Un grup iranian de hackeri, APT33, ataca industriile aviatice si petrochimice in Arabia Saudita, Statele Unite si Coreea de Sud, avertizeaza compania FireEye.

Un grup de hackeri suspectat ca lucreaza în Iran pentru Guvern vizeaza industriile aviatiei si petrochimica în Arabia Saudita, Statele Unite si Coreea de Sud, a avertizat miercuri o companie cu activitate în domeniul securitatii cibernetice, relateaza The Associated Press.

FireEye afirma în acest raport ca presupusii hackeri iranieni plaseaza un nou tip de malware care ar putea sa fie folosit pentru a distruge computerele pe care le infecteaza, la fel ca în alte doua atacuri cibernetice atribuite Iranului ce au vizat Arabia Saudita în 2012 si 2016 si care au distrus sistemele tintite.

Biroul Iranului la ONU nu a raspuns imediat, miercuri, AP, iar presa de stat nu a difuzat aceste acuzatii.

Însa presupusii hackeri iranieni opereaza de mult timp fara sa-si faca griji ca vor fi demascati sau ca vor avea de suportat consecinte, ceea ce-i face extrem de periculosi, da asigurari Stuart Davis, directorul unei filiale FireEye.

”Astazi, în deplina impunitate, o tara vecina poate compromite si elimina 20 de institutii”, a subliniat Davis.

FireEye, care coopereaza adesea cu guverne si corporatii mari, numeste acest grup APT33, acronimul “advanced persistent threat” (amenintare persistenta avansata).

APT33 a comis atacuri de tip phishing prin e-mailuri în care ofera false oportunitati de angajare companiilor afectate, recurgând la nume de domenii false precum Boeing Co sau contractori în domeniul apararii.

Hackerii au ramas în sistemele afectate timp de ”patru pâna la sase luni”, în care au putut sa fure date si sa instaleze malware-ul Shapeshifter, potrivit FireEye.

Codul contine referinte în farsi, limba oficiala în Iran, subliniaza FireEye.

Datari din cadrul codului releva un program al hackerilor de sâmbata si pâna miercurea - saptamâna irakiana de lucru, a precizat Davis.

Programele folosite în campanie sunt populare în rândul programatorilor iranieni, serverele au fost înregistrate prin companii iraniene, iar unul dintre spioni pare ca si-a lasat în mod accidental numele online - “xman-1365-x” - în cod.

Acest nickname ”apare în forumuri ale hackerilor iranieni”, a declarat John Hultquist de la FireEye. ”Cred ca nu-si fac griji ca o sa fie prinsi (...). Par ca n-au de ce sa se simta deranjati”.

The Associated Press scrie ca a gasit si alte indicii ale unei implicari iraniene.

Una dintre adresele de e-mail foloste în vederea înregistrarii unui server malware îi apartine lui Ali Mehrabian, care a folosit aceeasi adresa pentru ca sa înfiinteze peste 130 de website-uri iraniene în ultimii sase ani.

Nici Mehrabian, care se prezinta ca un locuitor al Teheranului, si nici “xman” nu au raspuns unor e-mailuri în care AP le cere sa comenteze aceste acuzatii.

Iranul si-a dezvoltat capacitatile cibernetice în 2011, dupa ce virusul informatic Stuxnet a distrus mii de centrifuge implicate în controversatul program nuclear iranian la acea data.

Stuxnet ar fi fost creat de americani si israelieni.

Iranul este suspectat ca se afla în spatele raspândirii Shamoon, în 2012, care a afectat Saudi Arabian Oil Co. si producatorul de gaze naturale RasGas din Qatar. Acest virus a sters hard drive-uri si apoi a postat o imagine cu un steag american în flacari pe monitoare. Compania saudita Aramco si-a închis pâna la urma reteaua si a distrus peste 30.000 de computere.

O a doua versiune a virusului Shamoon a ajuns în computerele Guvernului saudit la sfârsitul lui 2016 si a afisat pe monitoarele computerelor distruse o imagine cu trupul neînsufletit al lui Aylan Kurdi, un baiat sirian care s-a înecat, la vârsta de trei ani, în timp ce fugea din calea razboiului civil din tara sa. Iranul a fost din nou suspectat.

FireEye acuza în acest raport ca APT33 ”pare sa caute informatii secrete strategice susceptibile sa foloseasca unui Guvern sau unui comanditar militar”.

În capul listei unor eventuali suspecti în Iran se afla Gardienii Revolutiei, fortele de elita ale regimului de la Teheran.

Procurori americani au acuzat în martie 2016 hackeri asociati unor companii care au legatura cu Gardienii Revolutiei de atacarea câtorva zeci de banci si unui mic baraj situat în apropiere de New York.

Presupusi hackeri cu legaturi cu Gardienii Revolutiei sunt suspectati, de asemenea, ca au vizat conturi de e-mail si pe retele de socializare ale unor oficiali din cadrul administratiei fostului presedinte american Barack Obama.