Falska jobbannonser och dolda bakdörrar — iranska statshackare siktar in sig på flyg- och mjukvaruindustrin

Nimbus Manticore skärper sina vapen

Det är sällan man ser en hackargrupp byta namn på sig själv, men Nimbus Manticore — även känd under namnen Bohrium och TA455 — har gjort något mer oroande: de har uppgraderat sin tekniska förmåga. Enligt en ny rapport från säkerhetsföretaget Check Point intensifierar gruppen nu sina angrepp mot företag inom luftfart och programvaruutveckling med förfinade metoder och helt nya skadliga verktyg.

Gruppen anses vara en undergrupp till den välkända iranska statliga aktören Charming Kitten och har dokumenterade kopplingar till Irans islamiska revolutionsgarde. Det är alltså inte fråga om opportunistiska amatörer — det här är en välfinansierad, statssponsrad operation med tydliga strategiska mål.

Det perfekta lockbetet: ett falskt jobberbjudande

Angreppsteknikerna är, om man ska vara ärlig, elegant illasinnade. I en av kampanjerna utger sig angriparna för att representera ett amerikanskt inrikesflyg och skickar ut falska jobbannonser riktade mot anställda i luftfartsbranschen. Offren lockas att ladda ned ett infekterat installationsprogram — förklätt som videokonferenstjänsten Zoom.

Där slutar inte det hela. Infektionskedjan leder vidare till ett nytt bakdörrsverktyg som Check Point kallar MiniFast, ett program som kamouflerar sig som Googles webbläsare Chrome. MiniFast är konstruerat för långvarig, tyst närvaro i de komprometterade systemen — det ger angriparna möjlighet att fjärrstyra datorer, stjäla filer, schemalägga uppgifter och driftsätta ytterligare skadlig kod när tillfälle ges.

I en parallell kampanj används dokumentplattformen OnlyOffice som inkörsport, där anställda lurats att ladda ned komprimerade filarkiv som bär på skadlig kod. Mönstret är genomgående: utnyttja legitima, välkända varumärken och tjänster för att sänka offrets vaksamhet.

Varför just luftfart och mjukvara?

Valet av målsektorer är inte slumpmässigt. Luftfartsbranschen hanterar känslig logistikinformation, passagerardata och i vissa fall militär eller statlig flygtrafik. Mjukvarubolag är ännu mer lockande — komprometterar man en leverantör kan man potentiellt nå deras hela kundkedja, ett klassiskt så kallat leverantörskedjeangrepp.

Nimbus Manticore har tidigare opererat mot luft- och rymdfartsindustrin samt försvarsorganisationer i Mellanöstern och Europa. Att USA och Australien nu tydligt finns med i måltavlorna markerar en geografisk breddning som bör väcka uppmärksamhet hos säkerhetsansvariga i hela den västerländska sfären.

Tekniken bakom attacken — vad vi kan lära oss

Som systemutvecklare fastnar jag vid ett par tekniska detaljer som är värda att reflektera över. För det första: att MiniFast maskerar sig som Chrome är ingen tillfällighet. Webbläsare körs konstant i bakgrunden, genererar nätverkstrafik hela tiden och granskas sällan noggrant av slutanvändare eller automatiserade övervakningssystem. Det är ett klokt gömställe.

För det andra illustrerar användningen av OnlyOffice och Zoom — båda legitima, respekterade produkter — hur svårt det är att enbart förlita sig på ryktesbaserade säkerhetslösningar. När angriparen använder sig av betrodda varumärken som bärare för sin skadliga kod räcker det inte att fråga "känner jag igen det här programmet?". Man måste fråga: "varifrån kom den här filen, och varför?".

Det påminner om ett välkänt problem inom mjukvarusäkerhet: den svagaste länken är sällan koden — den är människan som klickar.