Iránští hackeři útočí na Střední východ
Zdroj: Shutterstock
Kybernetické hrozby z Íránu míří na státy Středního východu. Organizace v oblasti Perského zálivu, především v energetickém sektoru, čelí nebezpečnému malwaru s názvem STEALHOOK, který využívá nově odhalené zranitelnosti ve Windows. Tento malware se zaměřuje na krádež citlivých dat a destabilizaci klíčových firem v regionu.
Kdo za útoky stojí?
Skupina kybernetických aktérů, která je známá pod názvem OilRig, je podle výzkumníků z Trend Micro úzce napojena na iránský režim. Tato skupina, také známá pod označením APT43 nebo Cobalt Gipsy, patří mezi nejaktivnější hrozby v oblasti Středního východu. V poslední době se jejich aktivity zaměřují na využití zranitelnosti v systémech organizací v oblasti Perského zálivu, především ve Spojených arabských emirátech.
Zdroj: Shutterstock
OilRig využívá novou zranitelnost v systému Windows, která je vedena pod označením CVE-2024-30088. Tato chyba, objevená a opravena v červnu 2024, umožňuje útočníkům eskalaci práv, což znamená, že mohou získat plný přístup k napadeným systémům. Jednou z hlavních technik, kterou útočníci používají, je nasazení takzvaných "web shells" – škodlivých skriptů, které umožňují vzdálený přístup a správu systémů.
Co je STEALHOOK a jak funguje?
Malware, kterým OilRig útočí na své cíle, nese označení STEALHOOK. Jde o sofistikovaný infostealer, tedy škodlivý software zaměřený na krádež informací. STEALHOOK se zaměřuje především na získávání citlivých dat z organizací a jejich přenos na servery kontrolované útočníky. Co činí tento malware ještě nebezpečnějším, je jeho schopnost zamaskovat kradená data jako legitimní komunikaci, kterou poté odesílá přes poštovní servery typu Microsoft Exchange.
Podle výzkumníků z BleepingComputer je OilRig úzce propojen se skupinou FOX Kitten, která má na svědomí i řadu ransomware útoků. To naznačuje, že útoky mohou mít dalekosáhlé dopady a nemusí se omezovat pouze na krádež dat. Ransomware útoky totiž mohou firmám způsobit značné finanční ztráty a výrazně narušit jejich provoz.
Proč je energetický sektor v hledáčku útočníků?
Podle Trend Micro by jakékoliv narušení provozu energetických firem mohlo mít devastující dopady nejen na samotné firmy, ale i na celou ekonomiku regionu a tím pádem i na globální trh s ropou. Vzhledem k závislosti světa na energetických zdrojích z této oblasti není překvapením, že se OilRig zaměřuje právě na firmy v této sféře.
I když bylo zaznamenáno několik pokusů o zneužití zmíněné zranitelnosti, americká agentura pro kybernetickou bezpečnost a infrastrukturu (CISA) dosud nezahrnula CVE-2024-30088 do svého katalogu známých zneužitých zranitelností (KEV). To však neznamená, že by organizace měly tuto hrozbu podceňovat.
Zdroje:
Lukáš "Francesco" Čihák
Diskuse ke článku Iránští hackeři útočí na Střední východ
