Iran ponownie atakuje w cyberprzestrzeni. W 2022 roku celem ataku była Albania, natomiast na przestrzeni ostatniego roku prowadzona jest operacja skierowana przeciwko Izraelowi. Analitycy z Check Point Research przyjrzeli się bliżej obu kampaniom, wykorzystującym niestandardowe narzędzia do usuwania danych (wiper). Wnioski są jednoznaczne: konieczna jest międzynarodowa kooperacja w walce z cyberagresją sponsorowaną przez państwa.
W ostatnich latach krajobraz zagrożeń bezpieczeństwa cybernetycznego ewoluował, a grupy sponsorowane przez państwo coraz częściej stosowały wyrafinowane taktyki, aby obrać za cel wskazane organizacje i narody.
Wśród tego typu grup jest Void Manticore, która okazała się poważnym zagrożeniem dla wszystkich, kto sprzeciwia się interesom Iranu. Dzięki możliwości przeprowadzania destrukcyjnych ataków wymazujących dane w połączeniu z wyrafinowanymi operacjami wywierania wpływu, działania grupy Void Manticore charakteryzują się podwójnym podejściem, łączącym wojnę psychologiczną z rzeczywistym niszczeniem danych.
Eksperci Check Point Research w raporcie pokazali taktykę stosowaną przez to ugrupowanie, odkrywając złożoną sieć powiązań, strategiczną współpracę i wyrafinowane metodologie ataków.
Void Manticore jest irańskim ugrupowaniem powiązanym bezpośrednio z Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). Działając pod różnymi pseudonimami internetowymi, takimi jak „Karma” w przypadku ataków w Izraelu i „Homeland Justice” w przypadku ataków w Albanii, Void Manticore wykazała zdolność do przeprowadzania skoordynowanych i ukierunkowanych cyberataków.
Współpraca z Scarred Manticore
Istotnym aspektem działalności Void Manticore jest jej kooperacja z inną irańską grupą zagrożeń stowarzyszoną z MOIS, Scarred Manticore. Analiza ujawnia systematyczne przekazywanie celów pomiędzy obiema grupami, co wskazuje na skoordynowane wysiłki mające na celu prowadzenie niszczycielskich działań przeciwko wybranym celom. Proces przekazania obejmuje początkowo uzyskanie przez Scarred Manticore dostępu do danych z docelowych sieci i ich eksfiltrację, a następnie przekazanie kontroli Void Manticore, która przeprowadza destrukcyjną fazę operacji. To strategiczne partnerstwo nie tylko zwiększa skalę i wpływ ich ataków, ale także stanowi ogromne wyzwanie dla działów cyberbezpieczeństwa.
Specjaliści Check Pointa twierdzą, iż wykorzystując zasoby i wiedzę partnerów, Void Manticore i współpracujące z nią grupy mogą prowadzić wyrafinowane kampanie cybernetyczne o dalekosiężnych konsekwencjach. Nie tylko poszerza to zasięg Void Manticore, ale także sugeruje poziom wyrafinowania wykraczający poza ich indywidualne możliwości grupy.
Ta procedura nawiązuje do raportów Microsoftu na temat niszczycielskich ataków na Albanię w 2022 r. Nakładanie się technik stosowanych w atakach na Izrael i Albanię, w tym koordynacja między dwoma różnymi podmiotami, sugeruje, iż proces ten stał się rutyną.
Powiązania między wydarzeniami w Izraelu i Albanii wzmocniły się wraz z ostatnimi atakami na Albanię (koniec 2023 r. i początek 2024 r.), podczas których Void Manticore ulokowało wipery partycji podobne do tych używanych w Izraelu w ramach ataków wiperów BiBi.
Techniki, taktyki i procedury
Taktyka Void Manticore jest stosunkowo prosta, ale skuteczna. Często korzystają z podstawowych, publicznie dostępnych narzędzi w celu uzyskania dostępu do docelowych sieci. Po wejściu do środka wdrażają niestandardowe wipery dla systemów Windows i Linux, celując w krytyczne pliki i tablice partycji, aby uniemożliwić dostęp do danych. Ponadto grupa angażuje się w manualne niszczenie danych, co jeszcze bardziej wzmacnia wpływ swoich ataków.
Warto podkreślić, iż należący do grupy CL Wiper, po raz pierwszy został użyty w ataku na Albanię w lipcu 2022 r., wraz z narzędziami Partition Wiper, takimi jak LowEraser, używanymi w atakach na albański INSTAT i wiele podmiotów izraelskich.
W ich ostatnich atakach wykorzystano z kolei narzędzie BiBi Wiper, którego nazwa nawiązuje do premiera Benjamina Netanjahu. BiBi występuje zarówno w wersji Linux, jak i Windows, i wykorzystuje wyrafinowane techniki uszkadzania plików i zakłócania funkcjonalności systemu.
Wg Check Point Research zdolność Void Manticore do przeprowadzania skoordynowanych, destrukcyjnych ataków podkreśla rosnące wyrafinowanie sponsorowanych przez państwo operacji cybernetycznych. Eksperci uważają, iż kooperacja między badaczami cyberbezpieczeństwa, agencjami rządowymi i organizacjami sektora prywatnego będzie kluczowa dla przeciwstawienia się wyzwaniom, jakie stwarza cyberagresja sponsorowana przez państwo.
Porównanie procesu, który miał miejsce w Albanii i Izraelu, podsumowano w poniższej tabeli:
|
Albania (2022) |
Izrael (2023-2024) |
|
| Aktor nr 1 |
Storm-0861 ~ Scarred Manticore |
|
| Aktor nr 1 Wstępny dostęp |
CVE-2019-0604 |
CVE-2019-0604 |
| Narzędzia aktora nr 1 |
Skorupa lisa |
Lwi Ogon |
| Czas dostępu aktora nr 1 |
Ponad rok |
Ponad rok |
| Aktor nr 1 Cel |
Eksfiltracja poczty elektronicznej |
Eksfiltracja poczty e-mail (LionHead) |
| Aktor nr 2 |
Storm-0842 ~ Void Manticore |
|
| Aktor nr 2 Wstępny dostęp |
Dostarczone przez aktora nr 1 |
Dostarczone przez aktora nr 1 |
| Aktor nr 1 Cel |
Wiper (CL Wiper) + Ransomware |
Wiper (BiBi) |
| Wyciek |
Homeland Justice |
Karma |
![5 aplikacji na Androida, których nie możesz przegapić [Aplikacje tygodnia #389]](https://www.instalki.pl/wp-content/uploads/webp/D-Notes2.webp)
:no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/25486993/Malenia_Boss_Location_1.jpg)
