FireEye: gli hacker iraniani monetizzano vendendo le credenziali di accesso sottratte

La crisi ha colpito anche gli hacker al soldo delle nazioni, "costringendoli" a trovare nuovi modi per monetizzare dalle loro competenze, per esempio vendendo le credenziali sottratte sui forum clandestini, come ha scoperto FireEye tramite le sue attività di intelligence.

"Mandiant Threat Intelligence traccia l’attività segnalata pubblicamente come “Pioneer Kitten” come UNC757" - ha dichiarato Sarah Jones, Senior Principal Analyst di FireEye - "Riteniamo che questo attore sia attivo almeno dal 2016. Più recentemente, tra giugno 2019 e luglio 2020, abbiamo rilevato UNC757 mentre ricercavamo vulnerabilità divulgate pubblicamente nelle applicazioni VPN. Inoltre, nel giugno 2020, abbiamo riferito che l’attore “nanash” comunicava attraverso un forum in lingua inglese sul cyber crime, dove sosteneva di avere accesso a reti aziendali e governative in diversi settori e differenti nazioni. La sovrapposizione negli indicatori e nei TTP indicano una stretta relazione e una probabile correlazione tra UNC757 e l’attore “nanash”. L’economia iraniana in declino, a nostro avviso, può servire come motivazione per gli attori iraniani, tipicamente coinvolti in attività di spionaggio, per cercare altri metodi per utilizzare e monetizzare i dati rubati”.

Chi è Pioneer Kitten?

Pioneer Kitten è un gruppo di hacker noto anche come PARISITE, UINC757 e Fox Kitten che si suppone abbia sede in Iran e sia sponsorizzato dal governo della nazione. Le sue vittime sono aziende che si occupano di tecnologia, governi e settori come il manifatturiero, la difesa, l'aviazione e la sanità. Fra le nazioni colpite da Pioneer Kitten si segnalano Israele, il Nord America e stati nordafricani. Si ritiene che il gruppo sia attivo almeno dal 2017.

Le modalità di attacco di Pioneer Kitten fanno leva sulla capacità di gruppo di compromettere i servizi di accesso remoto, sfruttando bachi nelle VPN o negli apparati di rete.