APT33

APT33 Kirjeldus

APT33 (Advanced Persistent Threat) pärineb aastast 2013. Pahavarauurijad usuvad, et häkkimisrühm on pärit Iraanist ja on tõenäoliselt riiklikult toetatud. Näib, et APT33 häkkimisrühma jõupingutused on keskendunud Iraani valitsuse huvide edendamisele, kuna nad kipuvad sihikule võtma välisriikide konkureerivaid tööstusharusid, mis on sageli kosmose-, kaitse- ja kemikaalide valdkonnas. Enamik nende kampaaniatest keskendub kolmele konkreetsele piirkonnale – Saudi Araabiale, Ameerika Ühendriikidele ja Lõuna-Koreale. Ei ole haruldane, et valitsused sponsoreerivad häkkimisrühmitusi ja kasutavad neid spionaažiks ja mitmesugusteks muudeks tegevusteks.

Viimane rünnak suunatud Saudi Araabiale

APT33 teeb anonüümseks jäämiseks palju pingutusi, kuna nad muudavad sageli nii häkkimistööriistu kui ka kasutatavat infrastruktuuri. 2019. aasta märtsis alustas APT33 rünnakut Saudi Araabia sihtmärkide vastu, kasutades Nanocore RAT-i ning mõnda aega pärast rünnaku toimumist muutsid nad täielikult oma infrastruktuuri ja lõpetasid Nanocore RAT-i kasutamise ning on selle asemel kasutanud uut RAT-i nimega njRAT .

Suur infrastruktuur

Veel üks nende kurikuulus häkkimistööriist on DropShoti tilguti. Nad on kasutanud ka StoneDrilli , omatehtud kettapuhastit, millel on mõned omadused Shamoon 2 klaasipuhastiga. Mõned eksperdid oletavad, et APT33 häkkimisrühmal on üle 1200 domeeni ja sadu servereid, mis näitavad meile, kui suur on nende infrastruktuur ja kui hõlpsalt saavad nad küberturbeeksperte lihtsalt marsruute vahetades petta.

Lisaks oma häkkimistööriistade väljatöötamisele kasutab APT33 sageli ka avalikult kättesaadavaid tööriistu, nagu AdwindRAT, SpyNet, RevengeRAT , DarkComet ja paljud teised. Tõenäoliselt jätkab APT33 oma tegevust ka tulevikus ning tõenäoliselt jätkab oma infrastruktuuri ja arsenali laiendamist.