Resim: Avi Richards
İran'ın Nakliye Bakanlığı ve Ulusal Tren Sistemini hedef alan yıkıcı saldırılar, daha önce birden fazla Suriyeli kuruluşların ağlarındaki silecek kötü amaçlı yazılımını kullanan bir tehdit aktör tarafından koordine edildi.
Geçen ay, İran'ın Demiryolları ve Ulaştırma Bakanlığı, web sitelerini düşüren ve ülke genelinde tren servisini bozan bir CyberAttack tarafından vuruldu.
"İran'a yapılan saldırılar, Suriye'deki en azından 2019'dan bu yana taşınan birden fazla özel şirkete karşı önceki faaliyete ilişkin önceki faaliyete uygun olarak kabul edildi" dedi.
"Bu aktiviteyi, kendilerini Regime Muhalefet Grubu olarak tanımlayan bir tehdit grubuna bağlayabildik."
Saldırganlar, hedeflerin sistemlerinde Meteor adlı daha önce görünmeyen bir dosya silecekini kullandı. Demiryolunun mesaj panolarında, trenlerin iptal edildiğini veya geciktiğini, yolcuların daha fazla bilgi için Yüce Lider Ali Khamenei ofisine sorduğunu söyleyerek mesajlar verdiler.
Silecekler, NUKE-IT-ORBIT-Ware, Çek Noktası araştırması olarak, onları çağırdı, genellikle aynı anda gerçekleşen diğer saldırılar için kapak olarak veri veya tuğla ihlal edilen cihazları yok etmek için tasarlanmıştır.
Indra, bir silecekin en az üç farklı varyantının en az üç farklı varyantını, 2019 yılında ilk kez ortaya çıktıkları yıllar boyunca yıllar boyunca Meteor, Stardust ve Mağdam Ağlarında COMET'i geliştirdi.
Buna rağmen, Grup'un MODUS Operandi, araçlarının kalitesi ve sosyal medyaya saldırı talep etmeye istekli olma ihtimalinin, Indra'nın ulus-devlet sponsorlu tehdit aktörünün olası olmadığını düşünüyor.
Bununla birlikte, Sentinelone Security Araştırmacı Juan Andres Guerrero-Saade, iki hafta önce yayınlanan İranlı saldırıyı analiz eden bir raporda gözlenen Guerrero-Saade, tehdit aktörünün genel bir beceri eksikliğini göstermesine rağmen saldırılarının keşif aşamasında tespit edilebildi.
Guerrero-Saade, "Guerrero-Saade," Takımlar arasında yerli bir sorumluluk bölünmesini öneren farklı saldırı bileşenleri arasında fazladan fazlalık var. "Dedi. "Ve dosyalar, gelişmiş saldırganların yanıcı bir şekilde yanılmayan, verbose ve dağınık bir şekilde dağıtılır."
Beceri seviyelerinden bağımsız olarak, Indra kendilerini İran rejimine karşı çıkan bir grup olarak tanımlar. İranian medya raporlarına geçen yıla dayanarak, İranlı Silahlı Kuvvetlerinin bir dalı olan İslam Devrim Koruma Corpları (IRGC) ile ilişkilendirilen varlıkları hedefleyen siberriminal veya Hacktivist gruplarına bağlar da var.
Indra daha önce Twitter, Facebook, Telegram ve YouTube da dahil olmak üzere, birden fazla platformda sosyal medyaya başarılı saldırılar paylaştı.
Grup'un 2019'dan bu yana Indra'nın sosyal medya etkinliğine dayanarak, Check Point araştırması, Indra'nın aşağıdaki saldırıları iddia ettiğini buldu:
Bununla birlikte, hack grup, geçen ayın İran Demiryolları ve Yollar ve Kentsel Gelişim Bakanlığı'na karşı geçen ayın saldırılarından sorumlu olmamayı seçti.
Buna rağmen, kontrol noktası araştırması birden fazla benzerlik bulabildi (araçlar ve taktikler, teknikler ve prosedürler (TTP) ve saldırının çok hedefli doğası) doğrudan bunları bu olaylarla bağlantı kurdu.
İran demiryolu saldırısında kullanılan yeni yıkıcı meteor silecek kötü amaçlı yazılım
Govt Hackers, İK çalışanlarını İsrail hedeflerine vurmak için taklit eder.
Kullanıcılar arasında e-posta yorgunluğu, cibercriminaller için kapılar açar
Kaynak: Bleeping Computer