lunedì, Ottobre 14, 2024
HomeSenza categoriaIran News: l'unità Mandiant di Google espone il gruppo di spionaggio informatico...

Iran News: l’unità Mandiant di Google espone il gruppo di spionaggio informatico iraniano che prende di mira le reti del Medio Oriente

cyber crime

Mandiant, un’unità di sicurezza informatica di Google, ha pubblicato un rapporto giovedì 19 settembre, esponendo un gruppo informatico segreto sponsorizzato dallo stato iraniano noto come UNC1860. Il gruppo, che si ritiene affiliato al Ministero dell’Intelligence e della sicurezza iraniano (MOIS), è stato attivo nell’infiltrazione di reti ad alta priorità in tutto il Medio Oriente, compresi i settori governativi e delle telecomunicazioni.

Il rapporto, intitolato “UNC1860 and the Temple of Oats: Iran’s Hidden Hand in Middle Eastern Networks”, delinea come UNC1860 utilizzi una sofisticata gamma di strumenti e backdoor passive per mantenere l’accesso a lungo termine alle reti compromesse. Mandiant valuta che il gruppo funge da “fornitore di accesso iniziale” per le operazioni distruttive effettuate da altre unità informatiche legate all’Iran, facendo eco ai metodi di altri gruppi noti come Shruded Snooper e Scarred Manticore.

Mentre Mandiant non può confermare il coinvolgimento diretto di UNC1860 in attacchi di alto profilo come l’attacco wiper dell’ottobre 2023 su Israele o gli attacchi ROADSWEEP del 2022 in Albania, il rapporto rileva il probabile contributo del gruppo fornendo accesso anticipato alle reti mirate. I controller malware specializzati del gruppo, TEMPLEPLAY e VIROGREEN, sono evidenziati come componenti chiave che consentono agli operatori remoti di accedere e controllare facilmente i sistemi infetti.

Il toolkit di UNC1860 include funzionalità avanzate come il reverse engineering dei componenti di Windows, consentendo loro di sfruttare le vulnerabilità mentre eludono il rilevamento. Tra il suo arsenale c’è un driver riproposto da un software antivirus iraniano, che riflette l’esperienza tecnica del gruppo nella manipolazione del kernel di Windows. Queste backdoor consentono al gruppo di monitorare e controllare furtivamente i sistemi compromessi, rendendolo una minaccia persistente in tutta la regione. Il rapporto rileva anche i collegamenti del gruppo con APT34, un altro gruppo di cyber-spionaggio iraniano.

Entrambi i gruppi sono stati osservati prendendo di mira entità in Iraq, Arabia Saudita e Qatar, con UNC1860 che sfrutta sistemi compromessi per scansionare e sfruttare altre reti. Le scoperte di Mandiant sottolineano le crescenti capacità degli attori informatici iraniani nel condurre operazioni di spionaggio e sabotaggio in tutto il Medio Oriente. Con le tensioni nella regione che rimangono elevate, la capacità del gruppo di mantenere un accesso prolungato alle reti critiche rappresenta una significativa minaccia alla sicurezza.

FOLLOW NCRI

70,088FansLike
1,632FollowersFollow
42,222FollowersFollow