İranın 'Persiya Şahzadəsi': Kiberhücumlarda yeni dövr başlayır?

Təhdid qrupunun tarixi və yenidən aktivləşməsi

İranla əlaqəli olduğu düşünülən 'Persiya Şahzadəsi' adlı kiber təhdid qrupu yenidən aktivləşib. Qrupun fəaliyyəti ilk dəfə 2016-cı ildə Palo Alto Networks tərəfindən sənədləşdirilmişdi. Həmin il qrupun komanda və idarəetmə (C2) serverləri uğurla deaktiv edilmişdi. Lakin bir il sonra qrup 'Foudre' və 'Tonnerre' adlanan yeni zərərli proqramlarla geri dönmüşdü.

2022-ci ildə qrupun fəaliyyəti görünməz olmuşdu. Lakin SafeBreach təhlükəsizlik şirkəti yeni araşdırmalarında qrupun daha inkişaf etmiş versiyalarla fəaliyyətini davam etdirdiyini aşkar edib. 'Foudre v34' və 'Tonnerre v17' kimi zərərli proqramlar, qrupun daha mürəkkəb hücum texnikaları ilə çalışdığını göstərir.

Yeni zərərli proqramların xüsusiyyətləri

'Foudre' əsasən kəşfiyyat və hədəf seçimi üçün istifadə olunan ilkin mərhələ zərərli proqramıdır. Əgər hədəf kifayət qədər vacib hesab edilərsə, 'Tonnerre' adlı trojan məlumat oğurluğu və müşahidə üçün işə salınır. Əvvəllər 'Foudre' zərərli makrolar vasitəsilə Microsoft Office sənədlərində yayılırdı. İndi isə Excel faylları ilə yayılan yeni versiyalar antivirus sistemləri tərəfindən tanınmayan zərərli kodlarla təchiz olunub.

SafeBreach tədqiqatçıları, qrupun C2 serverlərini və bu serverlərdən toplanmış məlumatları aşkar ediblər. Əksər qurbanlar İran daxilində olsa da, Avropa, Türkiyə, Hindistan və Kanadada da hədəflər olub.

Telegram platformasına keçid

Son araşdırmalar göstərib ki, 'Tonnerre v50' və naməlum yeni 'Foudre' versiyası Telegram API vasitəsilə əlaqə qurmaq imkanına malikdir. Telegram funksiyası yalnız müəyyən hədəflər üçün aktivləşdirilir. Araşdırma zamanı Telegram kanalında iki üzv aşkar edilib: biri bot, digəri isə 'Ehsan' adlı istifadəçi. Ehsanın İran mənşəli olduğu güman edilir.

İnsan təsiri və təhlükəsizlik çağırışı

Bu təhdid qrupu, yalnız texnoloji inkişafı deyil, həm də fərdlərin şəxsi təhlükəsizliyini ciddi şəkildə təhdid edir. Tədqiqatçılar, qrupun zərərli proqramlarını izləməkdə çətinlik çəkdiklərini bildirirlər, çünki qrup tez-tez serverlərini dəyişir və artıq maraq dairəsində olmayan hədəflərin sistemlərindən zərərli proqramları silir.

SafeBreach, qrupun fəaliyyətini izləmək üçün yeni göstəricilər və məlumatlar təqdim edib. Bu, təhlükəsizlik şirkətlərinə və hüquq-mühafizə orqanlarına qrupun fəaliyyətini daha yaxşı izləmək imkanı verəcək.

İranın 'Persiya Şahzadəsi' qrupu, kiber təhlükəsizlik sahəsində ciddi bir çağırış olaraq qalır. Onların yeni texnologiyaları və taktiki dəyişiklikləri, qlobal təhlükəsizlik üçün ciddi risklər yaradır.