Киберконфликт между США и Ираном продолжает накаляться

Федеральное бюро расследований США, Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США, Австралийский центр кибербезопасности (ACSC) и Национальный центр кибербезопасности Великобритании (NCSC) в совместном сообщении предупредили о растущем числе атак иранских группировок с использованием уязвимостей в Fortinet FortiOS ( CVE-2018-13379 , CVE-2020-12812 и CVE-2019-5591 ) и Microsoft Exchange. По словам экспертов, злоумышленники часто запускают вредоносное ПО BitLocker на скомпрометированных компьютерах под управлением Windows для шифрования данных с целью получения выкупа или нарушения работы.

Спецслужбы опубликовали предупреждение менее чем через три недели после того, как глава Организации гражданской обороны Ирана Голамреза Джалили, курирующий сферу кибербезопасности страны, обвинил США и Израиль в осуществлении кибератаки, которая привела к нарушению работы иранских АЗС.

По крайней мере с марта нынешнего года три уязвимости в продуктах Fortinet были использованы против целей в США, в то время как в США и Австралии были зафиксированы атаки с использованием уязвимостей ProxyShell в Microsoft Exchange.

«Спонсируемые правительством Ирана APT-группировки нацелены на широкий круг компаний в различных секторах критически важной инфраструктуры США, включая транспортный сектор и сферу здравоохранения, а также австралийские организации», — пояснили специалисты.

Официальные лица ФБР также разослали частным отраслевым компаниям предупреждения о том, что иранские злоумышленники пытаются купить их украденные данные электронной почты и сетевой информации на подпольных форумах.

Специалисты Microsoft Threat Intelligence Center (MSTIC) ранее представили на конференции CyberWarCon 2021 результаты анализа деятельности нескольких иранских киберпреступных группировок. По словам экспертов, атаки иранских хакеров становятся все более изощренными.

С сентября 2020 года Microsoft отслеживает шесть иранских хакерских групп — Thanos (DEV-0146), Moses Staff (DEV-0500), Phosphorus, Rubidium (pay2key), Vice Leaker (DEV-0198) и Agrius (DEV-0227). Преступники устанавливают программы-вымогатели и похищают данные с целью вызвать сбои в работе систем жертв. Со временем данные группировки превратились в компетентных злоумышленников, способных вести кибершпионаж, использовать многоплатформенное вредоносное ПО, проводить операции с использованием программ-вымогателей и вайперов, проводить фишинговые атаки и даже осуществлять атаки на цепочки поставок.