APT33

APT33 Aprašymas

APT33 (Advanced Persistent Threat) datuojamas 2013 m. Kenkėjiškų programų tyrinėtojai mano, kad įsilaužimo grupė kilusi iš Irano ir greičiausiai ją remia valstybė. Panašu, kad APT33 įsilaužimo grupės pastangos yra sutelktos į Irano vyriausybės interesų įgyvendinimą, nes jos dažniausiai yra nukreiptos į konkuruojančias užsienio šalių pramonės šakas, dažnai kosmoso, gynybos ir cheminių medžiagų srityse. Dauguma jų kampanijų sutelktos į tris konkrečius regionus – Saudo Arabiją, JAV ir Pietų Korėją. Neretai vyriausybės remia įsilaužėlių grupes ir įdarbina jas šnipinėjimui ir įvairiai kitai veiklai.

Naujausias išpuolis, nukreiptas į Saudo Arabiją

APT33 įdeda daug pastangų, kad liktų anonimiški, nes jie dažnai keičia įsilaužimo įrankius ir naudojamą infrastruktūrą. 2019 m. kovo mėn. APT33 pradėjo ataką prieš taikinius Saudo Arabijoje, naudodamas Nanocore RAT, ir netrukus po atakos visiškai pakeitė savo infrastruktūrą ir nustojo naudoti Nanocore RAT, o vietoj to naudojo naują RAT, vadinamą njRAT .

Didžiulė infrastruktūra

Kitas jų liūdnai pagarsėjęs įsilaužimo įrankis yra „DropShot“ lašintuvas. Jie taip pat naudojo „ StoneDrill“ – savo pačių pagamintą disko valytuvą, kurio kai kurios savybės yra tokios pačios kaip ir „ Shamoon 2“ valytuvui. Kai kurie ekspertai spėja, kad APT33 įsilaužimo grupė turi daugiau nei 1 200 domenų ir šimtus serverių, kurie parodo mums, kokia didžiulė yra jų infrastruktūra ir kaip lengvai jie gali apgauti kibernetinio saugumo ekspertus tiesiog keisdami maršrutus.

Be savo įsilaužimo įrankių kūrimo, APT33 dažnai naudojasi viešai prieinamais įrankiais, tokiais kaip AdwindRAT, SpyNet, RevengeRAT , DarkComet ir daugelis kitų. Tikėtina, kad APT33 tęs savo veiklą ateityje ir greičiausiai toliau plės savo infrastruktūrą bei arsenalą.