Instituto Internacional de Seguridad Cibernetica.

DDoS angrep.

Iran-koblede hackere brukt & # 8220; Infy & # 8221; Malware i angrep siden 2007.

Forskere pa Palo Alto Networks har kommet over en ny malware-familie som ser ut til a ha blitt brukt av en Iran-basert trusselskuespiller i malrettet spionasjeoperasjoner siden 2007.

Sikkerhetsfirmaet oppdaget malware etter at i mai 2015 har systemene oppdaget to e-postmeldinger som b rer skadelige dokumenter sendt fra en kompromittert israelsk Gmail-konto til en industriell organisasjon i Israel. Pa omtrent samme tid sa selskapet ogsa et lignende dokument vedlagt en epost sendt til en amerikansk regjeringens mottaker.

En analyse av filene og malware-funksjonaliteten viste opp mer enn 40 varianter av en tidligere ukjent malware-familie som Palo Alto Networks har kalt «Infy» basert pa en streng som brukes av trusselskuespilleren i filnavn og kommando og kontroll (C & C) mappenavn og strenger.

Basert pa prover sendt til VirusTotal, er den eldste varianten som ble funnet av forskere, fra august 2007. Men C & C-domenet som ble brukt av den eldste proven, har v rt knyttet til ondsinnet aktivitet sa langt tilbake som i desember 2004.

Eksperter rapporterte a observere okt aktivitet etter 2011 og bemerket at malware har forbedret seg gjennom arene, med utviklere legge til nye funksjoner som stotte for Microsoft Edge nettleseren. Angrep med Infy malware ble ogsa oppdaget i april 2016, noe som tyder pa at skuespilleren fortsetter a v re aktiv.

Ifolge Palo Alto Networks ble de fleste malware-provene fra de siste fem arene pavist ved antivirusprogramvare, men i de fleste tilfeller med generisk eller ikke-relatert signatur. Eksperter tilskrev industriens manglende evne til a koble Infy-provene til hverandre til det faktum at malware kun har blitt brukt i begrensede angrepskampanjer.

Malware, vanligvis forkledd som et dokument eller en presentasjon, er laget for a samle inn informasjon om det infiserte systemet, logge tastetrykk og stjele passord og andre data fra nettlesere. All informasjonen sendes tilbake til en C & C-server.

Forskere identifiserte 12 domener brukt til C & C-servere, hvorav noen ogsa er nevnt i en rapport som beskriver et angrep mot Danmarks regjering.

WHOIS-informasjon og IP-adresser knyttet til C & C-domenene tyder pa at angriperne kan v re basert i Iran, men det er ikke uvanlig at trusselgrupper skal plante falske bevis for a kaste etterforskere av spor.

«Vi tror at vi har avdekket en tiar lang operasjon som med hell har holdt seg under radaren for det meste av sin eksistens som malrettet spionasje som kommer fra Iran. Det er rettet mot regjeringer og bedrifter av flere nasjoner, sa vel som egne borgere, sier forskere i et blogginnlegg.

Andre McGregor, sikkerhetsdirektor i Endpoint Protection Company Tanium, bemerket i en presentasjon tidligere i ar pa RSA-konferansen om at Iran ikke hadde noen cyberfunksjoner fram til 2010, da kjernefysiske anlegg ble rammet av Stuxnet. Eksperten sa imidlertid at landet, hvis viktigste fiender anses som Israel, USA og Saudi-Arabia, utviklet seg mye de siste arene.