FireEye rivela l’esistenza degli hacker iraniani APT33
FireEye ha reso noto il profilo dettagliato di un gruppo hacker iraniano con capacità potenzialmente distruttive, chiamato da FireEye APT33. L’analisi di FireEye rivela che APT33 ha effettuato operazioni di spionaggio informatico almeno dal 2013 ed è probabile che lavori direttamente per il governo iraniano. Queste informazioni provengono da recenti indagini condotte da consulenti di FireEye Mandiant incident response in combinazione con le analisi di FireEye iSIGHT Threat Intelligence che ha svelato informazioni su operazioni, capacità e potenziali motivazioni di APT33.
APT33 ha preso di mira organizzazioni che abbracciano molteplici settori industriali e con sede negli Stati Uniti, Arabia Saudita e Corea del Sud. Il Gruppo ha mostrato un particolare interesse per le organizzazioni del settore aeronautico che operano sia in ambito militare sia commerciale, nonché per le organizzazioni del settore energetico legati alla produzione petrolchimica. Dalla metà del 2016 all’inizio del 2017, APT33 ha compromesso un’organizzazione statunitense nel settore dell’aviazione e si è rivolta a imprese con sede in Arabia Saudita con partecipazioni nel settore aeronautico. Nello stesso periodo, il gruppo si è inoltre concentrato su una società sudcoreana attiva nel settore petrolchimico e della raffinazione del petrolio. Nel maggio 2017, APT33 sembrava prendere di mira un’organizzazione saudita e un conglomerato economico sudcoreano utilizzando un file malevolo che tentava di attrarre le vittime proponendo posti di lavoro per un’azienda petrolchimica saudita. Gli analisti di FireEye ritengono che l’obiettivo dell’attacco alla organizzazione saudita possa essere stato un tentativo di ottenere informazioni sui rivali regionali, mentre l’obiettivo dell’attacco alle aziende sudcoreane fosse la raccolta di informazioni sulla collaborazione della Corea del Sud con l’industria petrolchimica saudita ed eventualmente su una collaborazione tra la Corea del Sud e l’industria petrolchimica Iraniana. L’APT33 può aver preso di mira queste organizzazioni come risultato del desiderio dell’Iran di espandere la propria produzione petrolchimica e migliorare la propria competitività all’interno della regione.
Spear Phishing : Il gruppo ha inviato email di phishing a dipendenti di aziende aeronautiche. Queste email includevano esche a tema reclutamento e comprendevano link a file HTML malevoli. Questi file contenevano descrizioni di lavoro e link ad annunci di lavoro legittimi su popolari siti web che avrebbero avuto rilevanza per le persone interessate. In alcuni casi APT33 ha inviato le email di phishing non personalizzate e con parametri predefiniti. Questo comportamento sembra essere stato un errore in quanto pochi minuti dopo l’invio di queste email, il gruppo ha inviato nuovamente le email agli stessi destinatari questa volta con i valori predefiniti rimossi.
Mascheramento del dominio : APT33 ha registrato diversi domini apparentemente associabili a società di aviazione saudite e organizzazioni occidentali che hanno partnership per fornire formazione, manutenzione e supporto per la flotta militare e commerciale dell’Arabia Saudita. Sulla base dei modelli di target osservati, APT33 ha probabilmente utilizzato questi domini nelle email di spear phishing indirizzate ai bersagli prescelti.
L’obiettivo dell’APT33 è quello di individuare le organizzazioni che operano nel settore dell’aviazione e dell’energia più strettamente vicini con gli interessi degli stati nazionali, il che implica che l’attore della minaccia è molto probabilmente sponsorizzato dal governo. Questo, unitamente alla tempistica delle operazioni, che coincide con l’orario di lavoro iraniano e all’uso di molteplici strumenti e nomi di server degli hacker iraniani rafforza la valutazione di FireEye secondo cui è probabile che l’APT33 abbia operato per conto del governo iraniano.
Contenuti correlati
-
Migliore safety, prestazioni e sicurezza per TotalEnergies con la rete OT di Allied Telesis
TotalEnergies, azienda multi-energy globale, ha aggiornato la rete OT delle sue piattaforme per l’estrazione di petrolio e gas nel Mare del Nord con un’infrastruttura di nuova generazione di Allied Telesis, attivo a livello globale nelle soluzioni di...
-
Cybersecurity e minacce informatiche, energy e utilities tra i settori più colpiti
Il settore energy e utilities fa parte dell’infrastruttura critica mondiale e sempre più si affida alle tecnologie digitali per gestire in modo integrato operazioni distribuite complesse e siti remoti, come i parchi eolici, le centrali e le...
-
V2X e ricarica intelligente: falsi miti e verità sulla cybersecurity
La tecnologia V2X (Vehicle-to-Everything) e la ricarica intelligente stanno rapidamente diventando realtà. Queste tecnologie offrono il potenziale per migliorare la sicurezza stradale, ridurre l’inquinamento e migliorare l’efficienza energetica. Tuttavia, queste tecnologie sono anche esposte a una serie...
-
Attenzione a Cosmicenergy, il malware creato per causare interruzioni alla rete elettrica
Mandiant ha pubblicato una ricerca a seguito della scoperta di un nuovo malware specializzato per i sistemi OT, chiamato Cosmicenergy. A seguito di indagini e valutazioni, Mandiant ritiene che questo malware sia stato progettato per causare interruzioni...
-
Oil&gas, la cybersecurity ha bisogno di un approccio innovativo
Anche nel settore oil&gas, un’ottima cybersecurity deve essere abbastanza agile da adattarsi senza sforzo ai cambiamenti, basandosi su raccomandazioni e best practice, più che su regole. Leggi l’articolo
-
Un sistema idrico resiliente
Analizziamo i rischi specifici di sicurezza che riguardano un’infrastruttura così critica, come quella idrica, tra attacchi reali e indicazioni per ridurre il rischio Leggi l’articolo
-
All’Automation Instrumentation Summit, Rockwell Automation parla di sicurezza
Nel corso dell’edizione 2022 dell’Automation Instrumentation Summit, l’imperdibile appuntamento internazionale che si terrà a Milano nell’ultima settimana di settembre, Rockwell Automation illustrerà come le aziende, adottando una serie di best practice e implementando strategie che tengano conto...
-
La cybersecurity ‘zero trust’ negli edifici di tutto il mondo
Johnson Controls ha acquisito Tempered Networks, provider di cybersecurity ‘zero trust’ con sede a Seattle. Tempered Networks ha creato la tecnologia Airwall, un sistema avanzato di autodifesa per gli edifici che consente un accesso sicuro alla rete...
-
Obiettivo resilienza informatica per CEO e CISO
Commento di Lucia Milică, Global Resident CISO, Proofpoint “È incoraggiante osservare che il tema della resilienza informatica sia preso sul serio da amministratori delegati e consigli di amministrazione, e un approccio più unificato per rispondere al rischio...
-
Attacco del malware Industroyer2 alla rete elettrica dell’Ucraina
Alla luce del tentativo di attacco di Sandworm alla rete elettrica Ucraina utilizzando una nuova versione del malware Industroyer, “Industroyer2”, Chris Grove, Director, Cybersecurity Strategy, Nozomi Networks commenta: “Tutti coloro che operano nel settore delle infrastrutture critiche...