211service.com
Het Midden-Oosten is al een broeinest voor cyberoorlogen. Dingen werden alleen maar erger.
Michael Levine-Clark Volg Kuwait Towers Foto door Michael Levine-Clark, Flickr, CC BY-NC-ND 2.0
De olie- en gasreuzen van het Midden-Oosten hebben een nieuwe hackgroep gespot die probeert in te breken in hun computersystemen.
De Amerikaanse cyberbeveiligingsbedrijven Dragos en Dell's Secureworks hebben vrijgegeven rapporten op de groep met de codenaam Hexaan. Hoewel geen van beide bedrijven een definitieve beschuldiging uit over wie verantwoordelijk is voor het hacken, wijzen beide op overeenkomsten met Iraanse hackgroepen en afstemming op de strategische politieke doelen van Iran.
Het is de laatste in een lange rij geavanceerde hackgroepen die in en rond de Perzische Golf zijn gezien. In het Midden-Oosten zijn er weinig of geen belangrijkere strategische doelen dan de olie- en gasindustrie die achter een groot deel van de rijkdom en macht van de regio ligt.
Op dit moment is het een toegangsoperatie, zegt Rafe Piling, senior beveiligingsonderzoeker, Secureworks Counter Threat Unit. Het doel op korte termijn is om toegang te krijgen tot het doelwit en die toegang te behouden. Het gemiddelde doel is om rond te hangen en vervolgens mogelijk te spioneren. Het is duidelijk dat dat degene die deze groep leidt de potentiële mogelijkheid geeft om terug te komen en iets meer ontwrichtend te doen.
Een van de meest ontwrichtende hackcampagnes die de regio ooit heeft gezien in het afgelopen decennium, vond plaats in 2012 toen Iraanse hackers inbraken in Aramco in Saoedi-Arabië en bestanden verwijderden om tienduizenden belangrijke bedrijfscomputers onbruikbaar te maken. De malware die bij die aanval werd gebruikt, staat bekend als Shamoon.
Saudi Aramco, een staatsoliebedrijf en een van de rijkste bedrijven ter wereld, vormt de kern van de macht van dat land. De energiebedrijven in de regio zijn enorm belangrijk voor alle landen rond de Perzische Golf. De Shamoon-hackers troffen ook de Qatarese oliemaatschappij RasGas.
Hexane, actief sinds 2018, heeft de activiteit in 2019 drastisch verhoogd en nieuwe malware ingezet tegen zijn doelen. De eerste stap in de tactiek van de groep is het sturen van spearphishing-aanvallen naar personeels- en technologiepersoneel bij gerichte organisaties.
'Het compromitteren van individuele HR-accounts zou informatie en accounttoegang kunnen opleveren die kunnen worden gebruikt in aanvullende spearphishing-operaties binnen de beoogde omgeving en tegen geassocieerde organisaties', aldus Secureworks-onderzoekers in een verklaring. verslag doen van dinsdag vrijgelaten. 'IT-personeel heeft toegang tot accounts met hoge bevoegdheden en documentatie die de bedreigingsactoren kunnen helpen de omgeving te begrijpen zonder blindelings door het netwerk te navigeren om gegevens en systemen van belang te vinden.'
Er is enige discussie tussen cyberbeveiligingsbedrijven over de exacte directe doelen van de groep. Hackers kunnen zich richten op informatietechnologie (IT) -systemen zoals desktopcomputers of operationele technologie (OT) -systemen zoals programmeerbare logische controllers, computers die speciaal zijn ontworpen voor industriële doeleinden zoals olie- en gasraffinage of productie.
Maar de twee systemen zijn uiteindelijk met elkaar verbonden en, zoals Piling dinsdag in een interview zei, is het bijna universeel waar dat het pad naar IT via OT gaat.
Onderzoekers hebben geen directe technische banden tussen Iran en de nieuwe hackgroep naar voren gebracht, maar Secureworks heeft gewezen op stilistische overeenkomsten die sterk wijzen op de verbinding.
De malware bevindt zich in een vroege, onvolwassen leeftijd, maar bevat wel functies die we doorgaans zien in Iraanse malware, zei Piling. Maar het is zeker niet specifiek en iemand zou veel van deze kenmerken kunnen nabootsen als ze het domein willen betreden.
Hoewel de Perzische Golf een broeinest van cyberactiviteit is, hebben landen als Iran een wereldwijd bereik. Eerder dit jaar identificeerde Dragos een groep genaamd Magnallium die zich richt op Amerikaanse overheids-, financiële en energiebedrijven. (Volledige openbaarmaking: een familielid werkt voor Dragos, maar was niet betrokken bij dit rapport.)
Iran blijft het doelwit van Amerikaanse hackers, met name toen president Donald Trump dat beval cyberaanvallen op Iraanse wapensystemen nadat een Amerikaanse drone door Iraanse troepen was neergeschoten.