Hoa Kỳ áp đặt các biện pháp trừng phạt mới đối với Iran vì cuộc tấn công mạng vào Albania

Tấn công mạng vào Albania

Bộ Tài chính Hoa Kỳ hôm thứ Sáu đã công bố các biện pháp trừng phạt chống lại Bộ Tình báo và An ninh Iran (MOIS) và Bộ trưởng Tình báo của nước này, Esmaeil Khatib, vì tham gia vào các hoạt động trên không gian mạng chống lại quốc gia này và các đồng minh của họ.

Bộ Tài chính cho biết: “Kể từ ít nhất là năm 2007, MOIS và các proxy tác nhân mạng của nó đã tiến hành các hoạt động mạng độc hại nhắm vào một loạt các tổ chức chính phủ và khu vực tư nhân trên toàn thế giới và trên các lĩnh vực cơ sở hạ tầng quan trọng khác nhau”.

Cơ quan này cũng cáo buộc các diễn viên do nhà nước Iran bảo trợ đã dàn dựng các cuộc tấn công gây rối nhằm vào các hệ thống máy tính của chính phủ Albania vào giữa tháng 7 năm 2022, buộc nước này phải đình chỉ các dịch vụ trực tuyến của mình.

Sự phát triển diễn ra vài tháng gần chín tháng sau khi Bộ Chỉ huy Mạng Hoa Kỳ xác định mối đe dọa dai dẳng nâng cao (APT) được gọi là MuddyWater như một phần tử cấp dưới trong MOIS. Nó cũng diễn ra gần hai năm sau các lệnh trừng phạt của Bộ Tài chính chống lại một nhóm APT khác của Iran có tên là APT39 (hay còn gọi là Chafer hoặc Radio Serpens).

Các biện pháp trừng phạt hôm thứ Sáu nghiêm cấm các doanh nghiệp và công dân Hoa Kỳ tham gia vào các giao dịch với MOIS và Khatib, và những công dân không phải Hoa Kỳ tham gia vào các giao dịch với các thực thể được chỉ định có thể tự mình phải chịu các lệnh trừng phạt.

Xem tiếp:   Bạn có đang đầu tư vào việc bảo mật dữ liệu của mình trên đám mây không?

Cùng với việc phong tỏa kinh tế, chính phủ Albania cho biết cuộc tấn công mạng vào cơ sở hạ tầng kỹ thuật số là “do Cộng hòa Hồi giáo Iran tổ chức và bảo trợ thông qua sự tham gia của 4 nhóm thực hiện hành vi xâm lược.”

, công ty điều tra các cuộc tấn công, cho biết các đối thủ làm việc song song để thực hiện các giai đoạn khác nhau của các cuộc tấn công, với mỗi cụm chịu trách nhiệm cho một khía cạnh khác nhau của hoạt động –

DEV-0842 đã triển khai độc hại ransomware và quét sạch DEV-0861 đã có được quyền truy cập ban đầu và dữ liệu bị tách ra DEV-0166 (hay còn gọi là IntragingDivisor) dữ liệu được lấy ra và DEV-0133 (còn gọi là Lyceum hoặc Siamese Kitten) đã thăm dò cơ sở hạ tầng nạn nhân

Các nhóm tình báo về mối đe dọa của gã khổng lồ công nghệ cũng quy kết các nhóm liên quan đến việc giành quyền truy cập ban đầu và lấy dữ liệu cho tập thể hack liên kết với MOIS của Iran có tên mã là Europium, còn được gọi là APT34, Cobalt Gypsy, Helix Kitten hoặc OilRig.

Tấn công mạng vào Albania

“Những kẻ tấn công chịu trách nhiệm cho việc xâm nhập và đánh cắp dữ liệu đã sử dụng các công cụ mà những kẻ tấn công Iran đã biết trước đây đã sử dụng”, nó cho biết trong một bài báo sâu về kỹ thuật. “Những kẻ tấn công chịu trách nhiệm cho việc xâm nhập và đánh cắp dữ liệu đã nhắm mục tiêu vào các lĩnh vực và quốc gia khác phù hợp với lợi ích của Iran.”

Xem tiếp:   Đánh giá thực tế: Nền tảng hoạt động an ninh mạng Stellar dành cho MSSP

Công ty lưu ý: “Nỗ lực phá hủy do Iran tài trợ có tổng tác động ít hơn 10% đối với môi trường khách hàng”, công ty lưu ý, đồng thời cho biết thêm các hành động sau khai thác liên quan đến việc sử dụng web shell để tồn tại lâu dài, các tệp thực thi không xác định để do thám, kỹ thuật thu thập thông tin xác thực và các phương pháp phòng tránh để tắt các sản phẩm bảo mật.

Phát hiện của Microsoft kết hợp với phân tích trước đó từ Mandiant của Google, người đã gọi hoạt động có động cơ chính trị là “sự mở rộng địa lý của các hoạt động không gian mạng gây rối của Iran.”

Quyền truy cập ban đầu vào mạng của một nạn nhân chính phủ Albania được cho là đã xảy ra sớm nhất vào tháng 5 năm 2021 thông qua việc khai thác thành công lỗ hổng thực thi mã từ xa SharePoint (CVE-2019-0604), tiếp theo là việc lọc email từ mạng bị xâm nhập giữa tháng 10 năm 2021 và tháng 1 năm 2022.

Một làn sóng thu thập email song song thứ hai đã được quan sát từ tháng 11 năm 2021 đến tháng 5 năm 2022, có thể thông qua một công cụ có tên là Jason. Trên hết, các cuộc xâm nhập kéo theo việc triển khai ransomware có tên là ROADSWEEP, cuối cùng dẫn đến việc phân phối một có tên là ZeroCleare.

Xem tiếp:   Cập nhật Google Chrome để vá lỗi khai thác 0 ngày mới được phát hiện trong tự nhiên

Microsoft đã mô tả chiến dịch phá hoại này là một “hình thức trả đũa trực tiếp và tương xứng” đối với một chuỗi các cuộc tấn công mạng vào Iran, bao gồm một cuộc tấn công do một nhóm hacktivist Iran có liên kết với Mujahedin-e-Khalq (MEK) dàn dựng vào tuần đầu tiên của tháng 7 năm 2022.

MEK, còn được gọi là Tổ chức Mujahedin của Nhân dân Iran (PMOI), là một nhóm bất đồng chính kiến ​​của Iran chủ yếu có trụ sở tại Albania, tìm cách lật đổ chính phủ Cộng hòa Hồi giáo Iran và thành lập chính phủ của riêng mình.

Nhà sản xuất Windows cho biết: “Một số tổ chức Albania bị nhắm mục tiêu trong cuộc tấn công phá hoại là các tổ chức và cơ quan chính phủ tương đương ở Iran đã từng trải qua các cuộc tấn công mạng trước đó bằng tin nhắn liên quan đến MEK”.

Tuy nhiên, Bộ Ngoại giao Iran đã bác bỏ các cáo buộc rằng nước này đứng sau cuộc tấn công kỹ thuật số vào Albania, gọi chúng là “vô căn cứ” và đó là “một phần của các nỗ lực quốc tế có trách nhiệm nhằm đối phó với mối đe dọa tấn công mạng”.

.

Related Posts

Check Also

Tin tặc chủ động khai thác lỗ hổng mới của tường lửa Sophos RCE

Công ty phần mềm bảo mật Sophos đã cảnh báo về các cuộc tấn công …