U.S. Cyber Command ha pubblicato più di una dozzina di campioni di malware in un archivio pubblico mercoledì, dicendo che se gli amministratori di rete vedono due o più di questi campioni sui loro sistemi, possono essere stati presi di mira da hacker militari iraniani.

I campioni, inviati a VirusTotal nel primo pomeriggio di mercoledì, rappresentano vari "strumenti open-source che gli attori dell'intelligence iraniana stanno utilizzando nelle reti di tutto il mondo", ha detto l'agenzia militare in un comunicato. E' il primo upload di VirusTotal del Cyber Command in nove mesi, secondo la pagina dell'agenzia sul sito.

Riferendosi agli attori come "MuddyWater" - il soprannome applicato ad alcune sospette attività di hacking del governo iraniano che risalgono almeno al 2015 - Cyber Command's Cyber National Mission Force ha condiviso i campioni "per consentire una migliore difesa" contro gli attaccanti.

La dichiarazione di mercoledì si riferisce a MuddyWater come "un elemento subordinato" all'interno del Ministero iraniano dell'Intelligence e della Sicurezza (MOIS), un braccio dell'apparato di sicurezza focalizzato sia sulla sorveglianza interna degli oppositori del regime che sugli attivisti anti-regime all'estero, secondo il Congressional Research Service.

È la prima volta che il governo degli Stati Uniti ha attribuito pubblicamente il gruppo al governo iraniano. "Non c'è alcun significato specifico legato alla data del rilascio", ha detto un portavoce del Cyber Command.

"Il gruppo di hacker iraniano MOIS #MuddyWater sta usando una suite di malware per condurre attività di spionaggio e maligno", ha twittato il Cyber Command degli Stati Uniti poco dopo aver rilasciato la sua dichiarazione.

MuddyWater è un prolifico sforzo di hacking che ha preso di mira più paesi in tutto il mondo, in genere in Medio Oriente. Ha anche preso di mira i paesi europei e nordamericani, così come i paesi in Asia. Gli hacker associati al gruppo hanno riferito di aver minacciato di uccidere i ricercatori che si sono imbattuti nelle loro risorse in passato.

"L'Iran mette in campo più squadre che conducono spionaggio informatico, cyberattacchi e operazioni di informazione", ha detto Sarah Jones, analista principale senior per l'intelligence delle minacce presso Mandiant, in una dichiarazione. "I servizi di sicurezza che sponsorizzano questi attori, il MOIS e l'IRGC, li usano per avere un vantaggio sugli avversari e sui concorrenti dell'Iran in tutto il mondo".

La dichiarazione ha osservato che MuddyWater, noto anche come Seedworm, ha preso di mira decine di organizzazioni che abbracciano governo, media, energia, tecnologia, servizi pubblici, trasporti, università, servizi finanziari, telecomunicazioni e altri settori nel corso degli anni, in genere come parte della raccolta di informazioni o spionaggio.

Il Cyber Command usa tipicamente VirusTotal non solo per avvertire le potenziali vittime, ma anche per richiamare specifici avversari del cyberspazio statunitense. Nel 2019, l'agenzia ha postato 11 campioni relativi all'attività di hacking del governo nordcoreano. All'inizio dello stesso anno ha postato campioni associati a APT28, l'operazione di hacking del governo russo sospettata di aver violato il Comitato Nazionale Democratico durante il ciclo elettorale statunitense del 2016.

Fonte: cyberscoop