Midden-Oosten (bbabo.net), - Nu toenadering gaande is met Israël en de Golf, kunnen meer malware-aanvallen worden verwacht, vertelt analist aan bbabo.net
Teheran gebruikt cyberoorlogsvoering als een verlengstuk van zijn buitenlands en veiligheidsbeleid, claimexpert
ANKARA: Iran heeft zijn langdurige cybercampagne tegen Turkije geëscaleerd via door de staat gesponsorde hackers, die zich sinds november 2021 op spraakmakende overheids- en particuliere websites in het land hebben gericht.
Experts zijn van mening dat de verbeterde cyberaanval een reactie is op de pogingen van Turkije om de banden met landen als de VAE, Saoedi-Arabië en Israël te normaliseren.
MuddyWater, een hackergroep die gelieerd is aan het Iraanse Ministerie van Inlichtingen en Veiligheid, zou achter deze cyberaanvallen zitten, waarbij infectievectoren betrokken zijn, zoals kwaadaardige PDF-bijlagen en Microsoft Office-documenten die zijn ingesloten in phishing-e-mails.
Deze kwaadaardige documenten waren getiteld in de Turkse taal, zodat ze zouden worden gepresenteerd als legitieme teksten die afkomstig waren van de Turkse ministeries van Volksgezondheid en Binnenlandse Zaken.
De malware-aanval werd voor het eerst waargenomen door CISCO Talos Intelligence Group, een van 's werelds grootste op commerciële bedreigingen gerichte inlichtingenteams.
De e-mails aan de onderneming van het doelwit bevatten een link naar een gecompromitteerde website en gebruikten de naam van de doelinstelling als parameter in de URL.
Als onderdeel van een tactiek die bekend staat als webbug, worden de links gebruikt om bij te houden wanneer de berichten door het eindpunt worden geopend.
Wanneerste toegang tot het slachtoffer is verkregen, verzamelt de hackergroep gevoelige informatie van zijn netwerk.
MuddyWater staat de afgelopen twee jaar bekend om zijn aanvallen op overheidsnetwerken in de VS, Europa, het Midden-Oosten en Zuid-Azië, met als doel cyberspionage uit te voeren voor staatsbelangen, ransomware en destructieve malware in te zetten en intellectueel eigendom te stelen dat hoge economische waarde.
"Iran is sinds 2007 een steeds capabelere en geavanceerdere cyberacteur geworden", vertelde Rich Outzen, een gepensioneerde kolonel in het Amerikaanse leger en senior fellow bij de Jamestown Foundation, aan bbabo.net.
"Tot die tijd waren er cyberaanvallen en cybercriminaliteit vanuit Iran, maar weinig aanwijzingen voor de richting van de staat", zei Outzen.
"Te beginnen met de onderdrukking van de Groene Beweging en de eigen ervaring van Iran als doelwit van cyberaanvallen op zijn gesanctioneerde nucleaire programma, is de opkomst van een 'Iranian Cyber Army' onder leiding van de Islamitische Revolutionaire Garde gedocumenteerd," zei hij.
De groep wordt voornamelijk gemotiveerd door geopolitieke gebeurtenissen en ontwerpt haar hackpogingen op basis van strategische langetermijndoelen.
"Iran voert nu regelmatig aanvallen uit op het verwijderen van gegevens, Distributed Denial of Service-aanvallen en industriële disruptie-aanvallen op doelen in de VS, Europa, Israël en de Golf, evenals op binnenlandse doelen in Iran", zei Outzen.
“De aanvallen op Turkije zijn minder frequent geweest, maar lijken de afgelopen twee tot drie jaar toe te nemen. Nu de toenadering tot Israël en de Golf gaande is, kan er meer worden verwacht', zei hij.
Vorige week hebben Turkije en Israël samen een door Iran geleide moordaanslag op een 75-jarige Israëlisch-Turkse zakenman in Turkije verijdeld na een langdurige inlichtingenoperatie waarbij een Iraanse cel werd onthuld.
De timing van de moordaanslag viel samen met de besprekingen van Turkije om de diplomatieke betrekkingen met Israël te normaliseren, toen president Isaac Herzog het land binnenkort zou bezoeken.
Het kwam ook enkele dagen voor het geplande bezoek van de Turkse president Recep Tayyip Erdogan aan de VAE om de banden aan te halen en gezamenlijke samenwerkingsprojecten voor de regio te ontwikkelen.
Deze keer waren de doelen van de hackergroep in Turkije onder meer de Wetenschappelijke en Technologische Onderzoeksraad van Turkije.
"Iran gebruikt cyberoorlogvoering als een verlengstuk van zijn buitenlands en veiligheidsbeleid", vertelde Jason M. Brodsky, beleidsdirecteur van United Against Nuclear Iran, aan bbabo.net.
"Iraanse tactieken omvatten cyberspionage, cyberaanvallen en operaties met buitenlandse invloed", zei Brodsky.
"Turkije is al lang een doelwit van Iraanse cyberactiviteiten", voegde hij eraan toe.
“In 2015 hebben sommige rapporten bijvoorbeeld een grote stroomstoring in Turkije getraceerd naar Iran. De Amerikaanse regering heeft beweerd dat het Mabna Institute, een Iraans bedrijf dat af en toe een contract heeft gesloten met Iraanse overheidsinstanties om hackoperaties uit te voeren, zich richtte op universiteiten in Turkije”, zei Brodsky.
Deskundigen adviseren instellingen in Turkije om de cyberdreiging te beoordelen, periodiek beveiligingsupdates toe te passen op al hun systemen, hun netwerken beter voorbereid te -factor authenticatie.
Eerder dit jaar schreef het US Cyber Command de activiteiten van MuddyWater toe aan de MOIS en publiceerde het enkele voorbeelden van kwaadaardige codes die naar verluidt door Iraanse hackers zouden zijn gebruikt om Amerikaanse bondgenoten te helpen zichzelf te verdedigen tegen toekomstige inbraakpogingen.Volgens de Amerikaanse Congressional Research Service voert de MOIS “binnenlands toezicht uit om tegenstanders van het regime te identificeren. Het houdt ook anti-regime-activisten in het buitenland in de gaten via haar netwerk van agenten die in de ambassades van Iran zijn geplaatst.”
Brodsky zei dat de motieven van Iran in de huidige context veelzijdig kunnen zijn om economische, inlichtingen- en politieke redenen.
"Teheran heeft in grote lijnen geprobeerd een prijs te krijgen van regionale concurrenten die bezig zijn de relaties met Israël te verbeteren of te normaliseren, en zo'n opleving in Turkije zou niet verrassend zijn", zei hij.
“Dat wil niet zeggen dat de cyberaanvallen verband kunnen houden met Ankara’s zeer openbare beschuldigingen van Iraanse inlichtingenactiviteiten in het land, gericht op dissidenten en recentelijk een Israëlische zakenman”, zei hij.
Volgens Outzen zijn sancties tegen landen die achter deze aanvallen zouden zitten van beperkt nut, omdat de belangrijkste cyberactoren die de VS en hun bondgenoten zorgen – Rusland, China en Iran – al zwaar zijn gesanctioneerd.
"De cybercollectieven die de aanvallen uitvoeren, opereren vaak in opdracht van, maar niet formeel als onderdeel van, het staatsapparaat", zei hij.
"Sancties moeten daarom worden gecombineerd met zowel een bewustmakingscampagne en cyberbeveiligingspraktijken die het moeilijker maken om doelen aan te vallen, als cyberoperaties door de VS en hun bondgenoten tegen de bronnen van de aanvallen", voegde hij eraan toe.
Outzen voegde eraan toe dat dit een voortdurende cyberoorlog op laag niveau is, waar Turkije nu deel van uitmaakt.
"De sleutel is om zowel (hun) eigen activa te beschermen, als om de kwaadwillende actoren - in dit geval Iran - de escalerende kosten voor hun betrokkenheid bij de aanvallen op te leggen", zei hij.
De banden tussen Turkije en Iran zijn recentelijk verslechterd, waarbij de landen een intense geopolitieke rivaliteit nastreven in de noordwestelijke provincie Idlib van Syrië en Noord-Irak, met name het betwiste Sinjar-district.
Vorige week hebben Turkije en Israël samen een door Iran geleide moordaanslag op een 75-jarige Israëlisch-Turkse zakenman in Turkije verijdeld na een langdurige inlichtingenoperatie waarbij een Iraanse cel werd onthuld.
Op 20 januari sneed Iran abrupt de aardgasstroom naar Turkije af en de verstoring duurde ongeveer 10 dagen, waardoor de operaties in fabrieken werden ondermijnd.
bbabo.Net