Unit 42 van Palo Alto Networks heeft een bijgewerkt dreigingsrapport gepubliceerd waarin een aanzienlijke toename van cyberactiviteiten in verband met het conflict met Iran wordt beschreven. Sinds de start van de gezamenlijke Amerikaanse-Israëlische Operation Epic Fury op 28 februari heeft Unit 42 wiper-aanvallen, grootschalige phishingcampagnes, financiële fraude en een sterke toename van hacktivistische activiteiten gedocumenteerd. Veel daarvan vindt in feite plaats buiten de grenzen van Iran, terwijl het land zelf in een “bijna volledige black-out” van het internet verkeert.
Vandaag heeft Iran de 28e opeenvolgende dag van deze internetblack-out bereikt. De connectiviteit is gedaald tot tussen de 1 en 4 procent van het normale verkeer dat op de ochtend van 28 februari werd waargenomen. Unit 42 schat dat dit verlies aan connectiviteit het vermogen van aan de staat gelieerde Iraanse cybercriminelen om geavanceerde cyberaanvallen te coördineren en uit te voeren op korte termijn aanzienlijk heeft verstoord. Maar het plaatje is ingewikkelder dan het lijkt.
Actoren die buiten Iran zijn gevestigd, vullen het gat op. Unit 42 telde begin maart ongeveer 60 individuele hacktivistische groepen die actief waren, waaronder pro-Russische collectieven. Een onlangs opgerichte “Electronic Operations Room”, gevormd direct na het begin van het militaire conflict, heeft gediend als coördinatiepunt voor meerdere Iraanse, door de staat gesteunde actoren. Uit gerelateerd onderzoek is gebleken dat een coalitie van 12 of meer hacktivistische groepen 149 DDoS-aanvallen heeft uitgevoerd tegen 110 organisaties in 16 landen, en dat binnen slechts de eerste 72 uur van het conflict.
Phishing, fraude en wiper-malware
Unit 42 heeft een diepgaand onderzoek uitgevoerd naar phishing-lokmiddelen met het conflict als thema en heeft 7.381 gerelateerde phishing-URL’s geïdentificeerd, verspreid over 1.881 unieke hostnamen. Cybercriminelen doen zich voor als grote telecommunicatieproviders, nationale luchtvaartmaatschappijen, wetshandhavingsinstanties en energiebedrijven. Tactieken omvatten het rouleren van topleveldomeinen, het koppelen van subdomeinen en speciaal gebouwde infrastructuur die is ontworpen om bedrijfsportalen en betalingsworkflows van de overheid na te bootsen.
Aanvallers hebben ook het conflict zelf als wapen ingezet. Er zijn duizenden domeinen met een passend conflict-thema geregistreerd voor valse donatieportalen, cryptocurrency-oplichting en sites voor het verzamelen van inloggegevens. Twee afzonderlijke campagnes richten zich op inwoners van de VAE: de ene maakt misbruik van financiële diensten onder de merknaam Emirates, de andere gebruikt lokmiddelen met een Dubai-thema op het gebied van onroerend goed en luxueuze lifestyle-artikelen. Een derde campagne doet zich voor als Iraanse banken. Unit 42 identificeerde ook actieve StealC-infostealer-infrastructuur die incrementele domeinnaamgeving gebruikt als ontwijkingstactiek.
Aan de meer destructieve kant is het risico op wiper-aanvallen toegenomen. Iraanse actoren hebben een ’trotse’ geschiedenis van wiper-aanvallen die teruggaat tot 2012. Het aan de staat gelieerde FAD Team claimde bijvoorbeeld ongeoorloofde toegang tot meerdere SCADA/PLC-systemen in Israël en elders. De ransomware-as-a-service-groep Tarnished Scorpius vermeldde een Israëlisch bedrijf in industriële machines op zijn lekwebsite.
Staatsactoren en pro-Russische hacktivisten
Unit 42 volgt Iraanse door de staat gesponsorde actoren onder de naam Serpens. Verwacht wordt dat deze groepen hun activiteiten de komende weken zullen intensiveren, met een focus op regionale doelen en hooggeplaatste personen zoals politici en belangrijke besluitvormers. Zoals Unit 42 jaren geleden al meldde, heeft de Iraanse, aan de staat gelieerde groep Boggy Serpens (ook bekend als MuddyWater) een trackrecord in het misbruiken van kwetsbaarheden tegen doelen in Israël en de Golfregio. Een goed voorbeeld hiervan was Log4Shell, de wereldwijd destructieve kwetsbaarheid die werd aangetroffen in de loggingtool Log4J.
Ook pro-Russische groepen zijn in beeld gekomen. De groep Russian Legion claimde toegang te hebben tot het Israëlische Iron Dome-raketafweersysteem, terwijl NoName057(16) meerdere Israëlische doelen claimde, waaronder gemeentelijke, telecom- en defensie-entiteiten. Cardinal, beoordeeld als staatsgebonden, beweerde te zijn geïnfiltreerd in IDF-netwerken en plaatste documenten die verwijzen naar de operatie Northern Shield.
De verminderde connectiviteit van Iran heeft de geavanceerde cybercoördinatie tijdelijk beperkt. Echter, vooraf gepositioneerde toegang van staatsactoren zou geactiveerd kunnen worden zodra de connectiviteit is hersteld, waardoor de cybercampagne mogelijk ver voorbij een eventueel kinetisch staakt-het-vuren reikt.
Unit 42 raadt organisaties aan om ten minste één back-up van kritieke gegevens offline op te slaan, infrastructuur die in verbinding staat met het internet te patchen, waar mogelijk geografische IP-blokkering toe te passen en incidentresponsplannen te valideren ter voorbereiding op aanhoudende activiteiten.