Tο Ομοσπονδιακό Γραφείο Ερευνών (FBI), ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) και το Κέντρο Κυβερνοεγκλήματος του Υπουργείου Άμυνας (DC3) εξέδωσαν κοινή συμβουλευτική για την κυβερνοασφάλεια, προειδοποιώντας για συνεχιζόμενες κυβερνοεπιθέσεις από Ιρανούς χάκερς. Οι επιθέσεις αυτές στοχεύουν ένα ευρύ φάσμα οργανισμών, συμπεριλαμβανομένων εκείνων στους τομείς της εκπαίδευσης, της χρηματοδότησης, της υγειονομικής περίθαλψης και της άμυνας, καθώς και τοπικές κυβερνήσεις στις Ηνωμένες Πολιτείες και σε διάφορες άλλες χώρες, όπως το Ισραήλ και τα Ηνωμένα Αραβικά Εμιράτα.

Σύμφωνα με την αξιολόγηση του FBI, οι χάκερς στοχεύουν στη διεξαγωγή πολύπλευρων επιθέσεων που περιλαμβάνουν τόσο την κλοπή ευαίσθητων πληροφοριών όσο και τη συμμετοχή σε επιχειρήσεις ransomware (κλείδωμα αρχείων του υπολογιστή για λύτρα). Ο πρωταρχικός στόχος αυτών των δραστηριοτήτων είναι η απόκτηση και η επέκταση της πρόσβασης δικτύου σε κρίσιμους πληροφοριακούς πόρους, οι οποίοι μπορούν στη συνέχεια να αξιοποιηθούν σε συνεργασία με θυγατρικές εταιρείες ransomware. Η στρατηγική αυτή επιτρέπει στους χάκερς να αναπτύσσουν ransomware και να κρυπτογραφούν τα δεδομένα των θυμάτων, γεγονός που αντικατοπτρίζει ένα υψηλό επίπεδο οργάνωσης και συντονισμού μεταξύ διαφόρων ομάδων εγκληματιών του κυβερνοχώρου που δραστηριοποιούνται σε παγκόσμια κλίμακα.

Ένα από τα βασικά κίνητρα πίσω από αυτές τις επιθέσεις είναι η υποστήριξη των γεωπολιτικών συμφερόντων του Ιράν. Το FBI και η CISA αναφέρουν ότι οι κυβερνοεπιθέσεις στοχεύουν σε χώρες και οργανισμούς που ευθυγραμμίζονται με τα συμφέροντα και τους στόχους της εξωτερικής πολιτικής της ιρανικής κυβέρνησης. Αυτό περιλαμβάνει την κλοπή στρατηγικών πληροφοριών από δίκτυα που σχετίζονται με την άμυνα και την εθνική ασφάλεια στις ΗΠΑ, το Ισραήλ και τα Ηνωμένα Αραβικά Εμιράτα. Τέτοιες ενέργειες καταδεικνύουν μια ολοκληρωμένη προσέγγιση του Ιράν για τη χρήση του κυβερνοχώρου ως εργαλείου κρατικής τεχνικής.

Οι χάκερς επιδεικνύουν υψηλό βαθμό προσαρμοστικότητας και τεχνικής πολυπλοκότητας. Οι μέθοδοί τους εξελίσσονται συνεχώς, λαμβάνοντας υπόψη τις μεταβαλλόμενες συνθήκες και τα αμυντικά μέτρα. Οι πρόσφατες επιθέσεις αφορούσαν την εκμετάλλευση νέων ευπαθειών, όπως οι CVE-2024-24919 και CVE-2024-3400, σε συστήματα που χρησιμοποιούνται από μεγάλους οργανισμούς παγκοσμίως. Αυτές οι ευπάθειες επιτρέπουν στους επιτιθέμενους να διεισδύσουν σε εταιρικά δίκτυα και να αποκτήσουν έλεγχο σε κρίσιμα συστήματα.

Επιπλέον, οι επιτιθέμενοι χρησιμοποιούν ενεργά διάφορες τεχνικές, όπως η εκμετάλλευση ευάλωτων συνδέσεων VPN και συστημάτων ασφαλείας, για να αποκτήσουν αρχική πρόσβαση σε δίκτυα. Επίσης, αναπτύσσουν κακόβουλα web shells και backdoors, εξασφαλίζοντας συνεχή πρόσβαση και έλεγχο στα συστήματα των θυμάτων. Η δημιουργία ψεύτικων λογαριασμών χρηστών με δικαιώματα διαχειριστή και η χρήση τεχνικών παράλληλης φόρτωσης DLL για την παράκαμψη των μηχανισμών ασφαλείας είναι μερικές μόνο από τις μεθόδους που χρησιμοποιούνται.

Το FBI και άλλες υπηρεσίες πληροφοριών των ΗΠΑ αναφέρουνότι οι δραστηριότητες των Ιρανών υποστηρίζονται ενεργά από την ιρανική κυβέρνηση. Η υποστήριξη αυτή μπορεί να έχει τη μορφή πόρων και πληροφοριών, καθώς και την άμεση εμπλοκή με τις ιρανικές κρατικές δομές. Οι κυβερνοεπιθέσεις, που αποσκοπούν στην κλοπή ευαίσθητων πληροφοριών και στην υπονόμευση της οικονομικής και πολιτικής σταθερότητας των αντιπάλων του Ιράν, καταδεικνύουν σαφώς την πρόθεση να χρησιμοποιηθεί ο κυβερνοχώρος ως πεδίο μάχης για στρατηγική αντιπαράθεση.

Ταυτόχρονα, ορισμένες πτυχές των δραστηριοτήτων τους, όπως οι επιχειρήσεις ransomware, ενδέχεται να μην έχουν άμεση επιβολή κυρώσεων από την κυβέρνηση. Αυτό οφείλεται στο γεγονός ότι οι χάκερς είναι επιφυλακτικοί ως προς την πιθανή παρακολούθηση των συναλλαγών τους με κρυπτονομίσματα και επιθυμούν να ελαχιστοποιήσουν τους κινδύνους που συνδέονται με την έκθεση των δεσμών τους με επίσημες δομές. Η χρήση της εταιρείας Danesh Novin Sahand ως κάλυψη υποδηλώνει επίσης την επιθυμία να αποκρύψουν τις πραγματικές τους σχέσεις και προθέσεις.

Η ιρανική ομάδα χάκερς, γνωστή με διάφορα ψευδώνυμα όπως Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM και Lemon Sandstorm, ξεκίνησε τις ενεργές δραστηριότητές της το 2017. Με την πάροδο των ετών, έχουν πραγματοποιήσει πολυάριθμες επιτυχημένες επιθέσεις, αποδεικνύοντας όχι μόνο υψηλό επίπεδο τεχνικών δυνατοτήτων αλλά και ετοιμότητα προσαρμογής και επέκτασης του οπλοστασίου τους. Οι μέθοδοι και οι τακτικές τους έχουν υποστεί σημαντικές αλλαγές, επιτρέποντάς τους να παραμένουν σχετικοί και επικίνδυνοι παίκτες στην παγκόσμια σκηνή του κυβερνοχώρου.

Σε απάντηση στην απειλή που συνιστούν γι’ αυτούς οι Ιρανοί χάκερς του κυβερνοχώρου, το FBI και η CISA έχουν παράσχει διάφορες συστάσεις για τον μετριασμό των επιπτώσεων αυτών των επιθέσεων. Πρώτα απ’ όλα, οι οργανισμοί πρέπει να ενημερώνουν το λογισμικό και τα συστήματα ασφαλείας στις τελευταίες εκδόσεις για να κλείνουν τα γνωστά τρωτά σημεία. Είναι επίσης ζωτικής σημασίας η διεξαγωγή τακτικών ελέγχων ασφαλείας, η παρακολούθηση των δικτύων για ασυνήθιστη δραστηριότητα και η εκπαίδευση του προσωπικού σε βέλτιστες πρακτικές κυβερνοασφάλειας.

Το FBI συνιστά επίσης στους οργανισμούς να εφαρμόζουν έλεγχο ταυτότητας πολλαπλών παραγόντων, να περιορίζουν την πρόσβαση σε κρίσιμα συστήματα και να χρησιμοποιούν τεχνολογίες κρυπτογράφησης για την προστασία των δεδομένων. Σε περίπτωση υποψίας παραβίασης του συστήματος, συνιστάται η άμεση επικοινωνία με εμπειρογνώμονες κυβερνοασφάλειας και η ενημέρωση των αρμόδιων υπηρεσιών επιβολής του νόμου για τη διεξαγωγή ερευνών και την ελαχιστοποίηση της ζημίας.