APT34

APT34 (Advanced Persistent Threat) on Iraanis asuv häkkimisrühmitus, mis on tuntud ka kui OilRig, Helix Kitten ja Greenbug. Pahavaraeksperdid usuvad, et APT34 häkkimisgruppi sponsoreerib Iraani valitsus ja seda kasutatakse Iraani huvide edendamiseks kogu maailmas. APT34 häkkimisgruppi märgati esmakordselt 2014. aastal. See riiklikult toetatud häkkimisrühm on tavaliselt suunatud välismaistele energia-, finants-, keemia- ja kaitsetööstuse ettevõtetele ja institutsioonidele.

Tegutseb Lähis-Idas

APT34 tegevus on koondunud peamiselt Lähis-Ida piirkonda. Sageli kasutavad häkkimisrühmad vananenud tarkvara teadaolevaid ärakasutusi. Siiski eelistab APT34 levitada oma ohte sotsiaalse insenertehnika abil. Rühm on tuntud harvanähtavate tehnikate kasutamise poolest – näiteks DNS-protokolli kasutamine, et luua sidekanal nakatunud hosti ja kontrollserveri vahel. Samuti toetuvad nad regulaarselt omatehtud häkkimistööriistadele, selle asemel et kasutada avalikke tööriistu.

Tonedeaf tagauks

Ühes oma viimases kampaanias on APT34 suunatud nii energiasektori töötajatele kui ka välisriikide valitsustes töötavatele isikutele. APT34 lõi võltsitud suhtlusvõrgustiku ja esines seejärel Cambridge'i ülikooli esindajana, kes soovib töötajaid palgata. Nad on jõudnud isegi võlts LinkedIni profiili loomiseni, mille eesmärk on veenda arvutikasutajat tööpakkumise õiguspärasuses. APT34 saadaks sihitud ohvrile sõnumi, mis sisaldaks faili nimega "ERFT-Details.xls", mis kannab pahavara kasulikku koormust. Loobunud pahavara nimetatakse Tonedeafi tagaukseks ja käivitamisel loob see kohe ühenduse ründaja C&C (Command & Control) serveriga. See saavutatakse POST-i ja HTTP GET-päringute kaudu. Pahavara Tonedeaf suudab:

• Faile üles laadima.
• Laadi alla failid.
• Koguge teavet ohustatud süsteemi kohta.
• Käivitage shellikäsud.

Lisaks peamistele võimalustele on Tonedeafi tagauks APT34 jaoks värav, mis võimaldab nakatunud hostile rohkem pahavara istutada.

Grupp ei ole kindlasti rahul sellega, et tal on kontroll ainult ühe ohustatud organisatsiooni süsteemi üle. Neid nähti kasutamas paroolide kogumise tööriistu, et pääseda regulaarselt ligi sisselogimismandaatidele ning seejärel proovida ja kasutada neid samas ettevõtte võrgus leiduvatesse teistesse süsteemidesse imbumiseks.

APT34 kipub kasutama häkkimistööriistu, mille nad on peamiselt välja töötanud, kuid mõnikord kasutavad nad oma kampaaniates ka avalikult kättesaadavaid tööriistu.