L’FBI ha affermato che un gruppo di hacker iraniano sta attaccando i dispositivi di rete F5. Questo gruppo è noto con il nome di “Fox Kitten” o “Parasite”. E’ inoltre associato al governo iraniano, e fa parte dell’operazione informatica di Teheran chiamata “punta di lancia”.
Un gruppo di hacker iraniano attacca il Governo e privati USA
La scorsa settimana, l‘FBI ha inviato una notifica al settore privato americano secondo cui un gruppo iraniano di hacker chiamato “Fox Kitten” sta eseguendo attacchi hacker contro la rete F5 Networks. I federali hanno inoltre avvertito che, una volta che gli hacker riescono ad avere accesso alle loro reti, rubano i dati dei dipendenti e li forniscono al governo iraniano per spionaggio.
I funzionari dell’FBI avvertono anche che questo gruppo non viola nessun settore in particolare, e probabilmente qualsiasi azienda che utilizzi il dispositivo BIG-IP potrebbe essere presa di mira.
I federali hanno condiviso i dettagli di come si svolge un tipico attacco dei “Fox Kitten”, per permettere alla aziende di implementare le contromisure. In dettaglio hanno detto: “Dopo aver compromesso con successo il server VPN, gli hacker ottengono credenziali legittime e stabiliscono la persistenza sul server tramite Webshell. Gli hacker conducono una ricognizione interna post-sfruttamento, utilizzando strumenti come NMAP e Angri IP scanner. Gli attori distribuiscono Mimikatz per acquisire credenziali, mentre sono attive le reti e Jucy Potato per l’escalation dei privilegi”.
Inoltre, l’agenzia federale riferisce che il gruppo di hacker iraniano crea nuovi utenti mentre è in rete. Un noto account creato da questi criminali è Sqladmin$. L’FBI ha anche dichiarato che gli hacker utilizzano diverse applicazioni per comando e controllo (C2) mentre sfruttano le reti delle vittime. Tra queste applicazioni vi sono Chisel (tunnel C2), Ngroc, Plink e SSHNET.
Altre fonti dichiarano che il gruppo di hacker iraniano “Fox Kitten” è già riuscito a penetrare con successo anche in molte reti.
L’FBI indaga sull’attacco hacker a Twitter
Le operazioni informatiche dell’Iran “punta di lancia”
Un ex analista di sicurezza informatica del governo ha affermato che questo attacchi informatici sono attacchi di una serie di operazioni informatiche dell’Iran, chiamate “punta di lancia”. Secondo lui, infatti, tutti questi attacchi sono guidati dal governo di Teheran.
Per raggiungere i suoi obiettivi, il gruppo “Fox Kitten” opera principalmente attaccando apparecchiature di rete di fasce alte e costose. Per far questo utilizza Exploit di vulnerabilità prima che le aziende abbiano abbastanza tempo per applicare patch ai dispositivi. Una volta che gli hacker hanno ottenuto l’accesso a un dispositivo, installano una Shellweb o una Backdoor, trasformando l’apparecchiatura in un Gateway nella rete compromessa.
