Bij de recente golf van cyberaanvallen gericht op Albanese organisaties werd gebruik gemaakt van een zogenaamde ruitenwisser Geen gerechtigheid.
De bevindingen zijn afkomstig van cyberbeveiligingsbedrijf ClearSky, dat zegt dat de op Windows gebaseerde malware “het besturingssysteem zodanig laat crashen dat het niet opnieuw kan worden opgestart”.
De inbraken worden toegeschreven aan een Iraanse ‘psychologische operatiegroep’, bekend als Homeland Justice, die sinds juli 2022 actief is en met name destructieve aanvallen op Albanië orkestreert.
Op 24 december 2023 dook de tegenstander na een pauze weer op en verklaarde dat hij “terug is om aanhangers van terroristen te vernietigen”, waarbij hij zijn nieuwste campagne omschreef als #DestroyDurresMilitaryCamp. De Albanese stad Durrës herbergt momenteel de dissidentengroep People’s Mojahedin Organization of Iran (MEK).
Doelwitten van de aanval waren onder meer ONE Albanië, Eagle Mobile Albanië, Air Albanië en het Albanese parlement.
Twee van de belangrijkste tools die tijdens de campagne zijn ingezet, zijn onder meer een uitvoerbare wisser en een PowerShell-script dat is ontworpen om de eerste door te geven aan andere machines in het doelnetwerk nadat Windows Remote Management (WinRM) is ingeschakeld.
De No-Justice wiper (NACL.exe) is een binair bestand van 220,34 KB waarvoor beheerdersrechten nodig zijn om de gegevens op de computer te wissen.
Dit wordt bereikt door de opstarthandtekening te verwijderen uit de Master Boot Record (MBR), die verwijst naar de eerste sector van elke harde schijf die identificeert waar het besturingssysteem zich op de schijf bevindt, zodat het in het RAM van een computer kan worden geladen.
In de loop van de aanval worden ook legitieme tools geleverd, zoals Plink (ook bekend als PuTTY Link), RevSocks en de Windows 2000 resource kit om verkenning, zijdelingse verplaatsing en permanente toegang op afstand mogelijk te maken.
De ontwikkeling komt op het moment dat pro-Iraanse dreigingsactoren zoals Cyber Av3ngers, Cyber Toufan, Haghjoyan en YareGomnam Team hun blik steeds meer op Israël en de VS hebben gericht te midden van aanhoudende geopolitieke spanningen in het Midden-Oosten.
“Groepen als Cyber Av3ngers en Cyber Toufan lijken bij hun cyberaanvallen een verhaal van vergelding te hanteren”, onthulde Check Point vorige maand.
“Door zich opportunistisch te richten op Amerikaanse entiteiten die Israëlische technologie gebruiken, proberen deze hacktivistische volmachten een dubbele vergeldingsstrategie te bereiken – waarbij ze beweren zowel Israël als de VS aan te vallen in één enkele, georkestreerde cyberaanval.”
Vooral Cyber Toufan is in verband gebracht met een stortvloed aan hack-en-lek-operaties gericht op meer dan 100 organisaties, waarbij geïnfecteerde hosts werden gewist en gestolen gegevens op hun Telegram-kanaal werden vrijgegeven.
“Ze hebben zoveel schade aangericht dat veel van de organisaties – bijna een derde zelfs niet hebben kunnen herstellen”, zegt veiligheidsonderzoeker Kevin Beaumont. “Sommige hiervan zijn ruim een maand later nog steeds volledig offline, en de weggevaagde slachtoffers zijn een mix van particuliere bedrijven en Israëlische staatsoverheidsinstanties.”
Vorige maand zei het Israel National Cyber Directorate (INCD) dat het momenteel ongeveer 15 hackergroepen volgt die banden hebben met Iran, Hamas en Hezbollah en die kwaadwillig opereren in de Israëlische cyberspace sinds het begin van de oorlog tussen Israël en Hamas in oktober 2023.
Het bureau merkte verder op dat de gebruikte technieken en tactieken overeenkomsten vertonen met die gebruikt in de oorlog tussen Oekraïne en Rusland, waarbij gebruik wordt gemaakt van psychologische oorlogsvoering en wiper-malware om gevoelige informatie te vernietigen.
