Iranci APT grupe vrše intenzivne napade na sektore transporta i proizvodnje
Državno sponzorisani iranski hakeri pojačali su svoje sajber napade na kritičnu infrastrukturu u Sjedinjenim Američkim Državama, bilježeći dramatičan rast malicioznih aktivnosti od 133% tokom maja i juna 2025. godine. Ova eskalacija podudara se s pojačanim geopolitičkim tenzijama vezanim za nedavne iranske sukobe, dok sajber bezbjednosni istraživači prate koordinisanu kampanju usmjerenu prvenstveno na sektore transporta i proizvodnje širom američkih kompanija. Porast broja napada predstavlja značajan pomak u iranskoj strategiji sajber ratovanja, pri čemu podaci obavještajnih službi o prijetnjama otkrivaju 28 dokumentovanih incidenata tokom dvomjesečnog perioda u poređenju sa samo 12 napada u prethodnom kvartalu.
Ova agresivna kampanja podstakla je hitna upozorenja od Agencije za sajber bezbjednost i sigurnost infrastrukture (CISA) i Ministarstva za unutrašnju sigurnost SAD-a, naglašavajući kritičnu potrebu za poboljšanim sigurnosnim mjerama u organizacijama industrijske i kritične infrastrukture. Analitičari Nozomi Networks Labs identifikovali su šest istaknutih iranskih grupa naprednih, upornih prijetnji (APT) koje orkestriraju ove sofisticirane napade: MuddyWater, APT33, OilRig, CyberAv3ngers, FoxKitten i Homeland Justice. Ovi hakeri demonstrirali su izvanrednu upornost i tehničku sofisticiranost, koristeći raznovrsne vektore napada posebno prilagođene za kompromitovanje okruženja operativne tehnologije i industrijskih kontrolnih sistema.
MuddyWater se pokazao kao najaktivnija hakerska grupa tokom ove kampanje, uspješno probivši najmanje pet odvojenih američkih kompanija, pretežno u sektorima transporta i proizvodnje. APT33 je slijedio, ciljajući tri različite američke organizacije, dok su OilRig, CyberAv3ngers, FoxKitten i Homeland Justice tokom posmatranog perioda kompromitovali najmanje dvije američke kompanije.
Ponovna upotreba malvera i upornost infrastrukture
Posebno zabrinjavajući razvoj situacije uključuje odluku grupe CyberAv3ngers da ponovo iskoristi infrastrukturu za komandovanje i kontrolu povezanu s njihovim prethodnim kampanjama. Istraživači sigurnosti otkrili su da je grupa namjerno reciklirala IP adresu koja je prethodno bila povezana s implementacijom OrpaCrab malvera, poznatog i kao IOCONTROL, koji je prvi put identifikovan u decembru 2024. godine. Ovaj malver fokusiran na operativnu tehnologiju predstavlja značajnu prijetnju industrijskim okruženjima, sposoban je manipulirati programabilnim logičkim kontrolerima i drugim kritičnim industrijskim sistemima. Ponovna upotreba infrastrukture pokazuje promišljen pristup upravljanju resursima, potencijalno ukazujući na samopouzdanje u svoje operativne sigurnosne mjere. Organizacijama se savjetuje da prate indikatore kompromitovanja, uključujući IP adrese 159.100.6[.]69, 169.150.227[.]230 i 95.181.161[.]50, među ostalom malicioznom infrastrukturom identifikovanom u tekućim operacijama obavještajnih službi o prijetnjama.