APT33: il gruppo di hacker collegato al governo iraniano nell’analisi di FireEye

La società ha svelato nel dettaglio il profilo di questi pirati informatici che prendono di mira il settore dell’aviazione e dell’energia. Il loro potenziale è distruttivo

FireEye, società di Intelligence led security, ha messo a nudo i segreti di un gruppo hacker iraniano con capacità potenzialmente distruttive, chiamato da FireEye APT33.

L’analisi di FireEye rivela che APT33 ha effettuato operazioni di spionaggio informatico almeno dal 2013 ed è probabile che lavori direttamente per il governo iraniano. Queste informazioni provengono da recenti indagini condotte da consulenti di FireEye Mandiant incident response in combinazione con le analisi di FireEye iSIGHT Threat Intelligence che ha svelato informazioni su operazioni, capacità e potenziali motivazioni di APT33.

Obiettivi

APT33 ha preso di mira organizzazioni che abbracciano molteplici settori industriali e con sede negli Stati Uniti, Arabia Saudita e Corea del Sud. Il Gruppo ha mostrato un particolare interesse per le organizzazioni del settore aeronautico che operano sia in ambito militare sia commerciale, nonché per le organizzazioni del settore energetico legati alla produzione petrolchimica.

Dalla metà del 2016 all’inizio del 2017, APT33 ha compromesso un’organizzazione statunitense nel settore dell’aviazione e si è rivolta a imprese con sede in Arabia Saudita con partecipazioni nel settore aeronautico. Nello stesso periodo, il gruppo si è inoltre concentrato su una società sudcoreana attiva nel settore petrolchimico e della raffinazione del petrolio. Nel maggio 2017, APT33 sembrava prendere di mira un’organizzazione saudita e un conglomerato economico sudcoreano utilizzando un file malevolo che tentava di attrarre le vittime proponendo posti di lavoro per un’azienda petrolchimica saudita. Gli analisti di FireEye ritengono che l’obiettivo dell’attacco all’organizzazione saudita possa essere stato un tentativo di ottenere informazioni sui rivali regionali, mentre l’obiettivo dell’attacco alle aziende sudcoreane fosse la raccolta di informazioni sulla collaborazione della Corea del Sud con l’industria petrolchimica saudita ed eventualmente su una collaborazione tra la Corea del Sud e l’industria petrolchimica Iraniana.

L’APT33 può aver preso di mira queste organizzazioni come risultato del desiderio dell’Iran di espandere la propria produzione petrolchimica e migliorare la propria competitività all’interno della regione.

Spear Phishing

Il gruppo ha inviato email di phishing a dipendenti di aziende aeronautiche. Queste email includevano esche a tema reclutamento e comprendevano link a file HTML malevoli. Questi file contenevano descrizioni di lavoro e link ad annunci di lavoro legittimi su popolari siti web che avrebbero avuto rilevanza per le persone interessate. In alcuni casi APT33 ha inviato le email di phishing non personalizzate e con parametri predefiniti. Questo comportamento sembra essere stato un errore in quanto pochi minuti dopo l’invio di queste email, il gruppo ha inviato nuovamente le email agli stessi destinatari questa volta con i valori predefiniti rimossi.

Mascheramento del dominio 

APT33 ha registrato diversi domini apparentemente associabili a società di aviazione saudite e organizzazioni occidentali che hanno partnership per fornire formazione, manutenzione e supporto per la flotta militare e commerciale dell’Arabia Saudita. Sulla base dei modelli di target osservati, APT33 ha probabilmente utilizzato questi domini nelle email di spear phishing indirizzate ai bersagli prescelti.

Ulteriori legami riguardano l’attribuzione all’Iran

L’obiettivo dell’APT33 è quello di individuare le organizzazioni che operano nel settore dell’aviazione e dell’energia più strettamente vicini con gli interessi degli stati nazionali, il che implica che l’attore della minaccia è molto probabilmente sponsorizzato dal governo. Questo, unitamente alla tempistica delle operazioni, che coincide con l’orario di lavoro iraniano e all’uso di molteplici strumenti e nomi di server degli hacker iraniani rafforza la valutazione di FireEye secondo cui è probabile che l’APT33 abbia operato per conto del governo iraniano.

“L’Iran ha ripetutamente dimostrato la volontà di sfruttare globalmente le sue capacità di spionaggio informatico – commenta John Hultquist, Director of Intelligence Analysis di FireEye -. L’uso aggressivo di questo strumento, unito al mutamento della geopolitica, sottolinea il pericolo che l’APT33 rappresenta per i governi e gli interessi in Medio Oriente e nel mondo. Identificare questo gruppo e la sua capacità distruttiva rappresenta un’opportunità per le organizzazioni di rilevare e affrontare in modo proattivo le minacce correlate”.