Il 15 luglio 2022, gli attori delle minacce che lavorano per conto del governo iraniano hanno lanciato un attacco distruttivo contro i siti web e i servizi pubblici del governo albanese, mettendoli offline. L’attacco ha avuto un impatto totale inferiore al 10% sull’ambiente del cliente.
La campagna si è articolata in quattro fasi diverse, ognuna delle quali è stata affidata ad attori diversi: DEV-0861 ha eseguito la compromissione iniziale e l’esfiltrazione dei dati, DEV-0166 ha rubato i dati, DEV-0133 ha sondato l’infrastruttura della vittima e DEV-0842 ha distribuito ransomware e wiper malware.
Secondo Microsoft, gli attori delle minacce impegnati nell’accesso iniziale e nell’esfiltrazione dei dati sono probabilmente associati a EUROPIUM, un attore delle minacce pubblicamente collegato al Ministero dell’Intelligence e della Sicurezza iraniano (MOIS).
Secondo il rapporto della società, l’accesso iniziale è stato probabilmente ottenuto nel maggio 2021, in seguito allo sfruttamento di CVE-2019-0604, una vulnerabilità di SharePoint patchata nel marzo 2019. L’attore della minaccia ha eseguito il codice per impiantare shell web che sono state poi utilizzate per caricare file, eseguire ricognizioni, eseguire comandi e disabilitare i programmi antivirus.
L’avversario ha consolidato l’accesso nel luglio 2021 e ha esfiltrato i messaggi e-mail dalla rete della vittima tra l’ottobre 2021 e il gennaio 2022.
Lo stesso gruppo di hacker – DEV-0861 – è stato osservato mentre esfiltrava attivamente i contenuti delle e-mail da organizzazioni del Medio Oriente (tra cui Israele, Giordania, Kuwait, Arabia Saudita, Turchia ed Emirati Arabi Uniti) almeno dall’aprile 2020.
L’attacco condivide lo stesso modus operandi di altri cyberattacchi attribuiti ad attori iraniani, con il ransomware che viene distribuito prima e il wiper dopo. Il wiper ha utilizzato la stessa chiave di licenza e lo stesso driver EldoS RawDisk del wiper ZeroCleare utilizzato a metà 2019 per colpire una società energetica del Medio Oriente.
Nell’ambito di quell’attacco, EUROPIUM ha ottenuto l’accesso alla rete della vittima circa un anno prima che un diverso stato-nazione iraniano distribuisse ed eseguisse il wiper ZeroCleare.
“Il driver Eldos è uno strumento legittimo che è stato abusato anche dal wiper ZeroCleare ed è stato utilizzato per eliminare file, dischi e partizioni sui sistemi target. Sebbene ZeroCleare non sia molto utilizzato, questo strumento è condiviso da un numero ridotto di soggetti affiliati, tra cui soggetti in Iran con legami con il MOIS”, spiega Microsoft.
Il wiper distribuito da DEV-0842 nel cyberattacco del governo albanese è stato firmato con un certificato digitale non valido della Kuwait Telecommunications Company KSC, che è stato utilizzato per firmare altri 15 file, tra cui un binario utilizzato in un attacco del giugno 2021 a una vittima di DEV-0861 in Arabia Saudita.
L’analisi della messaggistica, della tempistica e della selezione dei bersagli dell’attacco indica che gli attori della minaccia agiscono per conto del governo iraniano, afferma Microsoft.
“La messaggistica e la selezione dei bersagli indicano che Teheran ha probabilmente utilizzato gli attacchi come ritorsione per i cyberattacchi che l’Iran ritiene siano stati condotti da Israele e dal Mujahedin-e Khalq (MEK), un gruppo dissidente iraniano in gran parte basato in Albania che cerca di rovesciare la Repubblica islamica dell’Iran”, osserva il gigante tecnologico.