Adathalászat és ál-zsarolóvírus
Miután a támadók megszerezték a hozzáférést, különféle kártevőket telepítettek, többek közt adatlopókat, amelyek segítségével érzékeny információkat és a többfaktoros hitelesítéshez használt adatokat szereztek meg; emellett megváltoztatták a hozzáférési szinteket, és folyamatos bejutást biztosítottak maguknak. Végső lépésként a támadók bevetették a Chaos nevű zsarolóvírust (Chaos), amellyel elvileg adatokat titkosítottak. Valójában azonban ennek célja nem az anyagi haszonszerzés volt, hanem az, hogy eltereljék a figyelmet az eredeti célról: a kémkedésről.
Kémkedés áll az egész hátterében
A Chaos zsarolóvírus (Chaos) a közelmúltban tűnt fel, és elsősorban nagyvállalatokat céloz, szociális manipulációval párosítva. Bár az áldozatok zöme az Egyesült Államokban található, a legutóbbi támadást is egy amerikai szervezet ellen hajtották végre. Az adataikat felrakták egy kiszivárogtató oldalra is, hogy a támadás igazi zsarolóvírus-támadásnak tűnjön.
Irán árnyékában: MuddyWater és társai
A kutatók a támadás stílusából, digitális tanúsítványokból és egyéb technikai részletekből azonosították, hogy a MuddyWater – más néven Static Kitten, Mango Sandstorm vagy Seedworm – áll a támadás mögött. Ez a csoport közvetlenül az iráni hírszerzéshez kötődik. Iránnak több ilyen csoportja is aktív, mint például a CyberAv3ngers, az APT35 vagy az APT34, amelyek elsősorban ipari kémkedést és adatgyűjtést végeznek.
Mindezt figyelembe véve világossá válik, hogy a látszólagos zsarolóvírus-támadás mögött valójában kémkedési szándék, nem pedig pénzszerzés állt – és jól látszik, hogy a kiberbűnözés és az állami titkosszolgálati módszerek egyre inkább összeolvadnak.
