Amerikaanse en Israëlische cyberveiligheidsagentschappen hebben een nieuw advies gepubliceerd waarin een Iraanse cybergroep wordt toegeschreven aan het aanvallen van de Olympische Zomerspelen van 2024 en het compromitteren van een Franse aanbieder van commerciële dynamische displays om berichten te tonen waarin de deelname van Israël aan het sportevenement aan de kaak wordt gesteld.
De activiteit is gekoppeld aan een entiteit die bekend staat als Emennet Pasargad, die volgens de agentschappen sinds medio 2024 opereert onder de schuilnaam Aria Sepehr Ayandehsazan (ASA). Het wordt gevolgd door de bredere cyberbeveiligingsgemeenschap als Cotton Sandstorm, Haywire Kitten en Marnanbridge.
“De groep toonde nieuw vakmanschap in haar inspanningen om cyber-enabled informatieoperaties uit te voeren tot medio 2024 met behulp van een groot aantal coverpersona’s, waaronder meerdere cyberoperaties die plaatsvonden tijdens en gericht waren op de Olympische Zomerspelen van 2024 – inclusief het compromis van een Frans commercieel dynamisch display leverancier”, aldus het advies.
ASA, het Amerikaanse Federal Bureau of Investigation (FBI), het Department of Treasury en het Israel National Cyber Directorate zeggen dat ze ook inhoud van IP-camera’s hebben gestolen en kunstmatige intelligentie (AI)-software zoals Remini AI Photo Enhancer, Voicemod en Murf AI hebben gebruikt voor stemmodulatie en Appy Pie voor het genereren van afbeeldingen voor het verspreiden van propaganda.
De bedreigingsacteur wordt beoordeeld als onderdeel van de Iraanse Islamitische Revolutionaire Garde (IRGC) en staat bekend om zijn cyber- en invloedsoperaties onder de persona’s Al-Toufan, Anzu Team, Cyber Cheetahs, Cyber Flood, For Humanity, Menelaus en Market of Data , onder andere.
Een van de nieuw waargenomen tactieken betreft het gebruik van fictieve hostingresellers om operationele serverinfrastructuur voor eigen doeleinden te leveren, evenals het gebruik van een actor in Libanon voor het hosten van aan Hamas gelieerde websites (bijvoorbeeld alqassam(.)ps).
“Sinds ongeveer medio 2023 heeft ASA verschillende cover-hostingproviders gebruikt voor infrastructuurbeheer en verduistering”, aldus de agentschappen. “Deze twee providers zijn ‘Server-Speed’ (server-speed(.)com) en ‘VPS-Agent’ (vps-agent(.)net).”
“ASA zette zijn eigen wederverkopers op en kocht serverruimte van in Europa gevestigde providers, waaronder het in Litouwen gevestigde bedrijf BAcloud en Stark Industries Solutions/PQ Hosting (respectievelijk gevestigd in het Verenigd Koninkrijk en Moldavië). ASA maakt vervolgens gebruik van deze dekkingswederverkopers om het ter beschikking stellen van operationele servers aan de eigen cyberactoren voor kwaadwillige cyberactiviteiten.”
De aanval gericht tegen de naamloze Franse aanbieder van commerciële beeldschermen vond plaats in juli 2024 met behulp van de infrastructuur van VPS-agenten. Er werd geprobeerd fotomontages weer te geven waarin kritiek werd geuit op de deelname van Israëlische atleten aan de Olympische en Paralympische Spelen van 2024.
Bovendien zou ASA hebben geprobeerd contact op te nemen met familieleden van Israëlische gijzelaars na de Israëlisch-Hamas-oorlog begin oktober 2023 onder de persona Contact-HSTG en berichten te sturen die waarschijnlijk “extra psychologische effecten zouden veroorzaken en verder trauma zouden veroorzaken”.
De dreigingsactor is ook in verband gebracht met een andere persoon, bekend als Cyber Court, die de activiteiten promootte van verschillende cover-hacktivistische groepen die door hemzelf werden beheerd op een Telegram-kanaal en een speciale website die voor dit doel was opgezet (“cybercourt(.)io”) .
Beide domeinen, vps-agent(.)net en cybercourt(.)io, zijn in beslag genomen na een gezamenlijke wetshandhavingsoperatie uitgevoerd door het Amerikaanse Openbaar Ministerie voor het Zuidelijke District van New York (SDNY) en de FBI.
Dat is niet alles. Na het uitbreken van de oorlog zou ASA zich hebben ingespannen om inhoud van IP-camera’s in Israël, Gaza en Iran op te sommen en te verkrijgen, en om informatie te verzamelen over Israëlische gevechtspiloten en operators van onbemande luchtvaartuigen (UAV) via sites als knowem.com, facecheck.id, socialcatfish.com, ancestry.com en familysearch.org.
De ontwikkeling komt op het moment dat het Amerikaanse ministerie van Buitenlandse Zaken een beloning van maximaal 10 miljoen dollar heeft aangekondigd voor informatie die leidt tot de identificatie of verblijfplaats van mensen die banden hebben met een aan de IRGC geassocieerde hackgroep genaamd Shahid Hemmat, voor het aanvallen van Amerikaanse kritieke infrastructuur.
“Shahid Hemmat is in verband gebracht met kwaadaardige cyberactoren die zich richten op de Amerikaanse defensie-industrie en de internationale transportsector”, aldus het rapport.
“Als onderdeel van IRGC-CEC (Cyber-Electronic Command) is Shahid Hemmat verbonden met andere IRGC-CEC geassocieerde individuen en organisaties, waaronder: Mohammad Bagher Shirinkar, Mahdi Lashgarian, Alireza Shafie Nasab en het frontbedrijf Emennet Pasargad, Dadeh Afzar Arman (DAA) en Mehrsam Andisheh Saz Nik (MASN).