APT34

APT34 (Advanced Persistent Threat) ir Irānā bāzēta hakeru grupa, kas pazīstama arī kā OilRig, Helix Kitten un Greenbug. Ļaunprātīgas programmatūras eksperti uzskata, ka APT34 hakeru grupu sponsorē Irānas valdība un tā tiek izmantota, lai veicinātu Irānas intereses visā pasaulē. APT34 hakeru grupa pirmo reizi tika pamanīta 2014. gadā. Šī valsts sponsorētā hakeru grupa parasti vēršas pret ārvalstu korporācijām un iestādēm enerģētikas, finanšu, ķīmiskās un aizsardzības nozarēs.

Darbojas Tuvajos Austrumos

APT34 darbība galvenokārt ir koncentrēta Tuvo Austrumu reģionā. Bieži vien uzlaušanas grupas izmanto zināmus novecojušas programmatūras izmantošanas veidus. Tomēr APT34 dod priekšroku savu draudu izplatīšanai, izmantojot sociālās inženierijas metodes. Grupa ir pazīstama ar reti sastopamu paņēmienu izmantošanu, piemēram, DNS protokola izmantošanu, lai izveidotu sakaru kanālu starp inficēto resursdatoru un kontroles serveri. Viņi arī regulāri paļaujas uz pašu izgatavotiem uzlaušanas rīkiem, nevis izvēlas izmantot publiskus rīkus.

Tonedeaf Backdoor

Vienā no savām jaunākajām kampaņām APT34 mērķauditorija ir enerģētikas sektora darbinieki, kā arī personas, kas strādā ārvalstu valdībās. APT34 izveidoja viltotu sociālo tīklu un pēc tam uzdevās kā Kembridžas universitātes pārstāvis, kas vēlas pieņemt darbā darbiniekus. Viņi pat ir tikuši līdz viltus LinkedIn profila ģenerēšanai, kura mērķis ir pārliecināt datora lietotāju par darba piedāvājuma likumību. APT34 nosūtīs mērķtiecīgajam upurim ziņojumu, kurā būtu fails ar nosaukumu “ERFT-Details.xls”, kas satur ļaunprātīgas programmatūras lietderīgo slodzi. Pamestā ļaunprogrammatūra tiek saukta par Tonedeaf backdoor, un pēc izpildes tā nekavējoties izveido savienojumu ar uzbrucēja C&C (Command & Control) serveri. Tas tiek panākts, izmantojot POST un HTTP GET pieprasījumus. Ļaunprātīga programmatūra Tonedeaf spēj:

• Augšupielādējiet failus.
• Lejupielādēt failus.
• Apkopojiet informāciju par apdraudēto sistēmu.
• Izpildīt čaulas komandas.

Papildus galvenajām iespējām Tonedeaf aizmugures durvis kalpo kā vārteja APT34, lai inficētajā resursdatorā ievietotu vairāk ļaunprātīgas programmatūras.

Grupa noteikti nav apmierināta ar to, ka tā kontrolē tikai vienu no apdraudētās organizācijas sistēmām. Viņi izmantoja paroļu vākšanas rīkus, lai regulāri piekļūtu pieteikšanās akreditācijas datiem un pēc tam mēģinātu tos izmantot, lai iefiltrētos citās sistēmās, kas atrodas tajā pašā uzņēmuma tīklā.

APT34 mēdz izmantot uzlaušanas rīkus, ko viņi galvenokārt ir izstrādājuši, taču dažreiz viņi savās kampaņās izmanto arī publiski pieejamus rīkus.