Iran ursprung till många cyberattacker

Oroligheterna i Iran är just nu högst upp på nyhetsagendan och som en följd av detta sägs det att landet kan komma att genomföra cyberattacker.

Detta är i så fall inget nytt eftersom en rad intrång de senaste åren haft sitt ursprung i landet, skriver IT-säkerhetsleverantören Palo Alto Networks i en kommentar till de senaste dagarnas händelser.

Iran har haft en hög aktivitetsnivå i fråga om cyberattacker sedan 2010, enligt Palo Alto Networks. En rad angrepp har identifierats av olika säkerhetsleverantörer, även om det ofta har saknats en direkt och identifierbar koppling till iranska staten. Ofta har bevisen istället handlat om de slutsatser som dragits av orsakerna till attackerna och hur de genomförts.

Det finns idag en rad aktiva grupper och attackkampanjer som branschen menar har sitt ursprung i Iran:

– OilRig (även kallad APT34 och Helix Kitten)
– MagicHound (även kallad APT35, Newscaster och Cobalt Gypsy)
– APT33 (även kallad Refined Kitten och Elfin)
– DarkHydrus
– Shamoon
– MuddyWater (även kallad Static Kitten)

Genomgående har det funnits två olika motiv till intrången: Spionverksamhet och förstörelse. Spionage har varit anledningen till majoriteten av attackerna och har då handlat om att få tillgång till känslig information hos utvalda organisationer som Iran ser som fiender. Ett mindre antal attacker har också handlat om att förstöra något hos en utvald motståndare. Den senare typen av intrång påbörjades med Shamoon-attacken 2012 och har återkommit sedan dess, bland annat som StoneDrill och ZeroCleare.

Enligt Palo Alto Networks har en rad olika typer av tekniker använts vid attackerna. Det handlar till exempel om phishing, identitetsstöld, DNS-intrång och skriptbaserade bakdörrar. För att undvika att drabbas av intrång uppmanar Palo Alto Networks företag att öka medvetenheten i organisationen och se till att ha rätt skydd på plats för att se till att nätverket är skyddade mot intrång med dessa tekniker.