الرئيسيةعريقبحث

فريق عفريتي


☰ جدول المحتويات


Advanced Persistent Threat 33 (APT33) هي مجموعة من المخترقين وصفتها FireEye بأنها مدعومة من قبل حكومة إيران .[1]

تم تسمية المجموعة أيضًا باسم Refined Kitten (بواسطة Crowdstrike ) و Magnallium (بواسطة Dragos) و Holmium (بواسطة Microsoft ).[2][3][4]

التاريخ

منذو عام 2017 تتبعت FireEye و الولايات المتحده المجموعة.تعتقد شركة الامن FireEye أن المجموعة كانت نشطة منذو عام 2013 على الأقل . لدى FireEye دليل قوي على أنها تعمل نيابة عن الحكومة الإيرانية. وعلى الرغم من أنها مركزة إلى حد كبير على التجسس الخفي، فقد وجدت FireEye روابط لأنشطة بينها وبين قطعة من البرامج الضارة التي تدمر البيانات والتي حللها محللو الامن منذو وقت سابق من عام 2017.[5]

أهداف

وبحسب ما ورد استهدف APT33 أهداف حساسة صناعة الطيران والدفاع والبتروكيماويات في الولايات المتحدة وكوريا الجنوبية والمملكة العربية السعودية وفي الشرق الأوسط عموما .[1]

طريقة العمل

وبحسب ما ورد تستخدم المجموعة برنامج قطارة يسمى DropShot ، والذي يمكنه نشر ماسحات الاقراص الصلبة تسمى ShapeShift ، أو تثبيت مستتر خلفي يسمى TurnedUp.

تم الكشف عن استخدام المجموعة لأداة ALFASHELL لإرسال رسائل بريد إلكتروني للتصيد العشوائي محملة بمواقع وهمية .[1]

المجالات التي تستهدفها المجموعة تستهدف العديد من الكيانات التجارية، بما في ذلك بوينغ ، وشركة السلام للطائرات، ونورثروب غرومان وفينيل .[1]

هوية

لاحظت FireEye و Kaspersky Lab أوجه التشابه بين ShapeShift و Shamoon ، وهو فيروس آخر مرتبط بإيران. كما استخدمت APT33 الفارسية في ShapeShift و DropShot ، وكانت أكثر نشاطًا خلال ساعات العمل في توقيت إيران الرسمي ، حيث ظلت غير نشطة في عطلة نهاية الأسبوع الإيرانية.[1]

تم ربط أحد المتطفلين المعروفين باسم مستعار xman_1365_x بكل من رمز أداة TurnedUp ومعهد النصر الإيراني، والذي تم ربطه بالجيش الإيراني الإلكتروني .[1][6] xman_1365_x لها حسابات على منتديات الهاكر الإيرانية، بما في ذلك Shabgard و Ashiyane .[7]

المراجع

  1. O'Leary, Jacqueline; Kimble, Josiah; Vanderlee, Kelli; Fraser, Nalani (September 20, 2017). "Insights into Iranian Cyber Espionage: APT33 Targets Aerospace and Energy Sectors and has Ties to Destructive Malware". FireEye. مؤرشف من الأصل في 6 أكتوبر 2019.
  2. Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S. | Symantec Blogs - تصفح: نسخة محفوظة 5 أكتوبر 2019 على موقع واي باك مشين.
  3. Magnallium | Dragos - تصفح: نسخة محفوظة 2 سبتمبر 2019 على موقع واي باك مشين.
  4. https://web.archive.org/web/20190902010003/https://apnews.com/c5e1d8f79e86460fbfbd4d36ae348156. مؤرشف من الأصل في 2 سبتمبر 2019.
  5. Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". وايرد. مؤرشف من الأصل في 16 أغسطس 2019.
  6. Auchard, Eric; Wagstaff, Jeremy; Sharafedin, Bozorgmehr (September 20, 2017). Heinrich (المحرر). "Once 'kittens' in cyber spy world, Iran gaining hacking prowess: security experts". رويترز. مؤرشف من الأصل في 30 مارس 2019. FireEye found some ties between APT33 and the Nasr Institute - which other experts have connected to the Iranian Cyber Army, an offshoot of the Revolutionary Guards - but it has yet to find any links to a specific government agency, Hultquist said.
  7. Cox, Joseph. "Suspected Iranian Hackers Targeted U.S. Aerospace Sector". ذا ديلي بيست. مؤرشف من الأصل في 21 سبتمبر 2017. Included in a piece of non-public malware APT33 uses called TURNEDUP is the username “xman_1365_x.” xman has accounts on a selection of Iranian hacking forums, such as Shabgard and Ashiyane, although FireEye says it did not find any evidence to suggest xman was formally part of those site’s hacktivist groups. In its report, FireEye links xman to the “Nasr Institute,” a hacking group allegedly controlled by the Iranian government.