تیم الفین
اِیپیتی۳۳ یا
| بنیانگذاری | ۲۰۱۳ |
|---|---|
| گونه | تهدید دائمی پیشرفته |
| تمرکز | جاسوسی سایبری، جنگ سایبری |
منطقه | خاورمیانه |
| شیوهها | پاککن، فیشینگ نیزهای، بدافزار، مهندسی اجتماعی |
اعضا | حداقل ۵ نفر |
زبانهای رسمی | فارسی |
سازمان مادر | سپاه پاسداران انقلاب اسلامی |
| وابستگی | گربه موشکی |
نام پیشین | Refined Kitten Magnallium Peach Sandstorm Holmium |
تهدید پیشرفته مستمر ۳۳[الف] یک گروه هکری است که توسط فایرآی شناسایی شده و تحت حمایت نیروی هوافضای سپاه پاسداران انقلاب اسلامی و دولت ایران است.[۱][۲] این گروه همچنین به نام بچه گربه تصفیه شده (توسط کراوداسترایک)، مگنالیوم (توسط دراگوس) و هولمیوم (توسط مایکروسافت) نامیده شدهاست.[۳][۴][۵] و وظیفهاش حمله و دسترسی به اطلاعات محرمانه و حساس و همچنین نقشههای نظامی تجهیزات و اطلاعات کارمندان نظامی است.
تاریخچه
[ویرایش]فایرآی معتقد است که این گروه بعد از سال ۲۰۱۳ تشکیل شده است. [۶]
اهداف
[ویرایش]بنا به گزارشها، اِیپیتی۳۳ صنایع هوافضا، صنایع جنگافزاری و صنایع پتروشیمی را در ایالات متحده، کره جنوبی و عربستان سعودی هدف قرار داده است. [۷] [۲]
طرز عمل
[ویرایش]گزارش شده است که اِیپیتی۳۳ از یک رهاساز[ب] مشخص به نام DropShot استفاده میکند، که میتواند یک پاککن به نام ShapeShift و یا یک درب پشتی به نام TurnedUp را نصب نماید.[۸] طبق گزارشها، این گروه برای دسترسی به اهداف خود از ابزار ALFASHELL برای ارسال ایمیلهای فیشینگ نیزهای مسلحشده با پروندههای مخرب برنامه اچتیامال استفاده میکنند.[۹][۲]
در این مسیر، اِیپیتی۳۳ دامنههای ثبتشده را نیز جعل میکند. این دامنهها متعلق به بسیاری از شرکتهای تجاری بزرگ از جمله بوئینگ ، شرکت هواپیمایی آلسلام، نورثروپ گرومن و وینل هستند.[۲]
شناسایی
[ویرایش]فایرآی و کسپرسکی لب شباهتهایی بین ShapeShift و شمعون، یک ویروس دیگر مرتبط با ایران را مشاهده کردند. [۱۰] اِیپیتی۳۳ از زبان فارسی در ShapeShift و DropShot استفاده میکرد و در ساعات کاری به زمان استاندارد ایران بیشترین فعالیت را داشت و در آخر هفته ایران نیز غیرفعال بود. [۱۱] [۲]
یک هکر که با نام مستعار xman_1365_x شناخته میشود، هم به کد ابزار TurnedUp و هم با مؤسسه ایرانی نصر که به ارتش سایبری ایران در ارتباط است، در ارتباط بود. [۱۲][۱۳][۲][۱۴] کاربر xman_1365_x در مجامع هکرهای ایرانی از جمله Shabgard و Ashiyane حساب دارد. [۱۵]
یادداشتها
[ویرایش]- ↑ Advanced Persistent Threat 33 (APT33)
- ↑ en:Dropper_(malware)
جستارهای وابسته
[ویرایش]مراجع
[ویرایش]- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". وایرد.
- ↑ ۲٫۰ ۲٫۱ ۲٫۲ ۲٫۳ ۲٫۴ ۲٫۵ O'Leary, Jacqueline; Kimble, Josiah; Vanderlee, Kelli; Fraser, Nalani (September 20, 2017). "Insights into Iranian Cyber Espionage: APT33 Targets Aerospace and Energy Sectors and has Ties to Destructive Malware". فایرآی. خطای یادکرد: برچسب
<ref>نامعتبر؛ نام «FireEye» چندین بار با محتوای متفاوت تعریف شده است. (صفحهٔ راهنما را مطالعه کنید.). - ↑ https://www.symantec.com/blogs/threat-intelligence/elfin-apt33-espionage
- ↑ https://dragos.com/resource/magnallium/
- ↑ https://www.apnews.com/c5e1d8f79e86460fbfbd4d36ae348156
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Cox, Joseph. "Suspected Iranian Hackers Targeted U.S. Aerospace Sector". The Daily Beast. Archived from the original on September 21, 2017.
Included in a piece of non-public malware APT33 uses called TURNEDUP is the username “xman_1365_x.” xman has accounts on a selection of Iranian hacking forums, such as Shabgard and Ashiyane, although FireEye says it did not find any evidence to suggest xman was formally part of those site’s hacktivist groups. In its report, FireEye links xman to the “Nasr Institute,” a hacking group allegedly controlled by the Iranian government.
- ↑ Greenberg, Andy (September 20, 2017). "New Group of Iranian Hackers Linked to Destructive Malware". Wired.
- ↑ Auchard, Eric; Wagstaff, Jeremy; Sharafedin, Bozorgmehr (September 20, 2017). Heinrich, Mark (ed.). "Once 'kittens' in cyber spy world, Iran gaining hacking prowess: security experts". Reuters.
FireEye found some ties between APT33 and the Nasr Institute - which other experts have connected to the Iranian Cyber Army, an offshoot of the Revolutionary Guards - but it has yet to find any links to a specific government agency, Hultquist said.
- ↑ Cox, Joseph. "Suspected Iranian Hackers Targeted U.S. Aerospace Sector". The Daily Beast. Archived from the original on September 21, 2017.
Included in a piece of non-public malware APT33 uses called TURNEDUP is the username “xman_1365_x.” xman has accounts on a selection of Iranian hacking forums, such as Shabgard and Ashiyane, although FireEye says it did not find any evidence to suggest xman was formally part of those site’s hacktivist groups. In its report, FireEye links xman to the “Nasr Institute,” a hacking group allegedly controlled by the Iranian government.