تیم الفین
تهدید مانا پیشرفته ۳۳ (APT33) یک گروه هکری است که توسط فایرآی شناسایی شده و تحت حمایت نیروی هوافضای سپاه پاسداران انقلاب اسلامی و دولت ایران است.[۱][۲] این گروه همچنین به نام بچه گربه تصفیه شده (توسط Crowdstrike)، مگنالیوم (توسط Dragos) و هولمیوم (توسط مایکروسافت) نامیده شدهاست.[۳][۴][۵] و وظیفه اش حمله و دسترسی به اطلاعات محرمانه و حساس و نقشه های نظامی تجهیزات و اطلاعات کارمندان نظامی است
تاریخچه
[ویرایش]فایرآی معتقد است که این گروه بعد از ۲۰۱۳ تشکیل شده است. [۶]
اهداف
[ویرایش]APT۳۳ بنا به گزارشها صنایع هوافضا، صنایع جنگافزاری و صنایع پتروشیمی را در ایالات متحده، کره جنوبی و عربستان سعودی هدف قرار داده است. [۷] [۲]
طرز عمل
[ویرایش]گزارش شده است که APT۳۳ از یک برنامه Dropper تعیین شده DropShot استفاده میکند، که میتواند یک Wiper به نام ShapeShift را نصب کند یا یک درب پشتی به نام TurnedUp را نصب نماید. [۸] گزارش شده است که این گروه از ابزار ALFASHELL برای ارسال ایمیلهای spear-فیشینگ پر شده با پرونده های مخرب برنامه HTML به اهداف خود استفاده میکنند. [۹] [۲]
APT۳۳ دامنه های ثبت شده را جعل می کند که نقش بسیاری از شرکت های تجاری از جمله بوئینگ ، شرکت هواپیمایی آلسلام، نورثروپ گرومن و وینل را ایفا میکنند. [۲]
شناسایی
[ویرایش]فایرآی و کاسپرسکی لب شباهت هایی بین ShapeShift و شمعون، ویروس دیگر مرتبط با ایران را مشاهده کردند. [۱۰] APT۳۳ همچنین از زبان فارسی در ShapeShift و DropShot استفاده میکرد و در ساعات کاری زمان استاندارد ایران بیشترین فعالیت را داشت و در آخر هفته ایران غیرفعال بود. [۱۱] [۲]
یک هکر که با نام مستعار xman_1365_x شناخته میشود، هم به کد ابزار TurnedUp و هم با مؤسسه ایرانی نصر که به ارتش سایبری ایران در ارتباط است، در ارتباط بود. [۱۲] [۱۳] [۲] [۱۴] xman_1365_x در مجامع هکرهای ایرانی از جمله Shabgard و Ashiyane حساب دارد. [۱۵]
جستارهای وابسته
[ویرایش]منابع
[ویرایش]- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". وایرد.
- ↑ ۲٫۰ ۲٫۱ ۲٫۲ ۲٫۳ ۲٫۴ ۲٫۵ O'Leary, Jacqueline; Kimble, Josiah; Vanderlee, Kelli; Fraser, Nalani (September 20, 2017). "Insights into Iranian Cyber Espionage: APT33 Targets Aerospace and Energy Sectors and has Ties to Destructive Malware". فایرآی. خطای یادکرد: برچسب
<ref>
نامعتبر؛ نام «FireEye» چندین بار با محتوای متفاوت تعریف شده است. (صفحهٔ راهنما را مطالعه کنید.). - ↑ https://www.symantec.com/blogs/threat-intelligence/elfin-apt33-espionage
- ↑ https://dragos.com/resource/magnallium/
- ↑ https://www.apnews.com/c5e1d8f79e86460fbfbd4d36ae348156
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Cox, Joseph. "Suspected Iranian Hackers Targeted U.S. Aerospace Sector". The Daily Beast. Archived from the original on September 21, 2017.
Included in a piece of non-public malware APT33 uses called TURNEDUP is the username “xman_1365_x.” xman has accounts on a selection of Iranian hacking forums, such as Shabgard and Ashiyane, although FireEye says it did not find any evidence to suggest xman was formally part of those site’s hacktivist groups. In its report, FireEye links xman to the “Nasr Institute,” a hacking group allegedly controlled by the Iranian government.
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Auchard, Eric; Wagstaff, Jeremy; Sharafedin, Bozorgmehr (September 20, 2017). Heinrich, Mark (ed.). "Once 'kittens' in cyber spy world, Iran gaining hacking prowess: security experts". Reuters.
FireEye found some ties between APT33 and the Nasr Institute - which other experts have connected to the Iranian Cyber Army, an offshoot of the Revolutionary Guards - but it has yet to find any links to a specific government agency, Hultquist said.
- ↑ Cox, Joseph. "Suspected Iranian Hackers Targeted U.S. Aerospace Sector". The Daily Beast. Archived from the original on September 21, 2017.
Included in a piece of non-public malware APT33 uses called TURNEDUP is the username “xman_1365_x.” xman has accounts on a selection of Iranian hacking forums, such as Shabgard and Ashiyane, although FireEye says it did not find any evidence to suggest xman was formally part of those site’s hacktivist groups. In its report, FireEye links xman to the “Nasr Institute,” a hacking group allegedly controlled by the Iranian government.