Спонсируемая правительством Ирана киберпреступная группировка APT33, также известная как Elfin, MAGNALLIUM или Refined Kitten, создала собственную VPN-сеть для подключения к своим C&C-серверам, проведения разведки в сетях предполагаемых целей и просмотра web-страниц.
Исследователи из Trend Micro: сообщили APT33 сегодня является самым технически продвинутым хакерским подразделением Ирана.
Группа считается разработчиком вредоносов для удаления данных с жестких дисков, известного как Shamoon (DistTrack), которое вывело из строя более 35 тыс. рабочих станций компании Saudi Aramco в Саудовской Аравии семь лет назад.
Инфраструктура APT33 является многослойной и изолированной, позволяя хакерам избегать обнаружения. Эксперты Trend Micro обозначили четыре уровня инфраструктуры. Уровень VPN представляет собой специально построенную сеть VPN-узлов для маскировки реального IP-адреса и местоположения оператора. Уровень Bot Controller – промежуточный. Уровень C&C Backend – фактические внутренние серверы, через которые киберпреступники управляют своими вредоносными ботнетами. Уровень прокси является набором облачных прокси-серверов, маскирующих C&C-серверы от зараженных хостов.
«Частную VPN-сеть можно легко настроить, арендовав пару серверов у центров обработки данных по всему миру и используя программное обеспечение с открытым исходным кодом, такое как OpenVPN», – рассказали исследователи.
Но на самом деле собственная VPN-сеть, наоборот, облегчает её отслеживание. Поскольку APT33 использует исключительно свои выходные узлы VPN, специалистам удалось в течение года отслеживать некоторые узлы.