Τρεις Ιρανοί υπήκοοι, που ονομάζονται Mansour Ahmadi, Ahmad Khatibi Aghda και Amir Hossein Nickaein Ravari, έχουν κατηγορηθεί στις ΗΠΑ για φερόμενη συμμετοχή τους σε εκστρατεία κυβερνοεπιθέσεων με στόχο πολλά θύματα στις ΗΠΑ, το Ηνωμένο Βασίλειο, το Ισραήλ και το Ιράν, συμπεριλαμβανομένων χειριστών critical national infrastructure (CNI).
Δείτε επίσης: Τα νέα Lenovo BIOS updates διορθώνουν security bugs σε εκατοντάδες μοντέλα
Οι ΗΠΑ κατηγορούν τους τρεις Ιρανούς ότι εκμεταλλεύτηκαν γνωστά τρωτά σημεία σε κοινό hardware και software δικτύωσης για να αποκτήσουν πρόσβαση στα συστήματα των στόχων τους, να εκμεταλλευτούν δεδομένα και άλλες πληροφορίες από αυτά και να πραγματοποιήσουν μια σειρά από επιθέσεις ransomware.
Εκτός από οργανισμούς στους τομείς της κυβέρνησης, της υγειονομικής περίθαλψης, των μεταφορών και των υπηρεσιών κοινής ωφέλειας, η τριάδα στόχευε και εκπαιδευτικά ιδρύματα, μη κερδοσκοπικούς οργανισμούς, θρησκευτικούς φορείς και μικρομεσαίες επιχειρήσεις.
«Οι επιθέσεις στον κυβερνοχώρο που σχετίζονται με λύτρα – όπως αυτή που συνέβη εδώ – είναι μια ιδιαίτερα καταστροφική μορφή εγκλήματος στον κυβερνοχώρο», δήλωσε ο δικηγόρος των ΗΠΑ Philip Sellinger.
«Καμία μορφή κυβερνοεπίθεσης δεν είναι αποδεκτή, αλλά οι επιθέσεις ransomware που στοχεύουν κρίσιμες υπηρεσίες υποδομής, όπως εγκαταστάσεις υγειονομικής περίθαλψης και κυβερνητικές υπηρεσίες, αποτελούν απειλή για την εθνική μας ασφάλεια. Χάκερ όπως οι κατηγορούμενοι καταβάλλουν κάθε δυνατή προσπάθεια για να κρατήσουν μυστική την ταυτότητά τους, αλλά πάντα υπάρχει ένα ψηφιακό ίχνος. Και θα το βρούμε».
Δείτε επίσης: Seesaw messaging app: Γονείς μαθητών έλαβαν μήνυμα με ακατάλληλη φωτογραφία
Ο βοηθός γενικός εισαγγελέας Matthew Olsen πρόσθεσε: «Αυτοί οι κατηγορούμενοι μπορεί να χάκαραν και να εκβίαζαν θύματα – συμπεριλαμβανομένων παρόχων υποδομών ζωτικής σημασίας – για προσωπικό τους όφελος, αλλά οι κατηγορίες αντικατοπτρίζουν πώς οι εγκληματίες μπορούν να ανθίσουν στο ασφαλές καταφύγιο που έχει δημιουργήσει η κυβέρνηση του Ιράν.»
«Σύμφωνα με το κατηγορητήριο, ακόμη και άλλοι Ιρανοί είναι λιγότερο ασφαλείς επειδή η δική τους κυβέρνηση αποτυγχάνει να ακολουθήσει τους διεθνείς κανόνες και να σταματήσει τους Ιρανούς εγκληματίες στον κυβερνοχώρο».
Οι συγκεκριμένες κατηγορίες, οι οποίες αποσφραγίστηκαν στις 14 Σεπτεμβρίου στην πολιτεία του Νιου Τζέρσεϊ (NJ), αφορούν δύο περιστατικά στην πολιτεία κατά τη διάρκεια ενός έτους.
Στο πρώτο περιστατικό, οι κατηγορούμενοι και οι συνεργάτες τους κατηγορούνται ότι στόχευσαν έναν δήμο στην κομητεία Union του Νιου Τζέρσεϋ, τον Φεβρουάριο του 2021, εκμεταλλευόμενοι γνωστά τρωτά σημεία για να αποκτήσουν πρόσβαση και να ελέγξουν τα δίκτυα τοπικής αυτοδιοίκησης και να δημιουργήσουν απομακρυσμένη πρόσβαση σε ένα domain εγγεγραμμένο στον Ahmadi.
Ένα χρόνο αργότερα, τον Φεβρουάριο του 2022, κατηγορούνται ότι στόχευσαν μια λογιστική εταιρεία στην γειτονική κομητεία Morris, αποκτώντας ξανά πρόσβαση και δημιουργώντας μια σύνδεση με έναν server που ελέγχεται από τον Nickaein, ο οποίος χρησιμοποιήθηκε για την εξαγωγή δεδομένων και, στη συνέχεια, για το λανσάρισμα μιας επίθεσης ransomware διπλού εκβιασμού, κατά την οποία ζήτησαν το ποσό των 50.000 δολαρίων σε κρυπτονομίσματα.
Τα άλλα θύματα της ομάδας πιστεύεται ότι ανέρχονται σε εκατοντάδες και είναι γνωστό ότι περιλάμβαναν μια άλλη λογιστική εταιρεία στο Ιλινόις, μια κυβέρνηση της κομητείας στο Ουαϊόμινγκ, μια κατασκευαστική εταιρεία στην Ουάσιγκτον, ένα καταφύγιο ενδοοικογενειακής βίας στην Πενσυλβάνια, επιχειρήσεις ηλεκτρισμού στην Ιντιάνα και τον Μισισιπή και μια δημόσια εταιρεία στέγασης στην Ουάσιγκτον.
Δείτε επίσης: Η καμπάνια domain typosquatting που στοχεύει τους χρήστες του Sniffies είναι ανεξέλεγκτη
Το κατηγορητήριο κατηγορεί και τους τρεις με μία κατηγορία συνωμοσίας για τη διάπραξη απάτης υπολογιστή και σχετικής δραστηριότητας, μία κατηγορία για σκόπιμη καταστροφή ενός προστατευμένου υπολογιστή και μία κατηγορία για μετάδοση αιτήματος σε σχέση με την καταστροφή ενός προστατευμένου υπολογιστή. Ο Ahmadi χρεώνεται επιπλέον με μια επιπλέον κατηγορία αυτή της σκόπιμης βλάβης ενός προστατευμένου υπολογιστή.
Σωρευτικά, οι κατηγορίες επισύρουν μέγιστη ποινή φυλάκισης 20 ετών και πρόστιμα έως και 250.000 $, αλλά καθώς και οι τρεις άνδρες κατοικούν στο Ιράν, αποκλείοντας σημαντικές γεωπολιτικές αλλαγές στην περιοχή, είναι απίθανο να εκδοθούν ποτέ για να δικαστούν.
Ο αντιπρόεδρος της Mandiant, John Hultquist, είπε ότι παρακολουθούσε την ομάδα, την οποία η Mandiant συνδέει με ένα σύμπλεγμα δραστηριότητας απειλών γνωστό ως UNC2448, το οποίο επίσης παρακολουθείται από άλλους ως DEV-0270 και Cobalt Mirage, για αρκετό καιρό. Η ομάδα είναι γνωστή για την εκτεταμένη σάρωση διαφόρων τρωτών σημείων, τη χρήση του εργαλείου Fast Reverse Proxy και τη δραστηριότητα ransomware χρησιμοποιώντας το BitLocker.
Επίσης όπως φαίνεται η ομάδα συνδέεται με το Σώμα των Φρουρών της Επανάστασης του Ιράν. Ωστόσο, είπε ο Hultquist, οι δραστηριότητες για τις οποίες κατηγορούνται οι άνδρες μπορεί να μην είχαν διαταχθεί από την Τεχεράνη.
Πηγή πληροφοριών: computerweekly.com
