APT33

APT33 (Advanced Persistent Threat) on peräisin vuodelta 2013. Haittaohjelmatutkijat uskovat, että hakkerointiryhmä on peräisin Iranista ja on todennäköisesti valtion tukema. Vaikuttaa siltä, että APT33-hakkerointiryhmän ponnistelut keskittyvät Iranin hallituksen etujen edistämiseen, koska niillä on taipumus kohdistua ulkomaisten maiden kilpaileviin teollisuudenaloihin usein ilmailu-, puolustus- ja kemikaalien alalla. Suurin osa heidän kampanjoistaan keskittyy kolmeen tiettyyn alueeseen – Saudi-Arabiaan, Yhdysvaltoihin ja Etelä-Koreaan. Ei ole harvinaista, että hallitukset sponsoroivat hakkerointiryhmiä ja palkkaavat niitä vakoiluun ja muihin toimintoihin.

Viimeisin Saudi-Arabiaan kohdistettu hyökkäys

APT33 vaatii melko paljon vaivaa pysyäkseen nimettömänä, koska he muuttavat usein hakkerointityökalujaan sekä käyttämänsä infrastruktuuria. Maaliskuussa 2019 APT33 aloitti hyökkäyksen Saudi-Arabiassa olevia kohteita vastaan Nanocore RAT:lla ja hetken kuluttua hyökkäyksestä he muuttivat täysin infrastruktuuriaan ja lopettivat Nanocore RAT:n käytön ja ovat sen sijaan käyttäneet uutta RAT: ia nimeltä njRAT.

Laaja infrastruktuuri

Toinen heidän surullisen kuuluisista hakkerointityökaluistaan on DropShot-pisara. He ovat myös käyttäneet StoneDrilliä, heidän itse tehtyään levypyyhkijää , jolla on joitain samoja ominaisuuksia kuin Shamoon 2 -pyyhkimellä. Jotkut asiantuntijat spekuloivat, että APT33-hakkerointiryhmällä on yli 1 200 verkkotunnusta ja satoja palvelimia, jotka osoittavat meille, kuinka laaja heidän infrastruktuurinsa on ja kuinka helposti he voivat huijata kyberturvallisuusasiantuntijoita vaihtamalla reittiä.

Omien hakkerointityökalujensa kehittämisen lisäksi APT33 hyödyntää usein julkisesti saatavilla olevia työkaluja, kuten AdwindRAT, SpyNet, RevengeRAT , DarkComet ja monia muita. On todennäköistä, että APT33 jatkaa toimintaansa tulevaisuudessa ja todennäköisesti jatkaa infrastruktuurinsa ja arsenaalinsa laajentamista.