Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ hôm thứ Tư đã công bố các biện pháp trừng phạt đối với mười cá nhân và hai thực thể được Quân đoàn Vệ binh Cách mạng Hồi giáo của Iran (IRGC) hậu thuẫn vì liên quan đến các cuộc tấn công bằng ransomware ít nhất kể từ tháng 10 năm 2020.
Cơ quan cho biết hoạt động mạng do các cá nhân gắn kết một phần là do các nhóm xâm nhập được theo dõi dưới các tên APT35, Charming Kitten, Nemesis Kitten, Phosphorus và TunnelVision.
Bộ Tài chính cho biết: “Nhóm này đã thực hiện các chiến dịch rộng rãi chống lại các tổ chức và quan chức trên toàn cầu, đặc biệt nhắm vào các nhân viên quốc phòng, ngoại giao và chính phủ Hoa Kỳ và Trung Đông, cũng như các ngành công nghiệp tư nhân bao gồm truyền thông, năng lượng, dịch vụ kinh doanh và viễn thông”.
Diễn viên Nemesis Kitten, còn được gọi là Cobalt Mirage, DEV-0270 và UNC2448, đã bị đưa vào tầm ngắm trong những tháng gần đây vì mô hình tấn công ransomware nhằm tạo ra doanh thu cơ hội bằng cách sử dụng công cụ BitLocker tích hợp của Microsoft để mã hóa các tệp bị xâm phạm các thiết bị.
Microsoft và Secureworks đã mô tả DEV-0270 là một nhóm con của Phốt pho (hay còn gọi là Ảo tưởng Cobalt), có mối quan hệ với một tác nhân khác được gọi là TunnelVision. Nhà sản xuất Windows cũng đánh giá với độ tin cậy thấp rằng “một số cuộc tấn công ransomware của DEV-0270 là một hình thức trăng hoa để tạo doanh thu cho cá nhân hoặc công ty cụ thể.”
Hơn nữa, các phân tích độc lập từ hai công ty an ninh mạng cũng như mandiant thuộc sở hữu của Google đã tiết lộ mối liên hệ của nhóm với hai công ty Najee Technology (hoạt động dưới bí danh Secnerd và Lifeweb) và Afkar System, cả hai đều đã bị Mỹ trừng phạt .
Điều đáng chú ý là các mối liên hệ của Najee Technology và Afkar System với cơ quan tình báo Iran lần đầu tiên bị một tổ chức ẩn danh chống chế độ Iran có tên là Lab Dookhtegan gắn cờ đầu năm nay.
“Mô hình chức năng tình báo của chính phủ Iran sử dụng các nhà thầu làm mờ ranh giới giữa các hành động do chính phủ giao nhiệm vụ và các hành động mà công ty tư nhân tự thực hiện”, Secureworks cho biết trong một báo cáo mới chi tiết các hoạt động của Cobalt Mirage.
Mặc dù mối liên hệ chính xác giữa hai công ty và IRGC vẫn chưa rõ ràng, nhưng phương thức của các công ty tư nhân Iran đóng vai trò bình phong hoặc hỗ trợ cho các hoạt động tình báo đã được thiết lập tốt trong những năm qua, bao gồm cả ITSecTeam (ITSEC), Mersad, Emennet Pasargad và Rana Intelligence Công ty Máy tính.
Trên hết, cuộc thăm dò của Secureworks về sự cố Cobalt Mirage vào tháng 6 năm 2022 cho thấy siêu dữ liệu được liên kết với tệp PDF chứa văn bản đòi tiền chuộc đã gắn thẻ Ahmad Khatibi là người tạo ra nó, người tình cờ là Giám đốc điều hành và chủ sở hữu của công ty Iran Afkar System.
Ahmad Khatibi Aghda cũng nằm trong số 10 cá nhân bị Mỹ trừng phạt, cùng với Mansour Ahmadi, Giám đốc điều hành của Najee Technology, và các nhân viên khác của hai doanh nghiệp được cho là đồng lõa nhắm vào các mạng khác nhau trên toàn cầu bằng cách tận dụng các lỗi bảo mật nổi tiếng để có được quyền truy cập ban đầu vào các cuộc tấn công tiếp theo.
Một số lỗ hổng được khai thác, theo một cố vấn an ninh mạng chung do Úc, Canada, Anh và Mỹ công bố, như một phần của hoạt động liên kết với IRGC như sau:
Lỗ hổng truyền qua đường dẫn Fortinet FortiOS (CVE-2018-13379) Lỗ hổng cấu hình mặc định Fortinet FortiOS (CVE-2019-5591) Bỏ qua Fortinet FortiOS SSL VPN 2FA (CVE-2020-12812) ProxyShell (CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207) và Log4Shell (CVE-2021-44228, CVE-2021-45046 và / hoặc CVE-2021-45105)
“Khatibi là một trong những kẻ tấn công mạng đã truy cập trái phép vào mạng nạn nhân để mã hóa mạng bằng BitLocker và đòi tiền chuộc cho các khóa giải mã”, chính phủ Mỹ cho biết, ngoài việc thêm anh ta vào danh sách Truy nã của FBI.
“Anh ta thuê cơ sở hạ tầng mạng được sử dụng để tiếp tục hoạt động của nhóm mạng độc hại này, anh ta tham gia vào việc xâm phạm mạng của nạn nhân và tham gia vào các cuộc đàm phán về tiền chuộc với nạn nhân.”
Cùng với các lệnh trừng phạt, Bộ Tư pháp đã buộc tội riêng Ahmadi, Khatibi và một công dân Iran thứ ba tên là Amir Hossein Nickaein Ravari vì tham gia vào một âm mưu tống tiền tội phạm nhằm gây thiệt hại và tổn thất cho các nạn nhân ở Mỹ, Israel và Iran.
Cả ba cá nhân đã bị buộc tội một tội danh âm mưu gian lận máy tính và hoạt động liên quan đến máy tính; một tội cố ý làm hỏng máy tính được bảo vệ; và một số lần truyền một yêu cầu liên quan đến việc làm hỏng một máy tính được bảo vệ. Ahmadi cũng bị buộc tội cố ý làm hỏng máy tính được bảo vệ.
Đó không phải là tất cả. Bộ Ngoại giao Hoa Kỳ cũng đã công bố phần thưởng bằng tiền lên tới 10 triệu đô la cho bất kỳ thông tin nào về Mansour, Khatibi và Nikaeen và nơi ở của họ.
“Những bị cáo này có thể đã hack và tống tiền nạn nhân – bao gồm cả các nhà cung cấp cơ sở hạ tầng quan trọng – vì lợi ích cá nhân của họ, nhưng các cáo buộc phản ánh cách tội phạm có thể phát triển mạnh mẽ trong nơi trú ẩn an toàn mà Chính phủ Iran đã tạo ra và chịu trách nhiệm”, Trợ lý Bộ trưởng Tư pháp Matthew Olsen nói.
Sự phát triển này xảy ra gần sau các lệnh trừng phạt mà Mỹ áp đặt đối với Bộ Tình báo và An ninh Iran (MOIS) và Bộ trưởng Tình báo của nước này, Esmaeil Khatib, vì tham gia vào các hoạt động hỗ trợ không gian mạng chống lại quốc gia và các đồng minh của họ.
.
