Per il Cyber Command americano il gruppo di cyberspionaggio noto come MuddyWater sarebbe un elemento dell’intelligence iraniana, del MOIS (Ministry of Intelligence and Security). È la prima volta che il governo Usa collega questo gruppo in modo diretto al governo di Teheran.

Mandiant, azienda leader nella difesa e nella risposta ai cyber attacchi, ha osservato e monitorato questo gruppo sotto il nome TEMP.Zagros condurre molteplici operazioni contro decine di organizzazioni che hanno visto tra le vittime sia enti governativi, sia aziende nel settore energia, tecnologia, media, servizi pubblici, trasporti, mondo accademico, servizi finanziari, telecomunicazioni, edilizia e ingegneria, localizzate in Europa, Nord America, Nord Africa, Caucaso, Asia meridionale e occidentale e Sud-Est asiatico.

Mandiant non ha la possibilità di confermare, in maniera indipendente che TEMP.Zagros faccia capo al ministero dell’intelligence iraniano, ma l’osservazione delle vittime note e di quelle sospette indica che il gruppo sia probabilmente stato incaricato di condurre attività di raccolta di informazioni strategiche, tra cui contenuti geopolitici, diplomatici, di difesa e relativi al settore dell’energia, tutto questo può supportare gli interessi e le decisioni prese dall’Iran. Inoltre, l’aver colpito società di telecomunicazioni può essere uno step intermedio per il gruppo TEMP.Zagros per arrivare poi a specifici obiettivi e vittime.

Il gruppo aggiorna costantemente le proprie tattiche, tecniche e procedure per garantire il successo delle sue operazioni di spionaggio informatico.

Mandiant ha osservato, inoltre, il gruppo inviare email di spear phishing da caselle di posta di account legittimi che sono state compromesse. Questa attività è conosciuta anche come comportamento “man-in-the-mailbox”, e utilizza un software di accesso remoto pubblicamente disponibile e legittimo per eseguire la compromissione iniziale di una vittima. Il gruppo, inoltre, si affida spesso a contenuti esca per ingannare socialmente gli utenti a scaricare o aprire un allegato dannoso, come i file di Microsoft Office, che contengono malware.

Negli ultimi mesi, TEMP.Zagros ha mostrato una particolare attenzione nel confondersi dietro al comportamento legittimo degli utenti, ad esempio utilizzando il COVID-19 come tematica-esca, usando un software di accesso remoto legittimo per ottenere l’accesso ai computer delle vittime e persino sfruttando i canali Telegram per le comunicazioni tra malware e attaccanti.

“L’Iran possiede diversi gruppi che effettuano attività di spionaggio informatico, cyber attacchi e operazioni di informazione”, dichiara Sarah Jones, Senior Principal Analyst, Threat Intelligence, Mandiant. “I servizi di sicurezza che sponsorizzano questi attori, il MOIS e l’IRGC, li utilizzano per ottenere un vantaggio su avversari e concorrenti dell’Iran presenti in tutto il mondo”.

Fonti: Guerre di Rete e Mandiant