Σύμφωνα με ερευνητές της Trend Micro, μια κρατική hacking ομάδα του Ιράν έχει κατασκευάσει το δικό της ιδιωτικό δίκτυο VPN, το οποίο χρησιμοποιεί για να συνδέεται με hacking υποδομές, να μαθαίνει πληροφορίες για μελλοντικούς στόχους αλλά και για απλή περιήγηση στο διαδίκτυο. Η hacking ομάδα είναι γνωστή ως APT33 και είναι μια από τις πιο εξελιγμένες ομάδες του Ιράν.
Είναι οι hackers που δημιούργησαν το disk-wiping malware Shamoon (DistTrack), το οποίο κατέστρεψε πάνω από 35.000 σταθμούς εργασίας της εταιρείας Saudi Aramco στη Σαουδική Αραβία, το 2012.
Πέρυσι, η hacking ομάδα ήρθε ξανά στο προσκήνιο με την πραγματοποίηση νέων επιθέσεων, που στόχευσαν βιομηχανίες πετρελαίου και αερομεταφορών. Οι hackers χρησιμοποίησαν μια νέα εξελιγμένη έκδοση του κακόβουλου λογισμικού Shamoon για τις νέες επιθέσεις.
Φέτος, η APT33 περιορίστηκε σε spear-phishing εκστρατείες, ενώ εκμεταλλεύτηκε και μια ευπάθεια του Outlook.
Οι ερευνητές της Trend Micro ανέφεραν ότι μεταξύ των θυμάτων της APT33 κατά το 2019, είναι μια ιδιωτική αμερικανική εταιρεία που προσφέρει υπηρεσίες ασφαλείας, ένα πανεπιστήμιο και ένα κολέγιο στις ΗΠΑ, ένας στόχος που σχετίζεται με τον αμερικανικό στρατό και πολλές εταιρείες στη Μέση Ανατολή και την Ασία.
Παρακολούθηση της υποδομής της ομάδας APT33
Διερευνώντας τα παραπάνω περιστατικά παραβίασης, οι ερευνητές της Trend Micro κατάφεραν να πάρουν κάποιες πληροφορίες σχετικά με πώς διαχειρίζεται η APT33 την υποδομή της.
Οι hackers προσπάθησαν να φτιάξουν την υποδομή τους με τέτοιο τρόπο, ώστε να παραμείνει μυστική.
Ωστόσο, οι ερευνητές της Trend Micro ανακάλυψαν ότι υπάρχουν τέσσερα επίπεδα ανάμεσα στην ομάδα APT33 και τους στόχους της.
- Επίπεδο VPN: Ένα προσαρμοσμένο δίκτυο VPN, ώστε να παραμένει κρυφή η πραγματική διεύθυνση IP και η τοποθεσία των hackers.
- Επίπεδο Bot Controller: Ένα ενδιάμεσο στρώμα servers.
- Επίπεδο C & C Backend: Οι πραγματικοί backend servers, τους οποίους χρησιμοποιούν οι hackers για να διαχειρίζονται τα malware botnets.
- Επίπεδο Proxy: Cloud proxy servers μέσω των οποίων οι C & C (command-and-control) servers κρύβονται από τους μολυσμένους υπολογιστές.
Αυτό, όμως, που έκανε εντύπωση στους ερευνητές είναι ότι η APT33 δεν χρησιμοποίησε VPN servers του εμπορίου, όπως κάνουν πολλές άλλες hacking ομάδες. Αντίθετα, δημιούργησε το δικό της VPN δίκτυο.
“Η εγκατάσταση ενός ιδιωτικού VPN δικτύου μπορεί να γίνει εύκολα με τη μίσθωση δύο servers από κέντρα δεδομένων σε όλο τον κόσμο και με τη χρήση λογισμικού ανοιχτού κώδικα, όπως το OpenVPN”, ανέφεραν οι ερευνητές.
Το ιδιωτικό VPN δίκτυο οδήγησε στην ανίχνευση
Όταν οι hackers δημιούργησαν το δίκτυο, δεν γνώριζαν ότι αυτό θα διευκόλυνε τους ερευνητές στο να τους παρακολουθήσουν. Οι ερευνητές έπρεπε μόνο να παρακολουθήσουν μερικές διευθύνσεις IP. Αντιθέτως, αν είχε χρησιμοποιηθεί ένας VPN πάροχος του εμπορίου, η ανίχνευση θα ήταν πολύ πιο δύσκολη.
“Η APT33 πιθανότατα χρησιμοποιεί αποκλειστικά τους VPN κόμβους εξόδου”, ανέφερε η Trend Micro. “Παρακολουθήσαμε μερικούς από τους κόμβους εξόδου της ομάδας για περισσότερο από ένα χρόνο και έχουμε παραθέσει κάποιες διευθύνσεις IP στον παρακάτω πίνακα”.
Οι ερευνητές παρατήρησαν, επίσης, ότι οι hackers χρησιμοποιούσαν τους κόμβους εξόδου “για την αναγνώριση δικτύων που σχετίζονται με την αλυσίδα εφοδιασμού της πετρελαϊκής βιομηχανίας”.
“Συγκεκριμένα, έχουμε δει κάποιες από τις διευθύνσεις ΙΡ (που βρίσκονται στον Πίνακα) να αναζητούν πληροφορίες στο δίκτυο μιας εταιρείας πετρελαιοπαραγωγών και στρατιωτικών νοσοκομείων στη Μέση Ανατολή και στο δίκτυο μιας πετρελαϊκής εταιρείας στις ΗΠΑ”, ανέφεραν οι ερευνητές.
Επιπλέον, η APT33 στοχεύει sites που ειδικεύονται στην πρόσληψη εργαζομένων στη βιομηχανία πετρελαίου και φυσικού αερίου.
Οι ερευνητές προτρέπουν τις εταιρείες στη βιομηχανία του πετρελαίου και του φυσικού αερίου να κάνουν ελέγχους για να διαπιστώσουν αν είναι ασφαλείς.
Τέλος, σύμφωνα με την Trend Micro, η APT33 χρησιμοποιούσε το ιδιωτικό της δίκτυο VPN και για την πρόσβαση σε websites penetration testing εταιρειών, σε cryptocurrency hacking sites και άλλα.
