Test

Dit is een popup

Iraanse hackaanvallen op talloze instellingen

Hackers die door het Iraanse regime gesteund worden, hebben de voorbije twee jaar wereldwijd luchtvaartmaatschappijen, energiebedrijven, universiteiten en ziekenhuizen geïnfiltreerd.

Operation Cleaver. Zo heet een Iraanse cybercampagne waarbij in meer dan vijftig bedrijven, instituten en instellingen uit zestien landen werd ingebroken. De operatie is nu aan het licht gebracht door de beveiligingsfirma Cylance.

De hackers worden door Cylance Tarh Andishan genoemd, wat vertaald kan worden als “denkers” of “innovators”. De beveiligingsfirma wist enkele IP-adressen van de cyberdieven te achterhalen, en die leidden naar een organisatie die Tarh Andishan heet en in Teheran gevestigd is.

[related_article id=”161920″]

Een tiental van de getroffen instellingen bevindt zich in de Verenigde Staten, het gaat onder meer over een grote luchtvaartmaatschappij, een medische universiteit, een bedrijf dat gespecialiseerd is in gasproductie, een autofabrikant, een defensiebedrijf en een grote militaire installatie.

Daarnaast zijn er slachtoffers in Canada, China, Engeland, Frankrijk, Duitsland, Indië, Israël, Koeweit, Mexico, Pakistan, Qatar, Saoedi-Arabië, Zuid-Korea, Turkije en de Verenigde Arabische Emiraten.

Zelfgemaakte trojan
De aanvallers gebruikten zowel vrij verkrijgbare aanvalsmethodes als ook software die ze zelf ontwikkelden. Een favoriet was de zelfgemaakte trojan TinyZBot, maar in totaal zijn meer dan 150 stukken malware gebruikt. Volgens Cylance zou het team uit zeker twintig leden bestaan, hoogstwaarschijnlijk studenten van Iraanse universiteiten.

Het soort data dat werd gestolen varieert enorm. Bij de universiteiten ging het over onderzoeksdata, maar ook informatie over studenten en hun huisvesting, persoonlijke informatie en paspoorten. Bij de infrastructuurbedrijven werd gevoelige informatie buit gemaakt waarmee industriële controlesystemen (SCADA) gesaboteerd kunnen worden.

Wraak voor Stuxnet
Er is nog geen bewijs dat zulke sabotage al daadwerkelijk werd uitgevoerd, maar Cylance vermoedt dat dat wel het uiteindelijke doel was, mogelijk als vergelding voor de aanvallen op Iran met de Stuxnet-, Duqu- en Flame-malware. Stuxnet is vermoedelijk gemaakt door de VS en Israël en werd ingezet om het nucleaire programma van Iran te kelderen.

Verontrustend is ook de totale toegang die de hackers hadden tot luchthavensystemen in Zuid-Korea, Pakistan en Saoedi-Arabië. Op die manier zouden bijvoorbeeld systemen voor toegangscontrole om de tuin geleid kunnen worden.

Ook de aanvalsmethodes verschilden. Zowel bijvoorbeeld phishing als SQL-injections of water hole attacks werden door de groep ingezet. Zogenaamde zeroday-exploits, waarbij nog onbekende kwetsbaarheden in software worden uitgebuit, zijn voorlopig niet opgemerkt. 

Operation Cleaver. Zo heet een Iraanse cybercampagne waarbij in meer dan vijftig bedrijven, instituten en instellingen uit zestien landen werd ingebroken. De operatie is nu aan het licht gebracht door de beveiligingsfirma Cylance.

De hackers worden door Cylance Tarh Andishan genoemd, wat vertaald kan worden als “denkers” of “innovators”. De beveiligingsfirma wist enkele IP-adressen van de cyberdieven te achterhalen, en die leidden naar een organisatie die Tarh Andishan heet en in Teheran gevestigd is.

[related_article id=”161920″]

Een tiental van de getroffen instellingen bevindt zich in de Verenigde Staten, het gaat onder meer over een grote luchtvaartmaatschappij, een medische universiteit, een bedrijf dat gespecialiseerd is in gasproductie, een autofabrikant, een defensiebedrijf en een grote militaire installatie.

Daarnaast zijn er slachtoffers in Canada, China, Engeland, Frankrijk, Duitsland, Indië, Israël, Koeweit, Mexico, Pakistan, Qatar, Saoedi-Arabië, Zuid-Korea, Turkije en de Verenigde Arabische Emiraten.

Zelfgemaakte trojan
De aanvallers gebruikten zowel vrij verkrijgbare aanvalsmethodes als ook software die ze zelf ontwikkelden. Een favoriet was de zelfgemaakte trojan TinyZBot, maar in totaal zijn meer dan 150 stukken malware gebruikt. Volgens Cylance zou het team uit zeker twintig leden bestaan, hoogstwaarschijnlijk studenten van Iraanse universiteiten.

Het soort data dat werd gestolen varieert enorm. Bij de universiteiten ging het over onderzoeksdata, maar ook informatie over studenten en hun huisvesting, persoonlijke informatie en paspoorten. Bij de infrastructuurbedrijven werd gevoelige informatie buit gemaakt waarmee industriële controlesystemen (SCADA) gesaboteerd kunnen worden.

Wraak voor Stuxnet
Er is nog geen bewijs dat zulke sabotage al daadwerkelijk werd uitgevoerd, maar Cylance vermoedt dat dat wel het uiteindelijke doel was, mogelijk als vergelding voor de aanvallen op Iran met de Stuxnet-, Duqu- en Flame-malware. Stuxnet is vermoedelijk gemaakt door de VS en Israël en werd ingezet om het nucleaire programma van Iran te kelderen.

Verontrustend is ook de totale toegang die de hackers hadden tot luchthavensystemen in Zuid-Korea, Pakistan en Saoedi-Arabië. Op die manier zouden bijvoorbeeld systemen voor toegangscontrole om de tuin geleid kunnen worden.

Ook de aanvalsmethodes verschilden. Zowel bijvoorbeeld phishing als SQL-injections of water hole attacks werden door de groep ingezet. Zogenaamde zeroday-exploits, waarbij nog onbekende kwetsbaarheden in software worden uitgebuit, zijn voorlopig niet opgemerkt. 

Beveiligingbeveiligingcylanceduquflameirannieuwsstuxnettarh andishanteheran

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!