Iraanse hackers breken in bij VPN-servers en installeren backdoors

In het afgelopen jaar werden er enorme beveiligingsfouten onthuld in een groot aantal VPN-servers van bedrijven. Het gaat onder andere om servers van Pulse Secure, Palo Alto Networks, Fortinet en Citrix. Een nieuw rapport dat deze week uitkwam, onthult dat hackers ondersteund door de Iraanse overheid actief gebruik maakten van deze VPN-fouten.

Zodra een VPN-fout bekend werd gemaakt, maakten de hackers er een topprioriteit van om van de fout te profiteren. Zo infiltreerden ze in de servers en installeerden backdoors bij bedrijven verspreid over de hele wereld. 

In een rapport maakt cyberbeveiligingsbedrijf ClearSky bekend dat Iraanse hackers hun doelen zetten op bedrijven in verschillende sectoren. De hackers richten zich onder andere op bedrijven in de IT, telecommunicatie, olie en gas, luchtvaart, overheid en de beveiligingssector. 

Iraanse APT-groepen

Volgens ClearSky hebben Iraanse APT-groepen goede technische aanvalsvaardigheden ontwikkeld en kunnen ze binnen relatief korte tijd profiteren van kwetsbaarheden. In sommige gevallen slaagden de Iraanse groepen er in om binnen enkele uren na de openbare onthulling van de bug al in te breken in de server. 

Een APT staat voor Advanced Persistent Threat. APT-groepen zijn bijna altijd gesponsord door de staat. De praktijken van deze groepen zijn er vaak op gericht om onopgemerkt bij het slachtoffer binnen te dringen en informatie te stelen, communicatie af te luisteren of systemen te ontwrichten. 

De aanvallen door de Iraanse APT-groepen op de VPN-systemen begonnen afgelopen zomer, toen de bugs voor het eerst bekend werden gemaakt. Ook in 2020 blijven de aanvallen doorgaan. 

Doel van de aanvallen

Zoals in het rapport van ClearSky staat vermeld, is het doel van de aanvallen om in te breken in het netwerk van bedrijven. Vervolgens verplaatsen de hackers zich door het systeem en installeren backdoors om op een later moment te gebruiken.

Hoewel de hackers nu alleen nog maar ter inspectie gebruikmaken van de backdoors, zijn er zorgen dat het binnendringen van de Iraanse hackers in de toekomst tot meer problemen kan leiden. Ze kunnen de besmette bedrijfsnetwerken in de toekomst inzetten om malware te installeren die data wist. Zo kunnen ze bedrijven saboteren en volledige bedrijfsprocessen neerhalen.

Niet alleen is dit scenario mogelijk, het is ook aannemelijk. Sinds september 2019 zijn er twee nieuwe soorten malware ontdekt die gegevens wissen (ZeroCleare en Dustman). Beide zijn gelinkt aan Iraanse hackers.