APT34

APT34 (Advanced Persistent Threat) on iranilainen hakkerointiryhmä, joka tunnetaan myös nimellä OilRig, Helix Kitten ja Greenbug. Haittaohjelmaasiantuntijat uskovat, että APT34-hakkerointiryhmää sponsoroi Iranin hallitus ja sitä käytetään edistämään Iranin etuja maailmanlaajuisesti. APT34-hakkerointiryhmä havaittiin ensimmäisen kerran jo vuonna 2014. Tämä valtion tukema hakkerointiryhmä pyrkii yleensä kohdistumaan ulkomaisiin yrityksiin ja instituutioihin energia-, rahoitus-, kemian- ja puolustusteollisuudessa.

Toimii Lähi-idässä

APT34:n toiminta keskittyy pääasiassa Lähi-idän alueelle. Usein hakkerointiryhmät käyttävät hyväkseen tunnettuja hyväksikäyttöjä vanhentuneissa ohjelmistoissa. APT34 haluaa kuitenkin levittää uhkiaan sosiaalisen suunnittelun tekniikoilla. Ryhmä tunnetaan harvoin nähtävistä tekniikoista - esimerkiksi DNS-protokollan käyttämisestä viestintäkanavan muodostamiseen tartunnan saaneen isännän ja ohjauspalvelimen välille. He myös luottavat säännöllisesti itse tehtyihin hakkerointityökaluihin sen sijaan, että käyttäisivät julkisia työkaluja.

Tonedeaf-takaovi

Yhdessä viimeisimmistä kampanjoistaan APT34 on suunnattu energia-alan työntekijöille sekä ulkomailla työskenteleville henkilöille. APT34 rakensi valheellisen sosiaalisen verkoston ja esiintyi sitten Cambridgen yliopiston edustajana, joka etsii henkilöstöä. He ovat jopa luoneet väärennetyn LinkedIn-profiilin, jonka tarkoituksena on vakuuttaa PC-käyttäjä työtarjouksen laillisuudesta. APT34 lähettäisi kohteena olevalle uhrille viestin, joka sisältäisi tiedoston nimeltä "ERFT-Details.xls", joka kuljettaa haittaohjelman hyötykuorman. Pudotettua haittaohjelmaa kutsutaan Tonedeaf-takaoveksi, ja suoritettuaan se muodostaisi välittömästi yhteyden hyökkääjän C&C (Command & Control) -palvelimeen. Tämä saavutetaan POST- ja HTTP GET -pyyntöjen avulla. Tonedeaf-haittaohjelma pystyy:

• Lataa tiedostoja.
• Lataa tiedostoja.
• Kerää tietoja vaarantuneesta järjestelmästä.
• Suorita shell-komentoja.

Pääominaisuuksiensa lisäksi Tonedeaf-takaovi toimii porttina APT34:lle istuttaa lisää haittaohjelmia tartunnan saaneelle isännälle.

Ryhmä ei todellakaan ole tyytyväinen siihen, että se hallitsee vain yhtä vaarantuneen organisaation järjestelmistä. Heidän nähtiin käyttävän salasanankeruutyökaluja päästäkseen kirjautumistietoihin säännöllisesti ja yrittäessään sitten käyttää niitä tunkeutuakseen muihin saman yrityksen verkon järjestelmiin.

APT34:llä on tapana käyttää pääasiassa kehittämiään hakkerointityökaluja, mutta joskus he käyttäisivät myös julkisesti saatavilla olevia työkaluja kampanjoissaan.