Согласно опубликованному исследованию, одна из элитных иранских хакерских групп, спонсируемых государством, создала и эксплуатирует свою собственную частную сеть узлов VPN, которую они используют для подключения к инфраструктуре хакеров, проведения разведки будущих целей и даже случайного просмотра веб-страниц. сегодня от компании по кибербезопасности Trend Micro.

Эта группа, отслеживаемая в кругах кибербезопасности под кодовым названием APT33, на сегодняшний день является самым совершенным хакерским подразделением Ирана.

Именно они разработали вредоносное ПО для очистки дисков, известное как Shamoon (DistTrack), которое уничтожило более 35 000 рабочих станций в Саудовской Аравии в Саудовской Аравии в 2012 году.

Недавно группа вновь появилась с новыми атаками, в первую очередь на нефтяную и авиационную отрасли и даже развертыванием новой версии вредоносного ПО Shamoon в конце прошлого года.

В 2019 году операции APT33 основывались на классических операциях фишинг-атаки и иногда на использовании умной уязвимости Outlook.

Согласно Trend Micro, подтвержденные инфекции APT33 в 2019 году включают частную американскую компанию, которая предлагает услуги, связанные с национальной безопасностью, жертвы, связанные с университетом и колледжем в США, жертва, скорее всего, связанная с американскими военными, и несколько жертв в Среднем Восток и Азия.

Отслеживание инфраструктуры APT33

Но исследователи говорят, что, исследуя эти хаки, они смогли понять, как APT33 управляет своей хакерской инфраструктурой.

По словам исследователей, все является многослойным и изолированным, чтобы держать операторов APT33 под покровом секретности от тех, кто реагирует на инциденты.

На основе нарисованной от руки схемы, используемой исследователями Trend Micro, существует четыре уровня между операторами APT33 и их целями.

Уровень VPN - специально построенная сеть узлов VPN, чтобы скрыть реальный IP-адрес и местоположение оператора.
Уровень Bot Controller - промежуточный уровень серверов
C & C Backend layer - фактические внутренние серверы, через которые группа управляет своими вредоносными ботнетами.
Уровень прокси - набор облачных прокси-серверов, через которые C & C (командно-контрольные) серверы скрываются от зараженных хостов.

Но что бросилось в глаза исследователям, так это то, что APT33 не использовал коммерческие VPN-серверы, чтобы скрыть свое местоположение, как это делают некоторые хакерские группы.

Вместо этого группа создала и работала в собственной частной сети VPN.

«Настроить частную VPN можно легко, арендовав пару серверов в центрах обработки данных по всему миру и используя программное обеспечение с открытым исходным кодом, такое как OpenVPN», — говорят исследователи.
Пользовательская VPN-сеть APT33 была большой ошибкой

Но APT33 не знал, что это, на самом деле, облегчало их отслеживание. Исследователи должны были только следить за несколькими IP-адресами. Если бы APT33 использовал коммерческую сеть VPN-провайдера, он бы плавно перетек во весь другой законный трафик.

«APT33, вероятно, использует исключительно свои узлы выхода VPN», — сказали в Trend Micro. «Мы отслеживаем некоторые из частных выходных узлов VPN группы более года, и мы перечислили известные связанные IP-адреса в таблице ниже».

Но, помимо подключения к своим панелям управления вредоносными ботнетами, Trend Micro сообщила, что группа также использовала те же частные выходные узлы VPN «для разведки сетей, имеющих отношение к цепочке поставок нефтяной промышленности».

«Более конкретно, мы стали свидетелями того, как некоторые из IP-адресов в Таблице 3 проводили разведку в сети нефтедобывающей компании и военных госпиталей на Ближнем Востоке, а также нефтяной компании в США», — сказали исследователи.

«APT33 также проявляет интерес к веб-сайтам, специализирующимся на подборе сотрудников в нефтегазовой отрасли», — сказали в команде Trend Micro. «Мы рекомендуем компаниям нефтегазовой отрасли перекрестно связать свои файлы журналов безопасности с IP-адресами, перечисленными выше».

Кроме того, Trend Micro сообщил, что APT33 также использовал свою частную сеть VPN для доступа к веб-сайтам компаний, занимающихся тестированием на проникновение, веб-почте, веб-сайтам об уязвимостях и сайтам по взлому криптовалют.