APT42, identificato per la prima volta nel 2015, è un gruppo di cyber-spionaggio sponsorizzato dallo stato iraniano, le cui operazioni sono dirette all’acquisizione di informazioni e alla sorveglianza di individui e organizzazioni di interesse strategico per il governo iraniano. Secondo Mandiant, società di sicurezza informatica leader nel settore, è molto probabile che APT42 operi per conto dell’Organizzazione di Intelligence del Corpo delle Guardie della Rivoluzione Islamica (IRGC-IO), basandosi su modelli di targeting che si allineano con i mandati e le priorità operative dell’organizzazione.
Le operazioni di APT42
APT42 si distingue per operazioni altamente mirate di spear phishing e sorveglianza contro individui e organizzazioni di interesse strategico per l’Iran. Le operazioni del gruppo, progettate per costruire fiducia e rapporto con le loro vittime, hanno incluso l’accesso agli account email personali e aziendali di funzionari governativi, ex responsabili politici iraniani o figure politiche, membri della diaspora iraniana e gruppi di opposizione, giornalisti e accademici che si occupano di ricerca sull’Iran.
Dopo aver ottenuto l’accesso, il gruppo ha distribuito malware mobile in grado di tracciare la posizione delle vittime, registrare conversazioni telefoniche, accedere a video e immagini, e estrarre intere caselle di posta SMS.
La versatilità di APT42
APT42 ha dimostrato la capacità di modificare il suo focus operativo man mano che le priorità dell’Iran evolvono nel tempo. È previsto che APT42 continuerà a condurre operazioni di cyber-spionaggio a sostegno delle priorità strategiche dell’Iran a lungo termine, basandosi sulla loro estesa storia operativa e insensibilità alla segnalazione pubblica e alle interruzioni dell’infrastruttura.
Il report su APT42
Il rapporto completo pubblicato copre le attività recenti e storiche di APT42 risalenti almeno al 2015, le tattiche, le tecniche e le procedure del gruppo, i modelli di targeting, e chiarisce i collegamenti storici con Magic Hound, APT 35, Cobalt Illusion, Charming Kitten. APT42 coincide parzialmente con le segnalazioni pubbliche su ITG18.
Settori e Paesi Osservati
Settori osservati: Educazione, Governo, Sanità, Manifatturiero, Media, Organizzazioni non profit, Farmaceutico e Servizi legali e professionali.
Paesi: Australia, Bulgaria, Iran, Italia, Malesia, Norvegia, UAE, Regno Unito, Ucraina, USA.
Strumenti utilizzati
BROKEYOLK, CHAIRSMACK, DOSTEALER, Ghambar, MAGICDROP, PINEFLOWER, POWERPOST, SILENTUPLOADER, TABBYCAT, TAMECAT, VBREVSHELL, VINETHORN.
L’Attacco dello Stato Iraniano su Attivisti, Giornalisti e Politici
APT42, gruppo di cyber-spionaggio supportato dal governo iraniano, si è dimostrato responsabile di una serie di attacchi informatici contro almeno 20 individui di alto profilo, tra cui attivisti, giornalisti, ricercatori, accademici, diplomatici e politici operanti su temi del Medio Oriente. Questo attacco in corso di ingegneria sociale e phishing è stato rivolto a due membri dello staff di Human Rights Watch (HRW).
Dopo un’indagine approfondita, HRW ha attribuito l’attacco di phishing all’APT42, anche conosciuto come Charming Kitten, un’entità correlata al governo iraniano. L’analisi tecnica, condotta insieme al Security Lab di Amnesty International, ha identificato ulteriori 18 vittime che sono state prese di mira nella stessa campagna.
I cyber-attaccanti hanno ottenuto accesso alle e-mail, ai dischi di archiviazione cloud, ai calendari e ai contatti delle vittime. Tra le vittime note compromesse vi è un corrispondente per un importante giornale statunitense, un difensore dei diritti delle donne nel Golfo e un consulente per Refugees International con sede in Libano.
Le tecniche adottate dagli hacker iraniani sono sofisticate: utilizzano l’ingegneria sociale e le tecniche di raccolta delle credenziali per accedere a informazioni sensibili e contatti. Questo aumenta significativamente i rischi per giornalisti e difensori dei diritti umani sia in Iran che in altre parti della regione.
Le società di sicurezza hanno segnalato diverse campagne di phishing da parte di APT42, rivolte a ricercatori e gruppi della società civile concentrati sul Medio Oriente. Questo gruppo di cyber-attaccanti viene identificato principalmente attraverso schemi di attacco e prove tecniche.
L’indagine ha rivelato anche carenze nelle protezioni di sicurezza di Google per la salvaguardia dei dati dei suoi utenti. Gli individui presi di mira con successo dall’attacco di phishing hanno riferito di non aver notato che i loro account Gmail erano stati compromessi o che era stato avviato un Google Takeout, a causa dell’insufficienza dei messaggi di avviso di sicurezza di Google.
HRW ha esortato Google a rafforzare tempestivamente i suoi avvisi di sicurezza dell’account Gmail per proteggere meglio giornalisti, difensori dei diritti umani e gli utenti più a rischio dagli attacchi.