Elfin, der "bewaffnete" Cyberarm der Revolution, der die Erinnerungen an Computerspeicher beseitigen kann. Für immer

(Di Ciro Metaggiata)
10 / 01 / 19

Elfin, "Elfo" auf Italienisch, ist der Codename, den das Computersicherheitsunternehmen Symantec einer Gruppe von Hackern zugeordnet hat, die vermutlich mit der Islamischen Republik Iran in Verbindung steht. Dieser Spitzname, der entschieden fesselnder ist als das anonyme Akronym APT 33, mit dem die betreffende Organisation allgemein bekannt ist, sollte nicht irreführend sein. Im Gegenteil, die Welle der Cyberangriffe, an der das italienische Unternehmen SAIPEM im vergangenen Dezember beteiligt war (ein italienisches Unternehmen, das Dienstleistungen für im Ölsektor tätige Unternehmen anbietet - v. Artikel) zeigt, dass der Elf noch härter schlagen kann als in der Vergangenheit.

APT 33 hat eine Geschichte, die zwar im Vergleich zu den Ereignissen anderer Cyber-Gruppen relativ neu ist, jedoch sowohl hinsichtlich der nachgewiesenen Angriffsmöglichkeiten als auch hinsichtlich des Wertes der getroffenen Ziele sehr respektabel ist. Insbesondere Forscher im Bereich Cybersecurity verfolgen die Vorgänge von Elfin aus dem 2013, schließen jedoch nicht aus, dass die Gruppe ihre ersten Schritte im Cyberspace seit einigen Jahren unternimmt. Analysten glauben, dass APT 33 an mehreren Kampagnen beteiligt ist, die hauptsächlich gegen Ziele in den USA, Saudi-Arabien, den Vereinigten Arabischen Emiraten, Katar und Südkorea durchgeführt werden, wobei es sich hauptsächlich um Unternehmen und Organisationen handelt, die in der Luft- und Raumfahrt tätig sind. im militärischen und zivilen Bereich, im Energiesektor, mit besonderem Bezug auf die Öl- und Petrochemieunternehmen sowie auf den Finanzsektor.

Es sei darauf hingewiesen, dass APT 33 je nach Nationalität der Ziele auf zwei verschiedene Arten betrieben wurde. Verglichen mit den USA und Südkorea hat die Gruppe im Wesentlichen Cyber-Spionage-Kampagnen durchgeführt. Gegen Unternehmen und Organisationen aus dem Nahen Osten wurden stattdessen echte "destruktive" Angriffe (Blockierung von Geschäftsaktivitäten, Datenvernichtung, Schäden an den Systemen usw.). Es handelt sich also um eine Gruppe mit signifikanten und abwechslungsreichen Cyber-Offensivfähigkeiten, und aus diesem Grund glauben die Experten, dass sie wahrscheinlich von einer Nation unterstützt wird. Darüber hinaus haben sich die Cyber-Fähigkeiten des Elfo im Laufe der Zeit immer weiter verfeinert. Dies zeigt, dass es über beträchtliche Personalressourcen verfügt, die kontinuierlich geschult und aktualisiert werden, sowie über finanzielle Ressourcen, die für die Entwicklung immer komplexerer Angriffsvektoren erforderlich sind.

Insbesondere die von APT 33 am häufigsten verwendete Methode, um Zugang zu Systemen und Zielnetzwerken zu erhalten, ist die von SpeerfischenB. durch das Versenden künstlicher und irreführender E-Mails an Personen, die innerhalb der Zielorganisation Sonderpositionen innehaben (Manager, IT-Systemadministratoren, spezialisierte Techniker usw.). Diese betrügerischen Kommunikationen werden von der Elf auf besonders raffinierte Weise konzipiert, so dass sie in den meisten Fällen vom Unglücklichen als originär betrachtet werden und von besonderem Interesse für die Erfüllung ihrer jeweiligen Pflichten sind. In Wirklichkeit veranlassen sie den Benutzer, bestimmte, scheinbar legitime Operationen auszuführen, die stattdessen die Einführung der von Elfin speziell entwickelten Software, der sogenannten Software, in Zielsysteme ermöglichen MalwareUmgehung der Informationssicherheitssysteme der Organisation.

Es hat sich gezeigt, dass die Gruppe ihre Angriffe durchführen kann, indem sie verschiedene Module von Malware In Interaktion miteinander ermöglichen sie es APT 33, unerlaubte Aktionen auszuführen, die von Datendiebstahl über deren Zerstörung ohne die Möglichkeit einer Wiederherstellung bis zur vollständigen Blockierung der betroffenen Systeme reichen können. Insbesondere in der jüngsten Welle von Cyberangriffen, an denen SAIPEM beteiligt ist, handelt es sich um eine Variante der Malware bekannt als SHAMOON, wurde bereits in früheren Angriffen verwendet. Dieses Mal wurden nicht nur die Speicher der PCs und Server beschädigt, die Betriebssysteme enthalten, die für ihren Betrieb unerlässlich sind, sondern auch alle anderen gespeicherten Daten gelöscht, ohne dass die Möglichkeit besteht, mit den derzeit bekannten Techniken wiederhergestellt zu werden. Kurz gesagt, die Malware beschränkt sich nicht nur auf das "Formatieren" der Festplatten, sondern überschreibt den Inhalt auch mehrmals nach präzisen Algorithmen, so dass eine Wiederherstellung dieser Daten unmöglich ist (in diesem Fall der Malware Es ist definiert Wischer). Letztendlich kann SHAMOON nicht nur die momentane Blockierung der Aktivitäten des Zieltreffers feststellen, sondern auch die Datenwiederherstellung und -wiederherstellung des normalen Betriebs sehr schwierig machen.

Im Gegensatz zu ähnlichen früheren Angriffen, ab der ersten Analyse der Variante des Wischer In jüngerer Zeit stellte sich heraus, dass die Operation durch eine "aktive" Rolle der menschlichen Komponente ausgeführt wurde, d. h. durch manuell ausgeführte Anweisungen. Dies deutet darauf hin, dass der "destruktiven" Phase des Angriffs ein massiver Diebstahl vertraulicher Daten vorausging, der vor möglichen versehentlichen Schäden bewahrt werden musste. In diesem Zusammenhang ist darauf hinzuweisen, dass SAIPEM in dieser Zeit einige Verhandlungen über die Vergabe von Großaufträgen im Ölgebiet Saudi ARAMCO (die in der Vergangenheit bereits von ähnlichen Cyberangriffen schwer getroffen wurde) führt. Es geht also um Wirtschaftsspionage oder Sabotage? Oder von beiden? Und die Ziele beziehen sich auf den bloßen kommerziellen Wettbewerb oder zielen auf das Scheitern der Verhandlungen zum Nachteil eines bestimmten Teils ab? Dies sind Fragen, die derzeit niemand beantworten kann, die über die Hypothese hinausgehen. Um die Untersuchung zu erschweren, gibt es schließlich die Tatsache, dass der Angriff aus Indien stammen würde. Es kann sich jedoch nur um einen betrügerischen Versuch der Gruppe von Hackern handeln, eine Taktik, die in der Landschaft gut geplanter und ausgefeilter Cyber-Angriffe häufig angewandt wird.

In diesem zweideutigen Kontext glauben Analysten, dass APT 33 irgendwie mit dem Iran verbunden ist. Unter Ausschluss angemessener allgemeiner Erwägungen hinsichtlich der Fähigkeit, die Vaterschaft von Cyberangriffen zuzuschreiben, und zur Bestimmung ihrer Urheber, glauben Analysten, dass es erhebliche Belege für genaue Verbindungen zwischen Elfin und dem Nasr-Institut gibt, das von der iranischen Regierung kontrolliert wird und verbunden ist. wiederum mit der iranischen Cyber ​​Army (einer anderen Gruppe von Hackern). Andererseits passen die Ziele der Cyber-Kampagnen von APT 33 perfekt zu bestimmten Aspekten der iranischen Außenpolitik und auch zu dem Zeitpunkt, zu dem einige "destruktive" Angriffe verübt wurden, mit bestimmten Momenten politischer Spannungen zwischen der Islamischen Republik und beteiligten Ländern. Viele andere Hinweise wurden durch Prüfung von i gesammelt Malware Die von der Gruppe beschäftigte Person würde die These unterstützen, dass diese Organisation für den Iran tätig wäre. Zum Beispiel durch Untersuchen der neuen Variante von Wischer Ein Teil des Programmiercodes wurde isoliert, der auf dem Bildschirm eine Passage aus dem Koran auf Arabisch materialisiert (siehe Bild).

Laut einigen wird APT33 im Rahmen des ehrgeizigen Programms zur Entwicklung von sowohl defensiven als auch offensiven Cyber-Fähigkeiten, das vom Iran nach dem bekannten kybernetischen Angriff des Atomkraftwerks Natanz im 2010 (v. Artikel). Wahrscheinlich hat der Iran in diesem Fall die realen Möglichkeiten des Cyberkrieges und vor allem seine dramatischen Auswirkungen in der "realen" Welt verstanden. Es war eine besonders schmerzliche Lektion, aber offensichtlich war es auch ein Wendepunkt. Seitdem hat der Iran in relativ wenigen Jahren ausgefeilte Cyberfähigkeiten implementiert, die anfangs stark unterschätzt wurden und in einigen Fällen auch als ausreichend angesehen wurden.

Es lohnt sich, noch einmal an die extreme Undurchsichtigkeit des Cyberspace zu erinnern, eine Dimension, in der einzelne Hacker, Geheimdienste, Streitkräfte, politische Aktivistengruppen, sogar terroristische oder subversive Gruppen sowie kriminelle Organisationen Millionen von Menschen rechnen Dollar jedes Jahr. Darüber hinaus kooperieren einige dieser Personen in vielen Fällen mehr oder weniger bewusst miteinander und tragen so dazu bei, dass die Cyber-Realität äußerst zweideutig und gefährlich wird. Eines ist sicher, ob es mit dem Iran verbunden ist oder nicht, ob es sich um eine Gruppe von Söldnern oder staatlichen oder militärischen Beamten handelt, und nicht um politische Aktivisten, APT 33, durch den Anschlag im vergangenen Dezember Er erreichte nur seine taktischen Ziele in Bezug auf das spezifische Bedürfnis, warnte aber auch eine präzise Warnung für die ganze Welt: Der Elf ist schlecht und kann kritische private und öffentliche Infrastrukturen "schwer treffen", die eher verteidigt werden sollten effektiv. Kurz gesagt, Elfin wurde definitiv zu den gefährlichsten Hackergruppen der Welt gezählt, absolut nicht zu unterschätzen!

Zum Schluss noch ein paar Fragen. Diesmal scheint es so, als ob die Wischer hat folgende Anweisungen manuell befolgt, aber was wäre, wenn er in der Zukunft in voller Autonomie gehandelt und der Kontrolle des Angreifers entgangen wäre? Die Verbreitung von Cyberwaffen, von denen jemand hartnäckig ist, um die Gefahr nicht zu erkennen (vielleicht, weil er den Wert, den die Daten in der heutigen Zeit angenommen haben, nicht verstehen kann), wird von Difesaonline immer wieder hervorgehoben was von den zuständigen Institutionen noch nicht ausreichend angegangen wird. Wenn APT 33 in der Tat mit dem Iran verbunden ist, warum werden nicht auch Angriffe wie die jüngsten israelischen angegriffen, angesichts der anhaltenden Spannungen zwischen ihren jeweiligen Regierungen? Dies ist vielleicht eine Frage der Abschreckung, wenn man bedenkt, dass die Israelis wahrscheinlich die Avantgarde auf diesem Gebiet sind (v. Artikel)? Ist es aus dem gleichen Grund, dass Elfin die US-Ziele nicht "hart trifft"? Wenn dies der Fall wäre, wäre dies die Demonstration, dass die beste Strategie, sich selbst zu verteidigen, selbst im Cyber-Bereich ist, zu zeigen, dass man sich wehren kann.

Nach der politischen Heuchelei der Fassade ist es wahrscheinlich angebracht, zuzugeben, dass die Cyberabschreckung im Rahmen einer wirksamen Strategie für Cybersicherheit ein Gewicht haben muss, das mindestens dem der Cyberverteidigungsmaßnahmen entspricht.

Hauptquellen:

https://www.fireeye.com/blog/threat-research/2017/09/apt33-insights-into...

https://attack.mitre.org/groups/G0064/

https://www.ts-way.com/it/weekly-threats/2018/12/28/weekly-threats-n-42-...

https://www.symantec.com/blogs/threat-intelligence/shamoon-destructive-t...

https://www.zdnet.com/article/shamoons-data-wiping-malware-believed-to-b...

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/shamoon-atta...

https://www.reuters.com/article/iran-cyber/once-kittens-in-cyber-spy-wor...

https://www.cybersecurity360.it/nuove-minacce/saipem-attacco-di-cyber-sa...

www.google.it/amp/s/www.wired.com/story/iran-hacks-nuclear-deal-shamoon -...

www.milanofinanza.it/amp/news/saipem-possibile-commessa-offshore-da-saud ...