イランのハッカーが航空会社、空港、重要インフラ企業を傷つける

「テキサス州を中心に活動していると考えられているハッカーグループが使用しているさまざまなマルウェアツールで検出された文字列の後、Operation Cleaverと総称されている。私たちの調査は世界中に分散しています」と、広報担当のCylanceのITセキュリティー研究者は述べています火曜日に賃貸した。 "10人の被害者は、米国に本部を置き、大手航空会社、医学大学、天然ガス生産に特化したエネルギー会社、自動車メーカー、大規模な防衛請負業者、主要な軍事施設を含む。" [

]あなたのWindows PCからマルウェアを削除する方法]

カナダ、中国、イギリス、フランス、ドイツ、インド、イスラエル、クウェート、メキシコ、パキスタン、カタール、サウジアラビア、韓国、トルコ、アラブ首長国連邦。

攻撃者は、公に入手可能な攻撃ツールと悪用プログラム、および作成した特殊なマルウェアプログラムを使用しました。チームが少なくとも20人のハッカーとイランの関心を支持し、おそらく国の大学から募集された開発者で構成されていると信じている

"キャンペーンで利用されるインフラストラクチャーは単なる個人または小グループにはあまりにも重要" Cylanceの研究者は言った。 「この作業はイランが後援したものだと信じている」ハッカーたちがさまざまな組織の中で入手したアクセスの種類と、盗まれたデータは大きく異なる。大学の場合、彼らは研究データ、学生情報、学生の住宅、および情報、写真、パスポートを特定した。重要インフラ企業の場合、彼らは産業制御システムとSCADA（監督管理およびデータ取得）環境を妨害する可能性のある機密情報を盗んだとCylanceの研究者は述べています。グループはこれまで存在していたが、Cylanceは、Stuxnet、DuquおよびFlameマルウェア攻撃に対するイランの報復として、これがキャンペーンの最終目標になると考えている。イスラエルのウラン濃縮活動を妨害し、核開発計画を後退させるために、米国とイスラエルが創設したと考えられる世界初のサイバー武器であるスタックスネット

「おそらく、キャンペーンは、韓国、サウジアラビア、パキスタンの航空会社や空港などの輸送ネットワークとシステムの標的と妥協であった」とCylanceの研究者は述べた。 Active Directoryドメインは、Cisco Edgeスイッチ、ルータ、および内部ネットワークインフラストラクチャ全体といっしょに完全に侵害されました」と述べています。「空港ゲートとセキュリティ制御システムへの完全なアクセスを実現し、ゲートの資格を偽るために、 "と研究者は言った。 「彼らはPayPalとGo Daddyの資格情報にアクセスして、不正な購入を可能にし、被害者のドメインに自由にアクセスできるようにしました。イランのハッカーチームは、「思想家」または「イノベーター」として英語に翻訳されています。なぜなら、イランのハッカーチームは、「思考者」または「イノベーター」として英語に翻訳されています。テヘランのTarh Andishanと呼ばれる事業体に登録されたIP（Internet Protocol）アドレスのブロックにまでさかのぼる。

Cylanceの研究者らは、「上記のネットブロックは、国営の石油・ガス会社との強い関連性を持っている」と述べた。これらの企業には、ICS [産業制御システム]の専門家である現在および過去の従業員がいます。 "

Tarh Andishanのハッカーは、一般的なSQLインジェクション、スピアフィッシングまたは水浸し攻撃を使用して、対象組織の1台以上のコンピュータ。その後、権限昇格の悪用などのツールを使用して、追加のシステムを侵害し、ネットワーク内部をより深く移動させました。しかし、未知の脆弱性の悪用であるゼロデイ攻撃は観察されなかった。

グループの主なツールは、開発者によって作成されたTinyZBotというカスタムトロイの木馬プログラムである。しかし、Cylanceは、150以上のツール、マルウェアサンプル、およびグループの活動に関連する妥協の指標をリリースしました。

「Operation Cleaverレポートは、イランがどのようにCylanceのCEOであり社長を務めるStuart McClure氏は、米国をターゲットにしたものではなく、十数か国の重要インフラストラクチャーに対する世界的なインフラストラクチャーに対する深刻な攻撃を行う意欲のある欧米人の敵であることを明らかにした。 「彼らはクレジットカードやマイクロチップデザインを探しているわけではなく、数十億の人々の生活に悪影響を及ぼすようなネットワークを数多く保有している」（

）