Раскрыта хакерская группа, работающая на власти Ирана

21.09.2017

Команда исследователей FireEye выявила новую хакерскую группу, предположительно базирующуюся в Иране. APT33, Shamoon и Distrrack — вот известные названия высококлассной группы, целью которой являются аэрокосмические и энергетические сектора СШA, Южной Кореи и Саудовской Аравии.

Особый интерес у группы к авиационной промышленности — не только к гражданской, но и военной. В мае 2017 года APT33 проводила операции против указанных стран, рассылая письма с вредоносным кодом, и особенно — в Саудовской Аравии.

В FireEye отмечают, что деятельность группы совпадает с внешнеполитической деятельностью Ирана: в случае с Саудовской Аравией — осуществлялись попытки получить информацию о военной авиации страны и планах относительно соседних государств, в случае с Южной Кореей — там хакеры искали данные о нефтяных передовых разработках, и действия стали предприниматься против этой страны сразу после того, как саудиты начали сотрудничать с корейцами в нефтехимии.

Действует APT33 практически так же, как и другие группы, относящиеся к Advanced Persistent Threat — рассылают фишинговые письма, и особенно работникам тех компаний, что связаны с авиационной промышленностью. Для этого используются наработки ALFA TEAM Shell и тому подобное. В компании FireEye отмечают, что скорее всего хакерская группа имеет связи с правительством Ирана, ну и еще одним доводом в пользу этой версии является то, что большинство незаконных действий осуществлялось в рабочие часы, соответствующие часовому поясу этой страны.