Wspierana przez rząd irański grupa hakerska, znana jako APT 33, działa od ponad 10 lat, prowadząc agresywne operacje szpiegowskie przeciwko różnym ofiarom z sektora publicznego i prywatnego na całym świecie, w tym celom w infrastrukturze krytycznej. I chociaż grupa ta jest szczególnie znana ze strategicznych, ale technicznie prostych ataków, takich jak „rozpylanie haseł”, zajmowała się także opracowywaniem bardziej wyrafinowanych narzędzi hakerskich, w tym potencjalnie destrukcyjnego złośliwego oprogramowania zaprojektowanego w celu zakłócania przemysłowych systemów kontroli. Opublikowane w środę ustalenia Microsoftu wskazują, że grupa w dalszym ciągu rozwija swoje techniki dzięki nowemu, wieloetapowemu backdoorowi.
Microsoft Threat Intelligence twierdzi, że grupa, którą nazywa Peach Sandstorm, opracowała niestandardowe złośliwe oprogramowanie, którego atakujący mogą użyć do uzyskania zdalnego dostępu do sieci ofiar. Backdoor, który Microsoft z jakiegoś powodu nazwał „Tickler”, infekuje cel po tym, jak grupa hakerska uzyska wstępny dostęp poprzez rozpylanie haseł lub inżynierię społeczną. Od kwietnia do lipca badacze zaobserwowali, jak Peach Sandstorm uruchamia tylne drzwi przeciwko ofiarom w sektorach obejmujących satelitę, sprzęt komunikacyjny oraz ropę i gaz. Microsoft twierdzi również, że grupa wykorzystała to złośliwe oprogramowanie do ataków na jednostki władz federalnych i stanowych w Stanach Zjednoczonych i Zjednoczonych Emiratach Arabskich.
„Udostępniamy nasze badania dotyczące wykorzystania Tickler przez Peach Sandstorm, aby zwiększyć świadomość na temat ewoluującego handlu tego ugrupowania zagrażającego” – Microsoft Threat Intelligence – stwierdził w środę w swoim raporcie. „To działanie jest spójne z celami stałego gromadzenia danych wywiadowczych przez podmiot zagrażający i stanowi najnowszą ewolucję jego długotrwałych operacji cybernetycznych”.
Badacze zaobserwowali, jak Peach Sandstorm wdrażał Tickler, a następnie manipulował infrastrukturą chmurową Azure ofiary, korzystając z subskrypcji Azure hakerów, aby uzyskać pełną kontrolę nad systemami docelowymi. Microsoft twierdzi, że powiadomił klientów, na których miało wpływ obserwowane przez badaczy targetowanie.
Według Microsoftu grupa kontynuuje również zaawansowane technicznie ataki polegające na rozpylaniu haseł, podczas których hakerzy próbują uzyskać dostęp do wielu kont docelowych, odgadując wyciekające lub popularne hasła, dopóki ktoś ich nie wpuści. Peach Sandstorm wykorzystuje tę technikę, aby uzyskać dostęp do docelowych kont systemy zarówno w celu zainfekowania ich backdoorem Tickler, jak i do innych rodzajów operacji szpiegowskich. Badacze twierdzą, że od lutego 2023 r. obserwowali hakerów „przeprowadzających działania polegające na rozpylaniu haseł przeciwko tysiącom organizacji”. W kwietniu i maju 2024 r. firma Microsoft zaobserwowała, że Peach Sandstorm wykorzystuje rozpylanie haseł do ataków na organizacje w Stanach Zjednoczonych i Australii działające w sektorach kosmicznym, obronnym, rządowym i edukacyjnym.
„Peach Sandstorm w dalszym ciągu przeprowadzała ataki polegające na rozpylaniu haseł na sektor edukacyjny w celu zakupu infrastruktury oraz na sektory satelitarne, rządowe i obronne będące głównymi celami gromadzenia danych wywiadowczych” – napisał Microsoft.
Badacze twierdzą, że oprócz tej działalności gang kontynuował także działania w zakresie inżynierii społecznej na profesjonalnym portalu społecznościowym LinkedIn należącym do Microsoftu, które ich zdaniem rozpoczęły się co najmniej w listopadzie 2021 r. i trwały do połowy 2024 r. Microsoft zaobserwował grupę tworzącą profile na LinkedIn, które podają się za studentów, programistów i menedżerów ds. pozyskiwania talentów, którzy rzekomo mieszkają w USA i Europie Zachodniej.
„Głównie używano Peach Sandstorm [these accounts] zbieranie informacji wywiadowczych i ewentualną inżynierię społeczną przeciwko szkolnictwu wyższemu, sektorom satelickim i pokrewnym branżom” – napisał Microsoft. „Zidentyfikowane konta LinkedIn zostały następnie usunięte”.
Irańscy hakerzy od lat są płodni i agresywni na arenie międzynarodowej i nie wykazują oznak spowolnienia. Na początku tego miesiąca pojawiły się doniesienia, że inna grupa irańska obiera za cel cykl wyborczy w USA w 2024 r., w tym ataki na kampanie Trumpa i Harrisa.
