Иранские хакеры взломали авиакомпании, аэропорты и компании критической инфраструктуры

03.12.2014 | 02:09 Экономика

В результате иранской кибератаки Operation Cleaver были взломаны более 50-ти организаций по всему миру

В течение последних двух лет, команда иранских хакеров взламывала компьютеры и сети, принадлежащие более чем 50-ти организациям из 16-ти стран, в том числе авиакомпаниям, военным подрядчикам, университетам, военным объектам и больницам.

Атаки уже окрестили «Operation Cleaver» — данное название нашли в различных вредоносных инструментах, используемых хакерской группой, которая работает преимущественно из Тегерана.

«В результате расследования, мы обнаружили более 50-ти жертв, распределенных по всему миру», говорят исследователи из компании ИТ-безопасности Cylance в подробном отчете, опубликованном во вторник. «Десять из этих жертв имеют штаб-квартиру в США, и включают в себя ведущие авиакомпании, медицинский университет, энергетическую компанию, специализирующуюся на добыче природного газа, производителя автомобилей, большого военного подрядчика, а также крупный военный объект».

Другие жертвы были обнаружены в Канаде, Китае, Англии, Франции, Германии, Индии, Израиле, Кувейте, Мексике, Пакистане, Катаре, Саудовской Аравии, Южной Корее, Турции и Объединенных Арабских Эмиратах.

Нападавшие использовали публично доступные инструменты атаки и эксплойты, а также специализированные вредоносные программы, которые они создали сами. Cylance считает, что команда состоит из по меньшей мере 20-ти хакеров и разработчиков, которые поддерживают иранские интересы и, вероятно, были завербованы из университетов страны.

«Инфраструктура, используемая в кампании, слишком значительная, чтобы быть организована одним человеком или небольшой группой», говорят исследователи Cylance. «Мы считаем, что эта работа спонсирована Ираном».

Тип полученного хакерами доступа в различных организациях и данные, которые они украли, находятся в широком диапазоне. В случае университетов, они были нацелены на данные исследований, информацию о студентах, местах проживания студентов, а также личные данные, фотографии и паспорта. В случае компаний критической инфраструктуры, они украли конфиденциальную информацию, которая позволила бы им или аффилированным организациям саботировать промышленные системы управления и среды SCADA (диспетчерское управление и сбор данных), говорят исследователи Cylance.

Хотя нет никаких доказательств такого саботажа группы, Cylance считает, что именно это может быть конечной целью кампании, как мести со стороны Ирана за вредоносные атаки Stuxnet, Duqu и Flame. Stuxnet, которая считается первым в мире кибер-оружием, как полагают, была создана в США и Израиле, чтобы саботировать работы Ирана по обогащению урана и приостановить развитие ядерной программы.

«Возможно, наиболее пугающее доказательство, найденное об этой кампании — таргетинг и взлом транспортных сетей и таких систем, как авиакомпании и аэропорты в Южной Корее, Саудовской Аравии и Пакистане», говорят исследователи Cylance. «Уровень доступа присутствовал повсеместно: домены Active Directory были полностью скомпрометированы, вместе со всеми коммутаторами и маршрутизаторами Cisco и внутренней сетевой инфраструктурой.

«Они получили полный доступ к воротам аэропорта и их системам управления безопасности, что потенциально позволяло им подделывать данные ворот», говорят исследователи. «Они получили доступ к данным PayPal и Go Daddy, что позволяло им совершать мошеннические покупки и иметь свободный доступ к доменам жертвы. Мы стали свидетелями шокирующего количества взломов внутри этих компаний и аэропортов».

Иранскую команду хакеров уже окрестили Tarh Andishan, что в переводе значит «мыслители» или «новаторы», потому что некоторые из ее операций были прослежены до блоков IP-адресов, зарегистрированных в сущности с именем Tarh Andishan в Тегеране.

«Данные сетевые блоки имеют сильные ассоциации с государственными нефтяными и газовыми компаниями», говорят исследователи Cylance. «В этих компаниях есть сотрудники, являющиеся экспертами промышленных систем управления».

Хакеры Tarh Andishan использовали обычную SQL-инъекцию, направленный фишинг или атаки «watering hole», чтобы получить первоначальный доступ к одному или нескольким компьютерам в целевой организации. Затем они использовали эксплойты повышения привилегий и другие инструменты, чтобы скомпрометировать дополнительные системы и двигаться глубже внутрь сети. Тем не менее, они не использовали эксплойты нулевого дня, эксплуатирующие ранее неизвестные уязвимости.

Основным инструментом группы является авторская троянская программа TinyZBot. Тем не менее, Cylance обнародовала более 150 инструментов, образцов вредоносных программ и показателей взлома, связанных с деятельностью группы, чтобы помочь индустрии безопасности обнаруживать существующие и будущие взломы Operation Cleaver.

«В отчете по Operation Cleave показано, что Иран — первый высокомотивированый противник западного мира, который готовится исполнить серьезные нападения против глобальной инфраструктуры. Они ориентированы не только на США, но и на критическую инфраструктуру более десятка различных стран», сказал Стюарт МакКлюр, исполнительный директор и президент Cylance. «Они не пытались получить данные кредитных карт или конструкцию микрочипа, они укрепляли свой контроль над десятками сетей, которые при их повреждении, повлияют на жизни миллиардов людей».