STUdiuesit BM pretendojnë se një ekuipazh i lidhur me iranian i quajtur meddywater ka qenë duke u përpjekur për të shmangur zbulimin duke përdorur “Slack” për të kontrolluar malware e tyre. Besohet të jetë hera e parë që një veshje e dyshuar për hacking të mbështetur nga shteti është parë duke përdorur një teknikë të tillë.
Në mars, hakerët që besohet se ishin spiun kibernetikë iranianë gjetën një përdorim të ri për aplikacionin e mesazheve në vendin e punës Slack. Ata hynë në një linjë ajrore aziatike dhe kishin instaluar një derë të pasme. Për të fshehur komunikimet e tyre me atë malware, ata u lidhën me aplikacionin Slack dhe dërguan komanda mbi mjetin. Pse? Kështu që sistemet e sigurisë së TI-së do të mendonin se është trafik legjitim dhe nuk do të zbulohej ose bllokohej.
Kjo është sipas IBM, e cila po publikon kërkime këtë të mërkurë mbi atë ekip hakerimi, të quajtur MuddyWater. Divizioni i kërkimit për sigurinë kibernetike të gjigantit të teknologjisë X-Force tha se shikoi prapambetjen e MuddyWater, të quajtur Aclip, duke zbuluar se po përdorte ndërfaqe programimi të aplikacionit Slack për komunikime. API të tilla vendosin rregullat e nevojshme për të kombinuar aplikacione të tjera, të tilla si futja e postimeve të një kanali social në një grup Slack. Grupi MuddyWater krijoi një hapësirë pune dhe kanale Slack nga të cilat ata mund të merrnin informacione të sistemit, të tilla si skedarët e kërkuar dhe pamjet e ekranit që ata po përpiqeshin t’i hiqnin nga rrjeti. Ata gjithashtu mund të përdorin kanalet Slack për të postuar komanda në derën e pasme.
Sa i përket asaj që ata po përpiqeshin të bënin, IBM gjeti prova se të dhënat e pasagjerëve të linjës ajrore ishin në shënjestër, duke gjetur një nga serverët e sulmuesve që përmbante skedarë me emra duke përfshirë “menaxhimin e rezervimit”. Përdorimi i Slack ishte pjesë e një operacioni të pacientit, në të cilin hakerat ishin në rrjetin e linjës ajrore për më shumë se një vit e gjysmë, sipas IBM.
Slack nuk i ishte përgjigjur një kërkese të Forbes për koment, por i kishte thënë IBM: “Ne hetuam dhe mbyllëm menjëherë hapësirat e punës të raportuara Slack si shkelje të kushteve tona të shërbimit. Ne konfirmuam se Slack nuk ishte komprometuar në asnjë mënyrë si pjesë e këtij incidenti dhe asnjë të dhënë e klientit të Slack nuk ishte ekspozuar ose në rrezik. Ne jemi të përkushtuar për të parandaluar keqpërdorimin e platformës sonë dhe marrim masa kundër kujtdo që shkel kushtet tona të shërbimit.”
Ndërsa ky duket të jetë përdorimi i parë i Slack nga shteti komb për operacione të tilla spiunazhi, nuk është hera e parë që aplikacioni përdoret për komunikime me dyer të pasme. Në vitin 2018, u zbulua një i quajtur SlackShell dhe vitin e ardhshëm u shfaqën dy të tjerë.
Nick Rossmann, drejtuesi i inteligjencës globale të kërcënimeve në IBM X-Force, tha se Slack nuk ishte në asnjë mënyrë komprometuar, ai thjesht ndihmoi spiunët dixhitalë “në zgjatjen e fshehtësisë së funksionimit të tyre”.
“Ndërsa teknika nuk është e re, X-Force nuk sheh shpesh aktorë kërcënimi që përdorin Slack për komunikim [komandimi dhe kontrolli],” tha Rossman për Forbes.
“Për organizatat që përdorin shumë Slack, mund të jetë e vështirë për to të dallojnë trafikun legjitim të rrjetit Slack me trafikun e rrjetit të krijuar nga kjo derë e pasme, prandaj ne donim të rrisim ndërgjegjësimin për këtë mjet.
“Ne nuk jemi në dijeni të shteteve të tjera kombëtare që e përdorin atë, por është e mundur. Shumë grupe kanë përdorur “teknikën” e përdorimit të platformave legjitime, si GitHub, Twitter, shërbimet e ruajtjes së cloud si OneDrive, ose infrastrukturën cloud.”
Rossman tha se incidenti ishte një kujtesë e mirë se organizatat duhej të shqyrtonin më me kujdes përdorimin e tyre të mjeteve si Slack për çdo trafik të mundshëm me qëllim të keq. “Industria ka kaluar duke u përpjekur të ndalojë kundërshtarët të hyjnë, ka të bëjë me atë se sa shpejt i ndaloni ata të marrin të dhënat tuaja dhe sa shpejt i nxirrni ata jashtë”, shtoi ai.
Ishte gjithashtu një shenjë e sofistikimit në rritje të Iranit në spiunazhin kibernetik, tha ai. “Irani është një operator kibernetik i zgjuar dhe megjithëse operacionet e tij kibernetike shpesh krahasohen me aftësitë e Rusisë dhe Kinës, do të ishte gabim të nënvlerësohej rritja e kundërshtarëve të sponsorizuar nga Irani.”
MuddyWater, për shembull, ka qenë i lidhur më parë me sulme ransomware dhe në vitet e fundit, Irani ka treguar një prirje për përdorimin e rrjeteve sociale si Facebook dhe LinkedIn në përpjekje për të zhvilluar marrëdhënie me objektivat e qeverisë amerikane për të mbledhur të dhëna prej tyre dhe për të infektuar rrjetet e punëdhënësve. Hakerët iranianë janë akuzuar gjithashtu për përpjekje për të depërtuar në rrjetet e furnizimit me ujë në Izrael dhe në nëntor, dy u akuzuan për një operacion dezinformimi dhe hakerimi duke u përpjekur të ndikonin në zgjedhjet e 2020.
Dhe të martën, kompania e sigurisë kibernetike Mandiant pretendoi se hakerët iranianë, së bashku me aktorët kinezë të spiunazhit, kanë nisur sulme nëpërmjet një cenueshmërie të përhapur në mjetin e regjistrimit Log4j, i cili ka prekur shumë nga shitësit më të mëdhenj të teknologjisë në botë, nga Amazon në Cisco.
