Mellanöstern är redan en cyberkrigshärd. Saker och ting blev bara värre.

Michael Levine-Clark Följ Kuwait Towers

Michael Levine-Clark Följ Kuwait Towers Foto av Michael Levine-Clark, Flickr, CC BY-NC-ND 2.0





Olje- och gasjättarna i Mellanöstern har sett en ny hackergrupp som försöker bryta sig in i deras datorsystem.

De amerikanska cybersäkerhetsföretagen Dragos och Dell's Secureworks har släppt rapporterar på gruppen med kodnamn Hexan. Även om inget av företagen gör en definitiv anklagelse om vem som är ansvarig för hackningen, pekar båda mot likheter med iranska hackergrupper och anpassning till Irans strategiska politiska mål.

Det är den senaste i en lång rad avancerade hackningsgrupper som setts i och runt Persiska viken. I Mellanöstern finns det få om några viktigare strategiska mål än olje- och gasindustrin som ligger bakom mycket av regionens rikedom och makt.



För tillfället är det en åtkomstoperation, säger Rafe Piling, senior säkerhetsforskare, Secureworks Counter Threat Unit. Det kortsiktiga målet är att få tillgång till målet och behålla den tillgången. Medelmålet är att slentra och sedan eventuellt spionera. Det ger uppenbarligen den som leder den här gruppen möjligheten att komma tillbaka och göra något mer störande.

En av de mest störande hackningskampanjerna som regionen någonsin sett under det senaste decenniet ägde rum 2012 när iranska hackare bröt sig in i Saudiarabiens Aramco och raderade filer för att förlama tiotusentals nyckeldatorer. Skadlig programvara som användes i den attacken är känd som Shamoon.

Saudi Aramco, ett statligt oljebolag och ett av de rikaste företagen på jorden, är i hjärtat av landets makt. Regionens energibolag är enormt viktiga för alla nationer runt Persiska viken. Shamoon-hackarna slog även till Qatars oljebolag RasGas.



Aktiv sedan 2018, Hexane har dramatiskt ökat aktiviteten under 2019 och distribuerat ny skadlig programvara mot sina mål. Det första steget i gruppens taktik är att skicka spearphishing-attacker till personal och teknikpersonal på riktade organisationer.

'Att kompromettera individuella HR-konton kan ge information och kontoåtkomst som kan användas i ytterligare spearphishing-operationer inom den riktade miljön och mot associerade organisationer,' sa Secureworks-forskare i en Rapportera släpptes på tisdag. 'IT-personal har tillgång till högprivilegierade konton och dokumentation som kan hjälpa hotaktörerna att förstå miljön utan att blint navigera i nätverket för att hitta data och system av intresse.'

Det finns en viss debatt bland cybersäkerhetsföretag om de exakta omedelbara målen för gruppen. Hackare kan rikta in sig på informationsteknologisystem (IT) som stationära datorer eller operativa tekniksystem (OT) som programmerbara logiska styrenheter, datorer som utformats specifikt för industriella ändamål som olje- och gasförädling eller tillverkning.



Men de två systemen är i slutändan sammankopplade och, som Piling sa i en intervju på tisdagen, är det nästan allmänt sant att vägen till IT går genom OT.

Forskare har inte lagt fram några direkta tekniska kopplingar mellan Iran och den nya hackergruppen, men Secureworks har pekat på stilistiska likheter som starkt talar för sambandet.

Skadlig programvara är i en tidig, omogen ålder men den innehåller funktioner som vi vanligtvis ser i iransk skadlig programvara, sa Piling. Men det är inte på något sätt specifikt och någon skulle kunna efterlikna många av dessa egenskaper om de ville komma in på domänen.



Även om Persiska viken är en grogrund för cyberaktivitet, har länder som Iran en global räckvidd. Tidigare i år identifierade Dragos en grupp kallad Magnallium som riktar sig till amerikanska myndigheter, finans- och energiföretag. (Fullständig avslöjande: En familjemedlem arbetar för Dragos men var inte involverad i denna rapport.)

Iran fortsätter att vara målet för amerikanska hackare inklusive, framför allt, när president Donald Trump beordrade cyberattack på iranska vapensystem efter att en amerikansk drönare sköts ner av iranska styrkor.

Dölj