Close Menu
    Trending

    Mandiant presenta APT42

    By 4 Mins Read

    APT42 è un nuovo gruppo hacker Nation-state iraniano individuato da Madiant. Tra i Paesi colpiti troviamo anche l’Italia

    Mandiant logo

    Il nuovo gruppo APT42 prende di mira principalmente organizzazioni e individui considerati oppositori o nemici del regime iraniano a livello globale. Di conseguenza, le vittime di APT42 hanno subito attività di spionaggio e i loro spostamenti sono stati monitorati sia all’interno che all’esterno del territorio iraniano. Mandiant, prima di elevare questo gruppo di aggressori ad APT (Advanced Persistent Threat), lo classificava e tracciava con il nome UNC788.

    Gli esperti di Mandiant ritengono che APT42 sia associato all’organizzazione di intelligence denominata Islamic Revolutionary Guard Corps (IRGC), ma a differenza di altri gruppi di cyberspionaggio sospettati di essere legati all’IRGC, APT42 prende di mira principalmente organizzazioni e individui ritenuti oppositori o nemici del regime in operazioni a livello globale.

    Mandiant ha osservato recenti casi in cui cittadini iraniani operanti nei settori dei media, del mondo accademico e della società civile sono stati arrestati dalle forze dell’ordine in Iran nei giorni o nelle settimane successive rispetto a quelli in cui sembrano essere stati presi di mira dal malware Android APR42 PINEFLOWER.

    Mandiant, inoltre, ritiene sia stato APT42 a prendere di mira lo staff della campagna elettorale statunitense tra la fine del 2019 e l’estate del 2020 (come riportato in maniera indipendente da Microsoft e Google). Con l’avvicinarsi delle elezioni statunitensi di metà mandato, Mandiant ritiene che APT42 sia un gruppo molto pericoloso e da monitorare attentamente.

    “L’Iran, come altri Paesi, si affida a contractor per effettuare attività di spionaggio informatico e altre azioni aggressive. Le aziende possono offrire accesso a competenze sofisticate e oscurare la relazione tra le attività e i servizi di sicurezza. Tuttavia, per comprendere bene cosa sia a rischio, è fondamentale chiamare in causa l’IRGC. Gli sponsor di questa attività sono pericolosi e chiunque sia vittima di questo gruppo dovrebbe prestare molta attenzione”, dichiara John Hultquist, VP Mandiant Intelligence. “Inoltre, dato che questo aggressore è stato collegato a precedenti attività legate alle elezioni, è importante osservarlo da vicino soprattutto alla luce delle operazioni informatiche condotte dall’Iran durante le elezioni del 2020. Purtroppo, la Russia non è l’unica minaccia per gli ‘Election Days’ che vi saranno nei prossimi mesi. Ci sono pochi rischi nell’ambito cyber security che possono essere paragonati a un’organizzazione come l’IRGC che è in grado di leggere messaggi ed email, registrare le telefonate e tracciare la posizione dei telefoni”.

    Alcuni punti chiave presenti nel report:

    • APT42 prende di mira principalmente organizzazioni e individui considerati oppositori o nemici del regime, e si focalizza sull’ottenere accesso ai loro account personali e ai loro dispositivi mobili. Il gruppo ha costantemente preso di mira think tank occidentali, ricercatori, giornalisti, attuali funzionari governativi occidentali, ex funzionari governativi iraniani e diversi iraniani all’estero;
    • Dalla prima rilevazione della sua attività, nel 2015, APT42 ha preso di mira organizzazioni in almeno 14 Paesi, tra cui Australia, Europa, Medio Oriente e Stati Uniti. I Paesi presi di mira nell’area EMEA sono stati: Austria, Azerbaijan, Belgio, Bulgaria, Iran, Israele, Italia, Norvegia, Ucraina, Emirati Arabi Uniti e Regno Unito;
    • I settori colpiti sono stati: società civile e organizzazione no profit, istruzione, governi, sanità, prodotti farmaceutici e manifatturieri, servizi legali e professionali, media e intrattenimento;
    • Ad esempio, APT42 si è finta un’organizzazione giornalistica britannica legittima (il quotidiano METRO) per ottenere le credenziali email personali di professori di scienze politiche con legami con i governi locali o con parenti con doppia cittadinanza iraniana nel febbraio 2022. Il gruppo ha invitato i suoi obiettivi, situati in Belgio e negli Emirati Arabi Uniti, a partecipare a un’intervista online tramite un documento PDF appositamente creato per portare le vittime ad una falsa pagina Gmail in grado di sottrarre le credenziali;
    • L’attività di APT42 rappresenta una minaccia per funzionari, commentatori e giornalisti di politica estera, in particolare quelli di Stati Uniti, Regno Unito e Israele, che lavorano su progetti legati all’Iran. Inoltre, l’attività di sorveglianza del gruppo evidenzia il rischio reale per i singoli obiettivi delle operazioni di APT42, che includono cittadini iraniani con doppia nazionalità, ex funzionari governativi e dissidenti situati in Iran o coloro che hanno lasciato il Paese spesso per timore della loro sicurezza personale.
    Share.

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati