FireEye rivela l’esistenza degli hacker iraniani APT33
FireEye ha reso noto il profilo dettagliato di un gruppo hacker iraniano con capacità potenzialmente distruttive, chiamato da FireEye APT33. L’analisi di FireEye rivela che APT33 ha effettuato operazioni di spionaggio informatico almeno dal 2013 ed è probabile che lavori direttamente per il governo iraniano. Queste informazioni provengono da recenti indagini condotte da consulenti di FireEye Mandiant incident response in combinazione con le analisi di FireEye iSIGHT Threat Intelligence che ha svelato informazioni su operazioni, capacità e potenziali motivazioni di APT33.
APT33 ha preso di mira organizzazioni che abbracciano molteplici settori industriali e con sede negli Stati Uniti, Arabia Saudita e Corea del Sud. Il Gruppo ha mostrato un particolare interesse per le organizzazioni del settore aeronautico che operano sia in ambito militare sia commerciale, nonché per le organizzazioni del settore energetico legati alla produzione petrolchimica. Dalla metà del 2016 all’inizio del 2017, APT33 ha compromesso un’organizzazione statunitense nel settore dell’aviazione e si è rivolta a imprese con sede in Arabia Saudita con partecipazioni nel settore aeronautico. Nello stesso periodo, il gruppo si è inoltre concentrato su una società sudcoreana attiva nel settore petrolchimico e della raffinazione del petrolio. Nel maggio 2017, APT33 sembrava prendere di mira un’organizzazione saudita e un conglomerato economico sudcoreano utilizzando un file malevolo che tentava di attrarre le vittime proponendo posti di lavoro per un’azienda petrolchimica saudita. Gli analisti di FireEye ritengono che l’obiettivo dell’attacco alla organizzazione saudita possa essere stato un tentativo di ottenere informazioni sui rivali regionali, mentre l’obiettivo dell’attacco alle aziende sudcoreane fosse la raccolta di informazioni sulla collaborazione della Corea del Sud con l’industria petrolchimica saudita ed eventualmente su una collaborazione tra la Corea del Sud e l’industria petrolchimica Iraniana. L’APT33 può aver preso di mira queste organizzazioni come risultato del desiderio dell’Iran di espandere la propria produzione petrolchimica e migliorare la propria competitività all’interno della regione.
Spear Phishing : Il gruppo ha inviato email di phishing a dipendenti di aziende aeronautiche. Queste email includevano esche a tema reclutamento e comprendevano link a file HTML malevoli. Questi file contenevano descrizioni di lavoro e link ad annunci di lavoro legittimi su popolari siti web che avrebbero avuto rilevanza per le persone interessate. In alcuni casi APT33 ha inviato le email di phishing non personalizzate e con parametri predefiniti. Questo comportamento sembra essere stato un errore in quanto pochi minuti dopo l’invio di queste email, il gruppo ha inviato nuovamente le email agli stessi destinatari questa volta con i valori predefiniti rimossi.
Mascheramento del dominio : APT33 ha registrato diversi domini apparentemente associabili a società di aviazione saudite e organizzazioni occidentali che hanno partnership per fornire formazione, manutenzione e supporto per la flotta militare e commerciale dell’Arabia Saudita. Sulla base dei modelli di target osservati, APT33 ha probabilmente utilizzato questi domini nelle email di spear phishing indirizzate ai bersagli prescelti.
L’obiettivo dell’APT33 è quello di individuare le organizzazioni che operano nel settore dell’aviazione e dell’energia più strettamente vicini con gli interessi degli stati nazionali, il che implica che l’attore della minaccia è molto probabilmente sponsorizzato dal governo. Questo, unitamente alla tempistica delle operazioni, che coincide con l’orario di lavoro iraniano e all’uso di molteplici strumenti e nomi di server degli hacker iraniani rafforza la valutazione di FireEye secondo cui è probabile che l’APT33 abbia operato per conto del governo iraniano.
Contenuti correlati
-
Dolomiti Energia supportata da Impresoft per fare innovazione in sicurezza
La cybersecurity è diventata una priorità per le aziende, da quando la tecnologia e l’innovazione hanno permeato i processi di produzione e di comunicazione. Da questa consapevolezza è nata la necessità del Gruppo Dolomiti Energia, a seguito...
-
Più sicurezza nei settori idrico ed energetico con Emerson e Nozomi Networks
Emerson e Nozomi Networks hanno esteso la loro collaborazione per rispondere in modo più efficace alla crescente domanda di servizi e soluzioni di cybersecurity OT in ambito energetico e idrico. Per i clienti della piattaforma di automazione...
-
Nuove competenza per l’Economia Circolare
La doppia transizione, digitale e green, comporta una revisione dei ruoli e delle competenze all’interno delle aziende produttive. Il criterio base della circolarità trova il supporto di alcune tecnologie che poi sono fondamentali per sostenere il processo...
-
Solare a rischio di attacco, lo svela una ricerca di Bitdefender
Bitdefender ha pubblicato una ricerca sui punti deboli di una piattaforma di gestione di impianti fotovoltaici ampiamente utilizzata e di una piattaforma di inverter fotovoltaici. Le vulnerabilità, se accoppiate, potrebbero consentire a un hacker di ottenere pieno...
-
Le ultime innovazioni per il settore oil&gas e la cybersecurity protagoniste a Piacenza
Dall’escavatore multifunzionale che si trasforma in posa tubi, al programma di testing automatizzato che scopre le vulnerabilità della propria società, fino al “gruppo di intervento anti-hacker”, che interviene in caso di attacco. Sono alcune delle novità presentate...
-
Migliore safety, prestazioni e sicurezza per TotalEnergies con la rete OT di Allied Telesis
TotalEnergies, azienda multi-energy globale, ha aggiornato la rete OT delle sue piattaforme per l’estrazione di petrolio e gas nel Mare del Nord con un’infrastruttura di nuova generazione di Allied Telesis, attivo a livello globale nelle soluzioni di...
-
Cybersecurity e minacce informatiche, energy e utilities tra i settori più colpiti
Il settore energy e utilities fa parte dell’infrastruttura critica mondiale e sempre più si affida alle tecnologie digitali per gestire in modo integrato operazioni distribuite complesse e siti remoti, come i parchi eolici, le centrali e le...
-
V2X e ricarica intelligente: falsi miti e verità sulla cybersecurity
La tecnologia V2X (Vehicle-to-Everything) e la ricarica intelligente stanno rapidamente diventando realtà. Queste tecnologie offrono il potenziale per migliorare la sicurezza stradale, ridurre l’inquinamento e migliorare l’efficienza energetica. Tuttavia, queste tecnologie sono anche esposte a una serie...
-
Attenzione a Cosmicenergy, il malware creato per causare interruzioni alla rete elettrica
Mandiant ha pubblicato una ricerca a seguito della scoperta di un nuovo malware specializzato per i sistemi OT, chiamato Cosmicenergy. A seguito di indagini e valutazioni, Mandiant ritiene che questo malware sia stato progettato per causare interruzioni...
-
Oil&gas, la cybersecurity ha bisogno di un approccio innovativo
Anche nel settore oil&gas, un’ottima cybersecurity deve essere abbastanza agile da adattarsi senza sforzo ai cambiamenti, basandosi su raccomandazioni e best practice, più che su regole. Leggi l’articolo