Gruparea de hackeri este activă din anul 2013, iar țintele predilecte ale acesteia sunt companii din SUA, Arabia Saudită și Coreea de Sud.
Într-un raport recent al Microsoft se arată faptul că APT33, cunoscută și sub numele de Holmium sau Magnallium, a accesat și furat date din peste 200 de companii în ultimii 2 ani. Hackerii iranieni au penetrat sistemele informatice ale companiilor și au cauzat daune de milioane de dolari.
APT33 a atacat entități din multiple industrii, în special companii americane, saudite și sud-coreene. În ultima perioadă, s-a observat o predilecție pentru companiile din industria de aviație, atât din zona civilă, cât și militară, arată raportul Microsoft. De asemenea, o bună parte din ținte au fost cele care activează în domeniul petro-chimic.
Operațiunile grupării Holmium se bazează în principal pe e-mail-uri de tip spear-phishing. Aceste e-mail-uri includ adrese URL care sunt conexate la alte fișiere, care odată accesate descarcă progame de tip malware, fiind, astfel, inițiat procesul de infectare a sistemului.
APT33 folosește o gamă largă de soluții de tip malware (Snapeshot, Dropshot, Turnedup, Nanocore, Netwire și Alfa Shell), instrumente de hacking complexe și servere DNS în acțiunile derulate în mediul virtual.
De la mijlocul anului 2016, până la începutul anului 2017, gruparea iraniană a compromis sistemul unei firme americane din sectorul aerospațial, precum și pe cel al unui grup de afaceri saudit. În același timp, a fost atacată o firmă sud-coreeană din domeniul petro-chimic și al rafinării petrolului.
În mai 2017, au fost vizate de o campanie de phishing o firmă din Arabia Saudită și una din Coreea de Sud. Victimele atacurilor au fost încurajate să aplice pentru locuri de muncă vacante în cadrul unei companii din industria petro-chimică saudită.
Într-un alt incident în care gruparea iraniană a fost implicată și care a avut drept țintă mai multe organizații din Arabia Saudită, a fost folosită tehnica de squatting (grupare) a domeniilor. Au fost înregistrate multiple domenii care aparent ar fi aparținut mai multor companii occidentale și orientale din domeniul aviației (Boeing, Alsalam, Aircraft Company, Northrop, Grumman Aviation Arabia, Vinnel Arabia), care oferea servicii de training și mentenanță pentru flotele civile și militare saudite.
Modalitatea și tehnicile de operare ale APT33, precum și „palmaresul” grupării, ne arată că poate fi oricând un adversar de temut pentru orice entitate, fie ea privată sau guvernamentală. Evoluțiile din sfera tehnologică, capacitatea de adaptare a hackerilor iranieni, interesele Teheranului și jocurile geopolitice din Occident, dar și din Orientul Mijlociu, ne determină să credem că APT33 va fi un jucător important la nivel global pe arena cibernetică.
Sursă foto: bleepingcomputer.com