Iraanse dreigingsactoren voeren een zeer gerichte cyberspionage-operatie uit tegen wereldwijde lucht- en ruimtevaart- en telecommunicatiebedrijven.
Hierbij wordt gevoelige informatie gestolen van doelen in Israël en het Midden-Oosten, evenals in de Verenigde Staten, Rusland en Europa, volgens een rapport dat woensdag is gepubliceerd door Het Israëlische cyberbeveiligingsbedrijf Cybereason.
Cybereason identificeerde de voorheen onbekende statelijke actor, genaamd MalKamak, die een geavanceerde nieuwe vorm van malware gebruikte die voorheen onbekend was, tijdens een incidentresponsoproep voor een van zijn klanten, zei Assaf Dahan, hoofd van de onderzoeksgroep voor cyberdreigingen bij Cybereason en hij vervolgde:
“De campagne loopt al sinds 2018 en is er waarschijnlijk in geslaagd om grote hoeveelheden gegevens te verzamelen van zorgvuldig gekozen doelen. Het onderzoek begon nadat Cybereason’s Incident Response Research Team was ingeschakeld om een van de aangevallen bedrijven te helpen. Tijdens het incident en na het installeren van onze technologie op de computers van de organisatie, hebben we geavanceerde en nieuwe schade geïdentificeerd die nog moet worden gezien of gedocumenteerd. Uit diepgaand onderzoek bleek dat dit slechts een onderdeel is van een hele Iraanse inlichtingencampagne die de afgelopen drie jaar in het geheim en onder de radar is uitgevoerd.”
Uit de weinige sporen die de aanvallers hebben achtergelaten, blijkt duidelijk dat ze zorgvuldig hebben gehandeld en hun slachtoffers grondig hebben geselecteerd. Dit is een verfijnde Iraanse aanvaller die professioneel handelde volgens een weloverwogen en berekende strategie. Het potentiële risico dat inherent is aan een dergelijke aanvalscampagne is groot en significant voor de staat Israël en kan een reële bedreiging vormen.
“Dit was een zeer geavanceerde operatie die alle kenmerken heeft van een door de staat gesteunde aanval“, zei Dahan. “Terwijl andere Iraanse groepen betrokken zijn bij meer destructieve daden, is deze gericht op het verzamelen van informatie. Het feit dat ze drie jaar onder de radar konden blijven, getuigt van hun niveau van verfijning. We beoordelen dat ze in de loop der jaren grote hoeveelheden gegevens hebben kunnen exfiltreren – gigabytes of zelfs terabytes. We weten niet hoeveel slachtoffers er waren vóór 2018.”
Getroffen organisaties en relevante veiligheidsfunctionarissen waren door het op de hoogte gebracht van de aanval, maar de omvang van de daadwerkelijke schade is nog niet opgehelderd, zei Cybereason.
De dreiging, die nog steeds actief is, is voornamelijk waargenomen in het Midden-Oosten, maar is ook waargenomen tegen organisaties in de VS, Rusland en Europa, met een focus op de ruimtevaart- en telecommunicatie-industrie.
Het onderzoek onthult mogelijke connecties met verschillende door de Iraanse staat gesponsorde dreigingsactoren, waaronder Chafer APT (APT39) en Agrius APT, aldus het rapport. Dit volgt op de publicatie in augustus van het DeadRinger-rapport door Cybereason, dat op dezelfde manier meerdere Chinese APT-campagnes aan het licht bracht die gericht waren op telecommunicatieproviders.