Grupi iranian i hakerëve Scarred Manticore, i cili ka qenë i lidhur me Ministrinë e Inteligjencës dhe Sigurisë së vendit, ka drejtuar fshehurazi një rrjet spiunazhi digjital në të gjithë Lindjen e Mesme.
Ai ka synuar qeverinë të ndryshme dhe kompanitë e mëdha të infrastrukturës si telekomi dhe shërbimet financiare për të vjedhur të dhëna.
Një raport i ri të martën, nga krahu i kërkimit të Check Point Software Technologies Ltd., përshkruan se si taktikat e grupit janë bërë më të sofistikuara, duke përdorur mjete hakerimi të bëra me porosi për të depërtuar në rrjete të ndryshme, për të komprometuar serverët e uebit dhe për të shmangur zbulimin.
Hakerët fituan akses në një shumëllojshmëri të gjerë të përmbajtjes digjitale, duke përfshirë email-et dhe transaksionet në web, dhe përdorën malware-in e tyre për të përgjuar bisedat e ndryshme të qeverive dhe sektorit privat, për të kryer spiunazh dhe për të përcaktuar infrastrukturën e rrjetit që mund të përdoret për të përmirësuar sulmet e ardhshme.
Raporti nuk ishte specifik se cilat të dhëna ishin vjedhur, por përmendi inkursione në Arabinë Saudite, Jordani, Kuvajt, Izrael dhe Oman.
Në thelb të veglës së tij të hakerimit, të cilin Check Point e quan Liontail, është një drejtues i sistemit të softuerit të web-it i korruptuar që përfiton nga veçoritë e fshehura dhe mund të përzihet me trafikun normal të rrjetit. Studiuesit zakonisht gjejnë marrëdhënie dhe lidhje me grupe të tjera hakerimi duke ekzaminuar kodin e tyre malware, por Liontail duket të jetë diçka unike.
Për më tepër, është përshtatur për çdo server të veçantë në internet që synon.
Studiuesit gjetën mjete të tjera hakerimi që po përdoren gjithashtu nga grupi pas OilRig, por nuk thanë përfundimisht nëse ato janë në të vërtetë i njëjti ent. Zyrtarët izraelitë të sigurisë, të cituar në New York Times, konfirmuan se Liontail ka qenë aktiv në vendin e tyre gjatë disa muajve të fundit.
Studiuesit dhanë një përshkrim teknik të detajuar të kornizës së malware, të diagramuar më poshtë, në një postim tjetër në blog.
Analiza Check Point konfirmon një postim të mëparshëm në blog nga studiuesit e kërcënimit Talos, të Cisco Systems Inc., i cili u postua në shtator.
Ata etiketuan shfrytëzimin HTTPSnoop dhe PipeSnoop dhe gjetën malware të maskuar si agjentë softuerësh Windows të produktit anti-malware Cortex të Palo Alto Networks Inc.
Kjo ndërvepron drejtpërdrejt me drejtuesit e pajisjes në internet ose thirrjet e sistemit të tubave të emërtuar, përkatësisht – pra dy etiketat e ndryshme – dhe mund të vëzhgojë dhe ndërveprojë me trafikun e uebit për të nisur sulme malware.
Studiuesit e Check Point, të cilët bashkëpunuan me ekipin e reagimit ndaj incidentit të Sygnia-s, kanë vëzhguar rezultatet e grupit Manticore që nga viti 2019.
Ata mund të gjurmojnë aktivitetet e grupit deri në një sulm ndaj Qeverisë shqiptare në vitet 2021-2022, kur ajo komprometoi një server Microsoft SharePoint dhe vodhi një sasi e madhe të dhënash policore. Ai sulm bëri që Shqipëria të ndërpresë marrëdhëniet diplomatike me Iranin.
Ajo që është shqetësuese në lidhje me këto sulme aktuale është të tregojë se sa larg ka përparuar grupi nga fillimet e tij më modeste, kur përdori shfrytëzime shumë të thjeshta, të tilla si injektimi i malware dhe krijimi i dyerve të pasme në serverët e internetit të Windows me serverë proxy me burim të hapur që varen nga serveri i web-it i Microsoft dhe framework-et .Net.
Fushata e saj e fundit dhe më e sofistikuar u zbulua këtë verë dhe kishte funksionuar fshehurazi për të paktën një vit. Ky malware përdor thirrjet e sistemit të nivelit më të ulët dhe ofron shumë më tepër fleksibilitet dhe errësirë.
“Kuadri i fundit Liontail përfaqëson një hap në sofistikim në krahasim me aktivitetet e tyre të mëparshme, duke shfaqur përsosjen e vazhdueshme të aftësive kibernetike iraniane”, thanë studiuesit e Check Point.
