Анализ фирмой безопасности, Cylance приходит к заключению, что киберработа, очевидно исходная в Иране, пропитала больше чем 50 корпораций и правительственные сети для подготовки к нападениям на важную инфраструктуру.В то время как много групп, соединенных с национальными государствами, провели киберразведывательные операции против других стран и их отраслей, исследование, находящее, что иранские хакеры предположительно проникли, сети глобальных фирм важной инфраструктуры вызвал беспокойство среди специалистов по безопасности.Названный Операционный Секач, широко распространенные нападения влияли на учебные заведения, аэропорты и авиакомпании, правительственные учреждения и поверхностное знание чувствительных отраслей, такие как космос, компьютерная технология и телекоммуникации, по данным фирмы безопасности Cylance, который опубликовал отчет.
Набор чувствительных отраслей, затронутых нападениями – когда просматривается на фоне разрушительного Shamoon 2012 года, нападает против Saudi Aramco, которая, как также думали, была проведена Ираном – является беспокоящим, сказал Джон Миллер, вице-президент стратегии Cylance, eWEEK.Данные свидетельствуют, что Иран является киберпитанием и готов использовать его доступ к сетям других и системам для нанесения значительного ущерба, сказал он.
«Они – подготовка для основного координируемого распределенного нападения», сказал Миллер. «При приведении в нерабочее состояние одной компании Вы не делаете чего-то, что повлияет на всех, но если бы Вы в состоянии сделать тип ущерба, подобного Saudi Aramco через сотни компаний важной инфраструктуры во всем мире, которые создали бы жизненное событие изменения».Компания подключила нападения к Ирану через агрегацию обстоятельного и технического доказательства. Атакующие использовали персидские имена, многие домены, используемые атакующими, были зарегистрированы в Иране, и инфраструктура использовала иранского интернет-провайдера.
Группа, которая использует имя Zhoupin, также создала их разведку и инструменты нападения для предупреждения хакеров, когда они использовали адрес, происходящий в Иране.Развитие работы демонстрирует, что методы нападений группы становились более сложными в течение долгого времени. Первоначально, группа использовала методы, подобные российским и китайским хакерам, таким как инжекция SQL и социально-технические нападения. В конечном счете группа создала пользовательские частные инструменты, которые выполнили многочисленную разведку и функции нападения.
Основанный на доказательстве, Килэнс размышлял, что возможность развития Ирана является прямым откликом к нападениям других стран на сети страны и ядерно обрабатывающую инфраструктуру. В 2009 США и Израиль сотрудничали для создания Stuxnet, нападение, которое нанесло вред возможности совершенствования урана Ирана и вероятно задержало их ядерные стремления на больше чем год. Кроме того, шпионские сети, такие как Flame и Duqu, предназначались для коммуникаций и уязвимой информации многих стран, включая Иран.
«Навыки и поведение Операционных команд Секача являются соответствующими с, и в одном случае превосходит, возможности Ирана, поскольку мы знаем их сегодня», говорилось в докладе.Атакующие поставили под угрозу множество систем, с рабочих столов Microsoft Windows на веб-серверы Linux, выполненную разведку в поставивших под угрозу сетях и экс-фильтровали уязвимые данные. На пятьдесят организаций повлияли нападения, включая 13 аэропортов и авиакомпании, девять нефтегазовых компаний и семь правительственных учреждений. Атакующие смогли полностью поставить под угрозу по крайней мере 15 из организаций.
Cylance собрал приблизительно 8 ГБ данных и 80 000 файлов во время его расследования.Компания надеется, что компании важной инфраструктуры начнут относиться к обработке кибератак больше серьезно, сказал Миллер.
«Мы действительно надеемся, что это приносит видимость и нарушает текущий статус quo», сказал он. «Это показывает, что существует следующее поколение атакующего, который появляется в Интернете».Килэнс предупредил, что его расследование только показало часть подразумеваемых иранских операций.
Компания фактически не знала, насколько обширный проникновение сетей других стран было.