APT34

APT34 (Advanced Persistent Threat) to irańska grupa hakerska, znana również jako OilRig, Helix Kitten i Greenbug. Eksperci od złośliwego oprogramowania uważają, że grupa hakerska APT34 jest sponsorowana przez rząd irański i jest wykorzystywana do wspierania irańskich interesów na całym świecie. Grupa hakerska APT34 została po raz pierwszy zauważona w 2014 roku. Ta sponsorowana przez państwo grupa hakerska zwykle atakuje zagraniczne korporacje i instytucje z branży energetycznej, finansowej, chemicznej i obronnej.

Działa na Bliskim Wschodzie

Działalność APT34 koncentruje się głównie w regionie Bliskiego Wschodu. Często grupy hakerskie wykorzystywały znane exploity w przestarzałym oprogramowaniu. Jednak APT34 woli propagować swoje zagrożenia za pomocą technik socjotechniki. Grupa znana jest z wykorzystywania rzadko spotykanych technik – na przykład wykorzystywania protokołu DNS do ustanowienia kanału komunikacji między zainfekowanym hostem a serwerem kontrolnym. Regularnie polegają również na samodzielnie wykonanych narzędziach hakerskich, zamiast decydować się na korzystanie z publicznych.

Tylne drzwi z głuchym głosem

W jednej z ostatnich kampanii APT34 jest skierowany do pracowników sektora energetycznego, a także osób pracujących w zagranicznych rządach. APT34 zbudował fałszywą sieć społecznościową, a następnie podawał się za przedstawiciela Uniwersytetu Cambridge, który chce zatrudnić personel. Posunęli się nawet do wygenerowania fałszywego profilu na LinkedIn, który ma przekonać użytkownika komputera o zasadności oferty pracy. APT34 wysyłał docelowej ofierze wiadomość zawierającą plik o nazwie „ERFT-Details.xls” zawierający ładunek złośliwego oprogramowania. Upuszczone złośliwe oprogramowanie nazywa się backdoorem Tonedeaf i po uruchomieniu natychmiast łączyłoby się z serwerem C&C (Command & Control) atakującego. Osiąga się to poprzez żądania POST i HTTP GET. Malware Tonedeaf potrafi:

• Prześlij pliki.
• Pobierz pliki.
• Zbierz informacje o zaatakowanym systemie.
• Wykonuj polecenia powłoki.

Poza głównymi możliwościami, backdoor Tonedeaf służy jako brama dla APT34 do umieszczania większej ilości złośliwego oprogramowania na zainfekowanym hoście.

Grupa z pewnością nie jest zadowolona z posiadania kontroli nad tylko jednym z zaatakowanych systemów organizacji. Widziano, jak używali narzędzi do zbierania haseł, aby regularnie uzyskiwać dostęp do danych logowania, a następnie próbowali wykorzystać je do infiltracji innych systemów znalezionych w tej samej sieci firmowej.

APT34 ma tendencję do używania głównie opracowanych przez siebie narzędzi hakerskich, ale czasami w swoich kampaniach wykorzystuje również publicznie dostępne narzędzia.