APT33 è attiva almeno dal 2013

FireEye scopre un gruppo di hacker, APT33 che per conto dell’Iran, da tempo compie azioni di cyber spionaggio contro organizzazioni Usa, dell’Arabia Saudita e della Corea del Sud. L’azienda di cybersecurity ha rilevato in particolare che la formazione è attiva almeno dal 2013 ed è interessata ai settori dell’energia, soprattutto petrolchimiche, e dell’aviazione. Sia civile sia militare. Da metà del 2016 agli inizi del 2017 si legge in un rapporto sul gruppo, è stata compromessa un’organizzazione americana aerospaziale e un conglomerato legato sempre agli aerei. Parallelamente è stata presa di mira un’azienda di Seul attiva nella raffinazione e a maggio di quest’anno sono state attaccate due aziende con false offerte di lavoro da una presunta compagnia petrolifera saudita.

Le cyber spie iraniane cercano di rubare segreti militari e far ottenere a Teheran vantaggi economici

A seguito dell’analisi, FireEye ritiene che APT33 con cyber attacchi mirati stia cercando di rubare segreti sull’aviazione militare dell’Arabia Saudita per fornire un vantaggio all’Iran. Sia a livello interno sia a livello di decisioni strategiche nei riguardi del Regno. Inoltre, passando da Riad, gli hacker puntano a ottenere informazione sugli altri paesi della Regione. Nei riguardi della Corea del Sud, invece, il discorso è diverso. Recentemente Seul e Teheran hanno firmato una partnership a livello petrolchimico industriale. Ma la nazione asiatica ha anche accordi con aziende saudite e la Repubblica scita è intenzionata espandersi su questo versante nell’area.

La caratteristica di APT33 è l’uso massiccio dello spear phishing e di esche costruite bene

La tecnica di cyber intrusione più usata da APT33, almeno finora, è quella dello spear phishing. Vengono inviate email a impiegati che lavorano per il bersaglio con offerte di lavoro come esca. Queste contengono link ad applicazioni HTML malevole (files .hta). A proposito, gli esperti di FireEye sono convinti che gli hacker diffondano i malware attraverso moduli di phishing disponibili a tutti. In particolare ALFA TEaM Shell (alias ALFASHELL). peraltro le esche sono costruite molto bene, tanto da essere credibili per chi vi si imbatte. Per far ciò il gruppo ha registrato multipli domini falsi, molto simili a quelli di realtà del settore e che spesso operano insieme.

APT33 è un gruppo o un singolo hacker di stato iraniano?

In teoria APT33 è un gruppo, ma non si esclude nemmeno sia un singolo soggetto. A proposito FireEye ha identificato un iraniano, che potrebbe essere l’artefice della cyber offensiva. Il soggetto è stato  chiamato  “xman_1365_x”. Questo potrebbe essere coinvolto nello sviluppo e nell’uso della backdoor TURNEDUP. Di lui o lei si sa che è stato un community manager nel forum di programmatori iraniani Barnamenevis e che ha registrato account sui forum Shabgard e Ashiyane, sempre della Repubblica sciita.  Inoltre, “xman_1365_x” è collegato al “Nasr Institute”, la struttura che gestisce il cyber army di Teheran e che fa capo direttamente al governo. L'”Istituto” tra il 2011 e il 2013 è stato responsabile di un’offensiva informatica contro l’industria finanziaria: una serie di attacchi DDoS chiamati operazione Ababil.

Perché FireEye ritiene che APT33 sia legato o faccia parte del governo iraniano

Secondo il rapporto di FireEye, oltre a quanto rilevato finora, ci sono altri elementi concreti che indicano una direzione precisa. Innanzitutto gli obiettivi e i bersagli di APT33 sono allineati con quelli di un attore a livello nazione. Di conseguenza, è molto probabile che gli hacker lavorino per qualche governo. Inoltre, il timing delle cyber offensive coincide con l’orario di lavoro in Iran e sono usati tools creati e impiegati nella Repubblica sciita, nonché server con nomi specifici. Sul primo fronte, si segnala anche che non si sono registrate aggressioni di giovedì, giorno di chiusura degli uffici governativi e delle aziende nel paese. Nella maggior parte delle nazioni arabe in Medio Oriente e Asia, questo invece è il venerdì. Sul secondo, che come backdoors il gruppo ha impiegato prodotti come NANOCORE, NETWIRE e ALFA Shell, ampiamente diffusi sui siti di hacking iraniani.

Il rapporto completo di FireEye sugli hacker di stato iraniani: sui loro obiettivi e le tecniche usate