Een groep Iraanse aanvallers voert met steun van de Iraanse overheid aanvallen op bedrijven, overheden en vitale infrastructuur uit, en een aantal groepsleden zou vanuit Nederland, Canada en Groot-Brittannië opereren, zo beweert een Amerikaans beveiligingsbedrijf. Volgens Cylance is Iran het nieuwe China.
De aanvallen zouden zeker sinds 2012 plaatsvinden en zijn gericht tegen organisaties in de gas-, olie- en energiesector, alsmede de transport-, telecom-, onderwijs-, technologie- en overheidssector. Aangevallen organisaties werden onder andere in Frankrijk, Duitsland, Engeland, China en de Verenigde Staten waargenomen.
Om bij de organisaties binnen te dringen gebruiken de aanvallers SQL Injection en spear phishing in combinatie met kant-en-klare tools, zoals Cain & Abel, PsExec en NetCat, en zelfontwikkelde programma's. Eenmaal toegang tot het netwerk van de aangevallen organisatie gebruiken de aanvallers verschillende exploits voor oude Windowslekken om hun rechten te verhogen.
Het doel van de aanvallen is het verzamelen van inlichtingen en informatie. De afgelopen twee jaar zou Cylance 8GB aan data, waaronder 80.000 verzamelde bestanden, hackertools, logbestanden en zeer gevoelige verkenningsgegevens, hebben verzameld die door de aanvallers waren buitgemaakt. Naast groepsleden die vanuit Nederland opereren werden ook Nederlandse IP-adressen voor het uitvoeren van SQL Injection-aanvallen en Command & Control gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.