Исследователи связывают APT39 с иранским правительством.
Недавно обнаруженная киберпреступная группировка, предположительно связанная с Ираном, атакует интересующих ее лиц, похищая данные у турагенств и операторов связи. Об этом сообщается в новом отчете ИБ-компании FireEye, опубликованном во вторник, 29 января.
FireEye добавила группировку в свой список APT под номером 39. Специалисты не утверждают прямо, что APT39 финансируется государством, однако, по их словам, она явно действует в интересах иранского правительства. На это указывают используемые киберпреступниками инструменты, неоднократно замеченные в атаках других, связанных с иранским правительством группировок, таких как APT33, APT34, Newscaster и Chafer.
Специалисты FireEye отследили активность группировки до ноября 2014 года. Приоритетом для APT39 является сбор персональных данных для проведения дальнейших операций по мониторингу, отслеживанию и пр. в интересах иранского правительства. Кроме того, собранные данные могут использоваться как вектор для будущих атак.
В основном группировка использует бэкдоры SEAWEED и CACHEMONEY, а также определенный вариант бэкдора POWBAT. Хотя ее жертвы находятся по всему миру, особый интерес для APT39 представляют цели на Среднем Востоке, в частности, в Катаре, Саудовской Аравии, Египте, Турции, ОАЭ. Кроме того, группировка атаковала цели в США, Норвегии, Австралии, Южной Корее и, предположительно, в Израиле и Кувейте.