Een blik op de staat van de Iraanse cyberoperaties terwijl de VS er druk op uitoefenen met een stapel aanklachten en sancties.
De Amerikaanse regering heeft eerder deze maand de Iraanse staatshackmachine hard getroffen: in een periode van 72 uur werd deze ontgrendeld drie afzonderlijke aanklachten van zeven in Iran gevestigde personen met in totaal 22 aanklachten. Het is ook uitgegeven economische sancties tegen een dekmanteltechnologiebedrijf van het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) en een Iraans natiestaat-hackteam van zo'n 45 mensen.
Het maakte allemaal deel uit van een gecoördineerde ontwrichtings- en afschrikkingsinspanning van de Amerikaanse regering tegen het Iraanse MOIS, de Islamitische Revolutionaire Garde (IGRC) en andere individuen in het land die zich op slachtoffers in de VS en elders richtten.
Terry Wade, uitvoerend assistent-directeur van de Criminal, Cyber, Response, and Services Branch van de FBI, beschreef het als een poging om “gevolgen op te leggen” aan de Iraanse hackers.
“Geen enkele cyberacteur mag denken dat hij Amerikaanse netwerken kan compromitteren, ons intellectueel eigendom kan stelen of onze kritieke infrastructuur in gevaar kan brengen zonder zelf risico te lopen”, zei hij. een verklaring nadat de aanklachten en sancties die week waren uitgesproken.
De meerdere aangiften door de FBI in de week van 14 september waarin enkele van Irans belangrijkste cyberspionageactoren en -groepen werden ontmaskerd, kwamen ook te midden van een gezamenlijke waarschuwing van de FBI en het Amerikaanse ministerie van Binnenlandse Veiligheid op 15 september over cyberaanvallen vanuit Iran gericht op Amerikaanse federale agentschappen. en andere organisaties.
Het benoemen en beschamen door de Amerikaanse wetshandhavers van verdachten uit landen zonder uitleveringsovereenkomsten met de VS, zoals Iran – maar ook China en Rusland – lijkt misschien vooral symbolisch, maar beleidsmakers beweren dat het de VS enige invloed geeft op de beleidsvorming en ook een manier biedt om om een verdachte te pakken te krijgen die durft te reizen naar een land dat bevriend is met de VS. De FBI gebruikt dit instrument steeds vaker om tegenstanders van natiestaten, zoals Iran, onder druk te zetten om hun cyberspionage- en cybercriminaliteitscampagnes terug te draaien.
Tom Bossert, voormalig Amerikaans Homeland Security-adviseur van het Witte Huis onder president Donald Trump en co-auteur van de National Strategy for Homeland Security uit 2007, zegt dat aanklachten en sancties deel uitmaken van een grotere responsstrategie op cybergebied. Publieke attributie van cyberbedreigingsactoren was beleid tijdens zijn ambtsperiode in de regering-Trump.
“[De aanklachten en sancties] veranderen niets aan de gedragskeuzes van de leiders in Iran, Rusland en China – in ieder geval niet alleen. Maar het zijn belangrijke onderdelen van een groter strategisch antwoord. Het laat hen onder andere weten wat wij weten en zorgt er in sommige gevallen voor dat ze vrezen dat we meer weten”, zegt Bossert, voorzitter van Trinity Cyber, een startup voor bedreigingspreventiediensten die mede is opgericht door de voormalige adjunct-directeur van de Het Threat Operations Center van de National Security Agency. “Het begint ervoor te zorgen dat ze op elke hoek bang zijn voor geesten, en het begint ervoor te zorgen dat ze hun inspanningen in het geheim verdubbelen. Het kan hun werkingscyclus vertragen.”
Bossert, die de regering-Trump vanaf het begin in 2017 tot april 2018 heeft gediend, zegt dat deze inspanningen kunnen helpen bij lopende onderzoeken.
“Het is nuttig, ontwrichtend en kan ons vaak helpen met zaken die we niet in die rapporten vermelden”, zegt Bossert. “Als het hen even aan het denken zet, dan is het effectief.”
Zal Iran terugslaan?
Het is nog te vroeg om te bepalen of de recente golf van aanklachten en sancties de bestaande of geplande cyberaanvalcampagnes van Iran zal verstoren – of zal leiden tot vergeldingsdestructieve hacking. Bossert zegt dat het mogelijk is dat Iran agressiever zou kunnen terugslaan tegen de VS – vooral als Trump de presidentsverkiezingen van 2020 opnieuw wint en de huidige strenge standpunten tegen Iran voortduren – maar het is moeilijk te onderscheiden.
Interessant is dat, hoewel de cyberoperaties van Iran in de loop der jaren volwassener zijn geworden en zich breder hebben uitgebreid op het gebied van cyberspionage, de hackmethode voor het grootste deel niet dramatisch is veranderd, aldus deskundigen op het gebied van de dreigingsinformatie. De Iraanse natiestaatactoren veranderen zelden hun aanvalspatronen en -methoden, merkt Sarah Jones, senior threat intelligence-analist van Mandiant, op.
“Ze blijven bij wat voor hen werkt”, zegt Jones, gespecialiseerd in Iraanse cyberactiviteiten. “Veel Iraanse TTP’s [tactieken, technieken en procedures] worden vaak hergebruikt [door hun verschillende groepen]”, zegt ze. “Er is eigenlijk niet veel technische verfijning, maar het is erg moeilijk voor netwerkverdedigers om het te detecteren en erop te reageren.”
Jones zegt dat een Iraanse groep die ze volgt, vooral bekend onder de naam Charming Kitten, zich richt op de persoonlijke e-mailaccounts van hun slachtoffers als een manier om toegang te krijgen tot de netwerken van hun beoogde organisaties.
"Het is moeilijk voor een netwerkverdediger om zich hiertegen te beschermen", zegt ze, vooral wanneer gebruikers hun persoonlijke accounts op een mobiel apparaat hebben en niet zijn ingelogd op de netwerken van hun bedrijf wanneer ze hun persoonlijke e-mailaccounts gebruiken. Zodra de aanvaller zich in het privé-e-mailaccount van het slachtoffer bevindt, heeft de aanvaller toegang tot alle andere contacten van het slachtoffer, merkt ze op, wat rijke informatie oplevert voor andere doelwitten.
Allison Wikoff, strategisch cyberdreigingsanalist voor IBM X-Force en expert op het gebied van Iraanse operaties, beschrijft de Iraanse hackactiviteiten op dezelfde manier: het is 'business as usual', zegt ze. Tot op heden heeft haar team geen enkele toename of afname gezien in de normale cyberoperatieactiviteiten van Iran.
“Ik zou zeggen dat de tactieken, malware en technieken allemaal werken” voor Iran, dus er is geen motivatie voor hen om van koers te veranderen, zegt Wikoff. Charmant katje, bekend als ITG18 van IBM, “is een bewijs van vasthouden aan wat werkt.”
Iraanse hackers ontwikkelen ook zelden hun eigen exploits.
“Ze wachten tot ze op de markt komen…. en daar een paar dingen veranderen en het zelf implementeren”, zegt Vikram Thakur, technisch directeur security response bij Broadcom's Symantec.
Hoewel de Iraanse hacktools niet echt zijn veranderd, is de manier waarop ze worden gebruikt wel geëvolueerd. En de manier waarop de hackers hun activiteiten uitvoeren en runnen is geavanceerder geworden, zegt Adam Meyers, vice-president inlichtingen bij CrowdStrike.
“We hebben ze zien leren van hoe Rusland het heeft gedaan en hoe China het heeft gedaan, en ze hebben in Syrië veel lessen geleerd” van Russische natiestaathackers, zegt hij. “Ze hebben de manier waarop ze [cyberaanvallen] gebruiken verbeterd.”
Meyers gelooft dat het lekken van gevoelige Iraanse cybertools en het doxen van Iraanse hackers door het zogenaamde Lab Dookhtegan en anderen vorig jaar mogelijk hebben bijgedragen aan het versterken van de golf van aanklachten die de VS deze maand heeft uitgesproken. “Het is consistent met de strategie van maximale druk op Iran”, benadrukt hij.
Onderzoekers van VMware hebben intussen gezien dat zowel Iran als Noord-Korea ontwijkingstactieken toepassen die vergelijkbaar zijn met wat Russische natiestaathackers gebruiken.
“Ze gebruiken veel technieken voor counter-IR [incidentrespons] en ontwijking die in het verleden met succes door Rusland zijn gebruikt”, zegt Tom Kellermann, hoofd cyberbeveiligingsstrategie bij VMware en lid van de Cybersecurity-afdeling van de Amerikaanse geheime dienst. Onderzoeksadviesraad. “Ze voorkomen dat gebeurtenissen de SIEM raken, schakelen Windows AMSI [anti-malware scan interface] uit en implementeren ransomware als DDoS.”
Ontmaskerde natiestaathackers
In de eerste van de drie aanklachten van het DoJ, die op 15 september werd onthuld, werden Behzad Mohammadzadeh, ook bekend als Mrb3hz4d, en de Palestijnse Marwan Abusrour, ook bekend als Mrwn007, elk op drie punten beschuldigd van het hacken en beschadigen van websites die in de VS worden gehost. Hun vermeende daden, waarvan werd aangenomen dat ze een schijnbare vergelding waren voor de Amerikaanse luchtaanval van 2 januari 2020 waarbij IGRC-functionaris Qasem Soleimani om het leven kwam, maakten deel uit van een grotere defacementcampagne van zo'n 1,400 websites wereldwijd.
Op 16 september ontvouwde het DoJ een aanklacht van tien punten, waarbij de Iraanse burgers Hooman Heidarian, ook bekend als neo, en Medhi Farhadi, ook bekend als Mehdi Mahdavi, werden beschuldigd van het stelen van honderden terabytes aan gegevens van doelen in de VS, Europa en het Midden-Oosten – inclusief vertrouwelijke informatie over de nationale veiligheid, inlichtingendiensten, ruimtevaart, wetenschappelijk onderzoek en mensenrechtenactivisten. De beklaagden verdienden ook geld met een deel van de gegevens, waaronder financiële informatie over hun slachtoffers, door deze in de cyberunderground te verkopen.
In de derde aanklacht, op 17 september, werden drie Iraanse staatsburgers beschuldigd van negen aanklachten wegens het hacken en targeten van organisaties in de lucht- en ruimtevaart- en satelliettechnologie-industrie van ongeveer juni 2015 tot februari 2019. Said Pourkarim Arabi, 34, Mohammad Reza Espargham, 25, en Mohammad Bayati, 34, werd beschuldigd van identiteitsdiefstal en hacken voor de IGRC. Volgens de aanklacht deden de mannen zich voor als werknemers uit de ruimtevaart- en satellietindustrie in de VS via gestolen online identiteiten om spearphishing-e-mails te verzenden en malware op gerichte systemen te plaatsen.
De hacks werden geregisseerd door de IGRC, waarvan Arabi lid is.
Het Amerikaanse ministerie van Financiën heeft op 39 september sancties uitgevaardigd tegen het Iraanse hackteam APT07 (ook bekend als Chafer en ITG45), evenals tegen 17 andere medewerkers en een dekmantelbedrijf bekend als Rana Intelligence Computing Company. Het hackteam onder het mom van Rana voerde cyberaanvallen uit. over Iraanse dissidenten, journalisten en in de VS gevestigde reisdienstenbedrijven.
Aannemers als dekking
De aanklachten en sancties werpen meer licht op de vage grenzen tussen nationale hackers en cybercriminelen in Iran.
"Ik denk dat het een manier is om zaken te doen in cyber", zegt Paul Kurtz, medeoprichter en voorzitter van TruStar, een aanbieder van beveiligingsinformatiebeheerplatforms. Kurtz werkte voor de presidenten Bill Clinton en George W. Bush aan cyberbeveiliging en beleid voor kritieke infrastructuur.
Rusland is berucht vanwege zijn praktijk waarbij cybercriminelen worden ingehuurd om nationale hackers uit te voeren en de andere kant op kijken als zij niet-statelijke hackers uitvoeren. Het is een relatief economische manier voor landen als Rusland en Iran om thuis technisch talent aan te boren.
“Dus als je een jong persoon bent en over cybervaardigheden beschikt … is dit een geweldige manier om eten op tafel te zetten. [Ik] excuseer hun gedrag helemaal niet”, zegt hij, maar sommige Iraniërs hebben moeite om een baan te vinden gezien de slechte economie daar. “Dat missen we vaak.”
Het biedt ook dekking voor overheden. “Ze kunnen altijd zeggen dat deze [individuen] geen deel uitmaken” van de regering, zegt Thakur van Broadcom.
[Zie Paul Kurtz volgende week spreken op de Cybersecurity Crash Course bij Interop Digital op Hoe u weet wanneer u bent gecompromitteerd]
Kelly Jackson Higgins is de hoofdredacteur van Dark Reading. Ze is een bekroonde doorgewinterde technologie- en bedrijfsjournalist met meer dan twintig jaar ervaring in het rapporteren en redigeren van verschillende publicaties, waaronder Network Computing, Secure Enterprise ... Bekijk volledige bio
Aanbevolen literatuur:
Meer inzichten
