и Intune, вклучувајќи принцип на најмал привилегија, MFA отпорна на фишинг и повеќекратна администраторска потврда.

Flashpoint го оцени нападот врз Stryker како опасна ескалација на закани во снабдувачките синџири, бидејќи напади врз критични добавувачи можат да имаат пошироки последици врз здравствениот систем.

Протекувањето на е-поштата на Пател следува по операција одобрена од суд, со која биле запленети четири домени поврзани со MOIS. Владата на САД нуди награда од 10 милиони долари за информации за членовите на групата.

Американското Министерство за правда соопшти дека домените биле користени за психолошки операции, објавување украдени податоци и повици за насилство.

ФБИ исто така откри дека групата користи социјален инженеринг преку апликации за пораки за ширење Windows малвер кој овозможува далечински пристап преку Telegram бот, маскиран како популарни апликации.

Користењето на Telegram како C2 инфраструктура им помага на напаѓачите да ја сокријат злонамерната активност во нормален мрежен сообраќај. Малверот има и способности за снимање аудио и екран за време на Zoom сесии.

Нападите биле насочени кон дисиденти, новинари и опозициски групи ширум светот.

Во меѓувреме, Handala Hack се појави на нов домен, тврдејќи дека акциите на САД се „очајни обиди за замолчување“.

Конфликтот доведе до пораст на DDoS напади, дефејс на веб-страници и операции за протекување податоци, со цел да се создаде страв и конфузија.

Дополнително, нова група наречена Nasir Security таргетира енергетски компании на Блискиот Исток преку напади на снабдувачки синџири.

„Сајбер активностите поврзани со овој конфликт стануваат сè подецентрализирани и подеструктивни“, изјави експерт од Flashpoint.

MOIS-актерите сè повеќе соработуваат со сајбер-криминалниот екосистем, користејќи алатки како Rhadamanthys stealer и други малвери, што го отежнува следењето и припишувањето на нападите.

„Користењето криминален софтвер создава конфузија и ја отежнува точната анализа, што покажува дека ваквиот пристап е ефикасен за прикривање“, заклучи Check Point.

Извори:

• The Hacker News – Iran-Linked Hackers Breach FBI Director’s Personal Email, Hit Stryker With Wiper Attack The Hacker News