W lipcu 2023 roku na naszym blogu opisywaliśmy mechanizmy działania grupy APT42. Wskazywaliśmy wtedy na ich precyzyjne kampanie spear-phishingowe i skupienie na inwigilacji celów strategicznych dla Iranu. Dzisiaj, w obliczu eskalacji militarnej na linii USA-Iran, widzimy, że nasze ostrzeżenia sprzed blisko trzech lat były jedynie wierzchołkiem góry lodowej.
Kiedy pisaliśmy o APT42 po raz pierwszy, grupa była postrzegana głównie jako „cyfrowy wywiad”. Dziś, po serii ataków kinetycznych i cybernetycznych między mocarstwami, ich rola uległa drastycznej zmianie. Z cichych obserwatorów stali się aktywnymi uczestnikami konfliktu zbrojnego.
Kluczowe zmiany w taktyce, które odnotowaliśmy:
Cyber-sabotaż zamiast szpiegostwa: O ile w 2023 roku celem były głównie skrzynki e-mail, o tyle najnowsze incydenty wskazują na próby (często udane) zakłócania pracy systemów logistycznych i infrastruktury krytycznej. Cyberprzestrzeń przestała być tylko źródłem informacji – stała się aktywnym polem walki.
Agresywny „Hack-and-Leak”: Grupa zaadaptowała metodę upubliczniania skradzionych danych w celu destabilizacji nastrojów społecznych w krajach zachodnich. To już nie tylko kradzież własności intelektualnej, ale operacja psychologiczna na wielką skalę.
Omijanie nowoczesnych zabezpieczeń MFA: Metody, przed którymi ostrzegaliśmy w 2023 roku, ewoluowały. APT42 stosuje obecnie zaawansowane techniki MFA Fatigue oraz ataki typu AiTM (Adversary-in-the-Middle), które pozwalają im przejmować sesje użytkowników w czasie rzeczywistym, omijając tradycyjne klucze bezpieczeństwa.
Eskalacja działań grup takich jak APT42 pokazuje, że nikt nie jest „zbyt mały”, by stać się celem. Często mniejsze podmioty są wykorzystywane jako „trampolina” do ataków na większe instytucje rządowe lub partnerów biznesowych o znaczeniu strategicznym.
W SOC.DAG nieustannie analizujemy te zmiany. Nasze systemy monitorowania w czasie rzeczywistym są aktualizowane o najnowsze sygnatury i wzorce zachowań (IoC) powiązane z irańskimi grupami rządowymi. Dzięki temu nasi klienci są chronieni nie przed zagrożeniami z przeszłości, ale przed tym, co dzieje się w sieci „tu i teraz”.
