Niedawne cyberataki na organizacje albańskie były prowadzone przez grupę hakerską o irańskich korzeniach, wykorzystującą złośliwe oprogramowanie typu wiper o nazwie “No-Justice”. Oprogramowanie to, bazujące na systemie Windows, uniemożliwia ponowne uruchomienie systemu operacyjnego przez usunięcie sygnatury rozruchowej z głównego rekordu rozruchowego (Master Boot Record). Ataki te zostały przypisane grupie znanej jako Homeland Justice, aktywnej od lipca 2022 roku, specjalizującej się w destrukcyjnych działaniach przeciwko Albanii. Ostatnia kampania tej grupy, nazwana #DestroyDurresMilitaryCamp, koncentrowała się na między innymi na ONE Albania, Eagle Mobile Albania, Air Albania oraz albańskim parlamencie.
W ramach tej kampanii wykorzystano zarówno wspomniany wiper, jak i skrypt PowerShell, który umożliwiał rozprzestrzenianie wipera na inne maszyny w sieci docelowej poprzez aktywację Windows Remote Management (WinRM). Oprócz złośliwego oprogramowania, atakujący używali również legalnych narzędzi takich jak Plink (PuTTY Link), RevSocks oraz zestawu zasobów Windows 2000 do prowadzenia działań rozpoznawczych, ruchów bocznych i zapewniania trwałego zdalnego dostępu.
Ekran komputera po zakończeniu wykonywania złośliwego oprogramowania:
Dodatkowo, irańskie grupy zagrożeń, takie jak Cyber Av3ngers, Cyber Toufan, Haghjoyan i YareGomnam Team, nasiliły swoje działania przeciwko Izraelowi i USA w kontekście trwających napięć geopolitycznych na Bliskim Wschodzie. Wykorzystują one podobne techniki i taktyki do tych obserwowanych podczas wojny w Ukrainie, polegające na wykorzystaniu wojny psychologicznej i wiper malware do niszczenia wrażliwych informacji.
Szczegółowe informacje na temat działania tego wipera i jego wpływu na cele zostały przedstawione w raporcie firmy ClearSky. Raport ten dostępny jest pod adresem ClearSky Security, gdzie można znaleźć dogłębną analizę metod działania grupy Homeland Justice oraz zastosowanych przez nią narzędzi cyfrowych.
