APT34
ה-APT34 (Advanced Persistent Threat) היא קבוצת פריצה מבוססת איראן, הידועה גם בשם OilRig, Helix Kitten ו-Greenbug. מומחי תוכנות זדוניות מאמינים שקבוצת הפריצה APT34 נתמכת על ידי ממשלת איראן ומשמשת לקידום אינטרסים איראניים ברחבי העולם. קבוצת הפריצה APT34 נצפתה לראשונה בשנת 2014. קבוצת הפריצה בחסות המדינה נוטה לכוון לתאגידים ומוסדות זרים בתעשיות האנרגיה, הפיננסיות, הכימיות והביטחוניות.
פועל במזרח התיכון
פעילות ה-APT34 מתרכזת בעיקר באזור המזרח התיכון. לעתים קרובות, קבוצות פריצה היו מנצלות ניצול ידוע בתוכנה מיושנת. עם זאת, ה-APT34 מעדיף להפיץ את האיומים שלהם באמצעות טכניקות הנדסה חברתית. הקבוצה ידועה בשימוש שלה בטכניקות נדירות - למשל, שימוש בפרוטוקול DNS כדי ליצור ערוץ תקשורת בין המארח הנגוע לשרת הבקרה. הם גם מסתמכים על כלי פריצה מתוצרת עצמית באופן קבוע, במקום לבחור להשתמש בכלים ציבוריים.
הדלת האחורית של Tonedeaf
באחד הקמפיינים האחרונים שלו, ה-APT34 מכוון לעובדים במגזר האנרגיה וכן לאנשים העובדים בממשלות זרות. ה-APT34 בנה רשת חברתית מזויפת ולאחר מכן התחזה לנציג של אוניברסיטת קיימברידג' שמחפשת להעסיק עובדים. הם אפילו הרחיקו לכת ויצרו פרופיל LinkedIn מזויף, שנועד לשכנע את משתמש ה-PC בלגיטימיות של הצעת העבודה. ה-APT34 ישלח לקורבן הממוקד הודעה שתכיל קובץ בשם 'ERFT-Details.xls' הנושא את המטען של התוכנה הזדונית. התוכנה הזדונית שהושגה נקראת דלת האחורית של Tonedeaf ועם הביצוע יתחבר לשרת C&C (Command & Control) התוקפים באופן מיידי. זה מושג באמצעות בקשות POST ו-HTTP GET. התוכנה הזדונית של Tonedeaf מסוגלת:
- העלה קבצים.
- להוריד קבצים.
- אסוף מידע על המערכת שנפרצה.
- בצע פקודות מעטפת.
מלבד היכולות העיקריות שלו, הדלת האחורית של Tonedeaf משמשת כשער עבור ה-APT34 לשתול יותר תוכנות זדוניות על המארח הנגוע.
הקבוצה בהחלט לא מרוצה מהשליטה רק באחת מהמערכות של הארגון שנפגע. הם נראו משתמשים בכלים לאיסוף סיסמאות כדי לגשת באופן קבוע לאישורי התחברות ולאחר מכן מנסים להשתמש בהם כדי לחדור למערכות אחרות שנמצאות באותה רשת של החברה.
ה-APT34 נוטה להשתמש בכלי פריצה שהם פיתחו בעיקר, אבל לפעמים הם היו משתמשים בכלים זמינים לציבור גם בקמפיינים שלהם.
