Diversi gruppi e hacktivisti individuali iraniani hanno rivendicato la responsabilità di varie interruzioni. I gruppi di minaccia iraniani focalizzati sullo spionaggio rimangono in qualche modo attivi, nonostante la chiusura di Internet da parte del governo iraniano che ha immediatamente seguito gli attacchi iniziali di Stati Uniti e Israele.

Ad esempio, l’8 marzo, Proofpoint ha osservato l’attore di minaccia TA453 (Charming Kitten, Mint Sandstorm, APT42), allineato all’Iran, condurre un tentativo di phishing di credenziali contro un think tank statunitense. La corrispondenza e-mail culminata in questo tentativo di phishing era stata avviata prima dell’inizio del conflitto, indicando come TA453 continui a dare priorità alla raccolta di intelligence rispetto al suo tradizionale set di obiettivi. Anche se non è chiaro come continueranno le più estese operazioni cyber iraniane, i ricercatori di Proofpoint hanno anche osservato un aumento delle campagne da parte di altri attori sponsorizzati dallo stato che prendono di mira organizzazioni governative mediorientali dall’inizio della guerra. Queste campagne sono state condotte sia da gruppi noti che da attori non osservati in precedenza, con sospetta attribuzione a Cina, Bielorussia, Pakistan e Hamas.

“Le campagne hanno utilizzato in modo significativo aspetti del conflitto come esca per coinvolgere i propri target e spesso hanno sfruttato account compromessi appartenenti a organizzazioni governative per inviare e-mail di phishing” commentano i ricercatori di Proofpoint. “Questa attività riflette un mix di attori di minaccia che usano la guerra in modo opportunistico come esca per condurre operazioni di routine e quelli con una maggiore attenzione alla raccolta di intelligence che prendono di mira enti governativi e diplomatici del Medio Oriente".

Risultati chiave dalla ricerca

• Aumento delle attività cyber multinazionali: Proofpoint ha osservato attori allineati a Cina, Bielorussia, Pakistan e altri stati lanciare campagne entro 24-72 ore dall’escalation del conflitto.

• Identificazione di nuovi cluster di minacce: Proofpoint ha scoperto diversi cluster di attori precedentemente non monitorati che hanno rapidamente messo in atto campagne di phishing a tema conflitto.

• Cambiamento nei modelli di targeting: alcuni attori - incluso un gruppo allineato alla Bielorussia - stanno ora prendendo di mira i governi del Medio Oriente, allontanandosi dal proprio focus storico.

• Compromissione di infrastrutture governative: diverse campagne hanno sfruttato account e-mail di ministeri compromessi per aumentare la credibilità e aggirare le difese.

• Tattiche di precisione: gli attori hanno utilizzato geofencing, consegna selettiva del payload, pagine di raccolta di credenziali che impersonavano i servizi Microsoft e, in un caso, una catena di distribuzione completa di Cobalt Strike.

• Focus sulla raccolta di intelligence: mentre gli attori iraniani di spionaggio sembrano mantenere le priorità di raccolta esistenti, quelli statali non iraniani stanno sfruttando aggressivamente il conflitto per espandere la raccolta di intelligence in tutta la regione.

Con il proseguire del conflitto, le operazioni dei gruppi di minaccia iraniani continuano a mescolare spionaggio tradizionale e campagne destabilizzanti a supporto degli sforzi bellici. Proofpoint ha inoltre osservato una serie di gruppi non iraniani che prendono di mira governi mediorientali attraverso tecniche di ingegneria sociale legate al conflitto. Se diversi di questi gruppi hanno incorporato contenuti-esca a tema bellico in operazioni sostanzialmente coerenti con i loro abituali obiettivi, altri hanno mostrato uno spostamento verso la raccolta di intelligence contro entità governative e diplomatiche mediorientali. Ciò riflette con ogni probabilità un tentativo di raccogliere intelligence regionale sulla posizione, l’evoluzione e le più ampie implicazioni geopolitiche del conflitto. Tutto questo suggerisce che il conflitto venga utilizzato sia come pretesto tematico per l’ingegneria sociale, sia come fattore trainante nelle priorità di raccolta di informazioni da parte di una serie di attori statali allineati.

Informazioni più dettagliate sono disponibili a questo link: https://www.proofpoint.com/us/blog/threat-insight/iran-conflict-drives-heightened-espionage-activity-against-middle-east-targets