فريق عفريتي

Advanced Persistent Threat 33 (APT33) هي مجموعة من المخترقين وصفتها FireEye بأنها مدعومة من قبل حكومة إيران .

تم تسمية المجموعة أيضًا باسم Refined Kitten (بواسطة Crowdstrike ) وMagnallium (بواسطة Dragos) وHolmium (بواسطة Microsoft ).

التاريخ

منذوعام 2017 تتبعت FireEye والولايات المتحده المجموعة.تعتقد شركة الامن FireEye حتى المجموعة كانت نشطة منذوعام 2013 على الأقل . لدى FireEye مرشد قوي على أنها تعمل نيابة عن الحكومة الإيرانية. وعلى الرغم من أنها مركزة إلى حد كبير على التجسس الخفي، فقد وجدت FireEye روابط لأنشطة بينها وبين بترة من البرامج الضارة التي تدمر البيانات والتي حللها محللوالامن منذووقت سابق من عام 2017.

أهداف

وبحسب ما ورد استهدف APT33 أهداف حساسة صناعة الطيران والدفاع والبتروكيماويات في الولايات المتحدة وكوريا الجنوبية والمملكة العربية السعودية وفي الشرق الأوسط عموما .

طريقة العمل

وبحسب ما ورد تستخدم المجموعة برنامج قطارة يسمى DropShot ، والذي يمكنه نشر ماسحات الاقراص الصلبة تسمى ShapeShift ، أوتثبيت مستتر خلفي يسمى TurnedUp.

تم الكشف عن استخدام المجموعة لأداة ALFASHELL لإرسال رسائل بريد إلكتروني للتصيد العشوائي محملة بمواقع وهمية .

المجالات التي تستهدفها المجموعة تستهدف الكثير من الكيانات التجارية، بما في ذلك بوينغ ، وشركة السلام للطائرات، ونورثروب غرومان وفينيل .

هوية

لاحظت FireEye وKaspersky Lab أوجه التشابه بين ShapeShift وShamoon ، وهوفيروس آخر مرتبط بإيران. كما استخدمت APT33 الفارسية في ShapeShift وDropShot ، وكانت أكثر نشاطًا خلال ساعات العمل في توقيت إيران الرسمي ، حيث ظلت غير نشطة في عطلة نهاية الأسبوع الإيرانية.

تم ربط أحد المتطفلين المعروفين باسم مستعار xman_1365_x بكل من رمز أداة TurnedUp ومعهد النصر الإيراني، والذي تم ربطه بالجيش الإيراني الإلكتروني . xman_1365_x لها حسابات على منتديات الهاكر الإيرانية، بما في ذلك Shabgard وAshiyane .

المراجع

↑ O'Leary, Jacqueline; Kimble, Josiah; Vanderlee, Kelli; Fraser, Nalani (September 20, 2017). "Insights into Iranian Cyber Espionage: APT33 Targets Aerospace and Energy Sectors and has Ties to Destructive Malware". FireEye. مؤرشف من الأصل فيستة أكتوبر 2019.
^ Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S. | Symantec Blogs نسخة محفوظةخمسة أكتوبر 2019 على مسقط واي باك مشين.
^ Magnallium | Dragos نسخة محفوظة 2 سبتمبر 2019 على مسقط واي باك مشين.
^ https://web.archive.org/web/20190902010003/https://apnews.com/c5e1d8f79e86460fbfbd4d36ae348156. مؤرشف من الأصل في 2 سبتمبر 2019. مفقود أوفارغ |title= (مساعدة)
^ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". وايرد. مؤرشف من الأصل في 16 أغسطس 2019.
^ Auchard, Eric; Wagstaff, Jeremy; Sharafedin, Bozorgmehr (September 20, 2017). Heinrich (المحرر). "Once 'kittens' in cyber spy world, Iran gaining hacking prowess: security experts". رويترز. مؤرشف من الأصل في 30 مارس 2019. FireEye found some ties between APT33 and the Nasr Institute - which other experts have connected to the Iranian Cyber Army, an offshoot of the Revolutionary Guards - but it has yet to find any links to a specific government agency, Hultquist said.
^ Cox, Joseph. "Suspected Iranian Hackers Targeted U.S. Aerospace Sector". ذا ديلي بيست. مؤرشف من الأصل في 21 سبتمبر 2017. Included in a piece of non-public malware APT33 uses called TURNEDUP is the username “xman_1365_x.” xman has accounts on a selection of Iranian hacking forums, such as Shabgard and Ashiyane, although FireEye says it did not find any evidence to suggest xman was formally part of those site’s hacktivist groups. In its report, FireEye links xman to the “Nasr Institute,” a hacking group allegedly controlled by the Iranian government.